SAP Single Sign-On

Sie möchten Ihre Unternehmenssicherheit  im SAP-Umfeld durch die Verwendung von fortschrittlicher Authentifizierungs- und Verschlüsselungstechnologie erhöhen und damit Ihre Kosten senken?

Die Westfalen-Informatik AG hat Experten für  SAP Single-Sign-On. Sie beherrschen die aktuellen Technologien in der SAP Entwicklung und beraten Sie gerne zu all Ihren Fragen rund um das SAP Single-Sign-On.

Was ist SAP Single-Sign-On (SSO) ?

SAP Single-Sign-On bietet den Benutzern die Möglichkeit, sich mit einem einmaligen Log-In einen sicheren Zugriff auf alle vernetzten Systeme des SAP zu verschaffen. Es ersetzt einzelne Anmeldeverfahren mit verschiedenen Benutzerdaten und verwendet eine anwendungsübergreifende Identität. Somit können Benutzererfahrung, Cybersicherheitsprotokolle und die administrativen Anwendungen optimiert werden.

SAP Single Sign-On

für mehr Sicherheit.

Ihr Ansprechpartner

Benedikt Heitkamp
Leiter SAP Basis

Telefon: 0231 7770-0
E-Mail: Basis@wi-ag.de

Funktionsweise

Die klassische Nutzung von SAP via SAP GUI (SAP Graphical User Interface) startet damit, dass durch den Secure Login Client der SNC-Name des jeweiligen SAP-Serversystems abgerufen wird, indem er auf die SAP GUI-Verbindung zugreift. Daraufhin beginnt beim Ticket Granting Service eine Anforderung für ein Kerberos Service-Token. Nachdem das Token empfangen wurde, stellt der Secure Login Client dieses für SAP Single-Sign-On und für die sichere Kommunikation zwischen SAP Client und SAP Server bereit. Der letzte Schritt für eine sichere Kommunikation ist  die Authentifizierung des Benutzers.

 

Lösungsansätze

Neben den Client-basierten Lösungen zur Verwaltung verschiedener Anmeldedaten für Single Sign-On-Landschaften bestehen  zwei unterschiedliche Herangehensweisen. Grundlage für die Ansätze ist die Ausstellung eines verschlüsselten Tickets nach der erfolgreichen Authentifizierung des Benutzers, wodurch eine erneute Authentifizierung nicht mehr erfolgen muss. Die Gültigkeit des Tickets wird  begrenzt, um das Risiko eines Diebstahls des Tickets einzuschränken. Aufgrund dessen muss nach Ablauf der Zeit eine erneute Authentifizierung erfolgen. Die zwei Vorgehensweisen unterscheiden sich in ihrem Aufbau und dem Grad der Zentralisierung.

Circle of Trust

Der Circle of Trust stellt die Grundlage für die Vertrauensbeziehung aller Systeme der SSO-Domäne dar. Die Erstellung eines verifizierte Tickets erfolgt, nachdem ein Benutzer von einem der Systeme authentifiziert worden ist. Dies ist notwendig, damit die übrigen Systeme der verifizierten Identität vertrauen. Voraussetzung für diese Prozessfolge ist die Kommunikation aller Systeme untereinander. Dabei ist es wichtig, dass die Anmeldeverfahren aufeinander abgestimmt sind. Die Benutzeradministration erfolgt bei der Vorgehensweise dezentral, ohne weitere Handlungen.

Zentraler Authentifizierungsserver

Bei der Verwendung eines zentralen Authentifizierungsservers erfolgt die interaktive Authentisierung des Benutzers an einem zentralen Einstiegspunkt. Bei einem Versuch eines nicht authentifiziertem Benutzers auf ein System der SSO-Domäne zuzugreifen, wird dieser zunächst an den Anmeldeserver verwiesen. Daraufhin kann der Server mit einer zentralen Datenbank die Zugangsdaten  überprüfen. Bei erfolgreicher Authentifizierung wird dem  Benutzer ein Ticket ausgestellt. Dieses Ticket ermöglicht den Zugriff auf die übrigen Systeme.

 

Vorteile des SAP Single-Sign-On  auf einen Blick

verbesserte Nutzererfahrung————————

Steigerung der Benutzerproduktivität

Erhöhung der Sicherheit durch risikobasierte und Zwei-Faktor-Authentifizierung

geringe Kosten für die Lizenzierung und Implementierung

                     geringere Helpdesk-Kosten                              ———-

geringere Betriebskosten

Umgebungen zur Verwendung von SSO

SAP Single Sign-On ermöglicht drei  Anwendungsgebiete: SSO für die SAP Business Suite, SSO für heterogene Umgebungen und SSO für Cloud-basierte und unternehmensübergreifende Umgebungen.

Single-Sign-On für die SAP Business Suite

Für die Einrichtung der SAP Business Suite-Software werden Kerberos-Authentifizierungstoken verwendet. Dieser Vorgang benötigt keinen zusätzlichen Server. Nutzer melden sich einmalig  mit ihrer Windows-Domäne an. Alle nachfolgenden Authentifizierungsprozesse erfolgen über einen Kerberos-Token-Mechanismus, der von SAP SSO zur Verfügung gestellt wird.

Single Sign-On für heterogene IT-Landschaften

Eine Implementierung von Sap Single-Sign-On kann ebenfalls erfolgen, wenn Systeme unterschiedlicher Hersteller in der IT-Landschaft eines Unternehmens im Einsatz sind. Mit der Software des Login-Servers muss keine vollständige Public-Key-Infrastruktur (PKI)  mit administrativen Prozessen eingerichtet werden. Über die sichere Login-Server-Software können kurzweilige Zertifikate ausgestellt werden. Somit müssen sich Benutzer nur einmalig anmelden und haben sowohl Zugriff auf die SAP-Software als auch auf  Non-SAP-Anwendungen.

Single-Sign-On für Cloud-Lösungen

Ebenfalls ist es möglich, Single-Sign-On in Cloud-Lösungen zu implementieren. Dies garantiert eine Authentifizierung auch dann, wenn zwischen verschiedenen Unternehmen ein Austausch und eine Nutzung stattfindet. Dafür wird die Security Assertion Markup Language (SAML) 2.0 eingerichtet. Anhand dieser ist eine webbasierte SSO-Nutzung möglich.

Haben Sie Fragen zu SAP Single-Sign-On oder wünschen Sie weitere Informationen?

    Ihr Ansprechpartner:

    Benedikt Heitkamp
    Leiter SAP Basis

    Telefon: 0231 7770-0
    E-Mail: Basis@wi-ag.de

    Menü