www.ibsolution.de © IBSolution GmbH Single Sign-on: Überblick und Lösungen 05.März 2012 Andreas Zickner Martin Nussbaumer IBSolution GmbH Webinar-Reihe 2012
May 31, 2015
www.ibsolution.de © IBSolution GmbH
Single Sign-on: Überblick und Lösungen
05.März 2012
Andreas Zickner
Martin Nussbaumer
IBSolution GmbH
Webinar-Reihe 2012
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH - Webinar-Reihe 2012
Willkommen zum Webinar „Single Sign-On“
Die Unterlagen finden Sie nach dem Webinar unter: http://www.slideshare.net/IBSolutionGmbH http://www.youtube.com/IBSolution
Weitere Webinar-Termine:
12.03.2012// Individuelle Anwendungsentwicklung mit SAP NetWeaver Gateway
19.03.2012 // Group Reporting: Optimierung der Konzernberichterstattung
26./30.03.2012 // SAP HANA: Überblick und Möglichkeiten
02.04.2012 // Stammdatenmanagement mit SAP MDG for Material
Infos und Anmeldung über www.ibsolution.de/veranstaltungen
www.ibsolution.de © IBSolution GmbH
Ihre Moderatoren
Martin Nußbaumer Chat-Moderatorin: Natascha Unger
Andreas Zickner
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH: Beratungsschwerpunkte
Business Intelligence
Prozess-optimierung
Technologie Beratung
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH: Unsere Standorte
Nordrhein-Westfalen
Neuss
Baden-Württemberg
Heilbronn
Bayern
München
Schweiz
Zürich
Bulgarien
Sofia
www.ibsolution.de © IBSolution GmbH
Chat-Funktion für Fragen / Einstellungen
Teilnehmer sind während der Präsentation stumm geschaltet
Bitte nutzen Sie für Fragen die Chat-Funktion
Zum Ende des Webinars wird gesammelt auf die Fragen eingegangen
www.ibsolution.de © IBSolution GmbH
AGENDA
1. Themen Einordnung
2. SSO im Überblick
3. Kundenbeispiel
4. SAP NetWeaver Single Sign On
5. Q & A
www.ibsolution.de © IBSolution GmbH
IT Sicherheit
Ihre Einordung
07.06.11
www.ibsolution.de © IBSolution GmbH
IT Sicherheit
Ihre Einordung
07.06.11
www.ibsolution.de © IBSolution GmbH
IT Sicherheit
Ihre Einordung – Bewertung der einzelnen Sicherheitsmaßnahmen im Gesamtkontext
SAP
Prozesse
OS DB
Infrastruktur
Gesamte Sicherheit
www.ibsolution.de © IBSolution GmbH
IT Sicherheit
Ihre Einordung – ausgewogene gesamte Sicherheit
SAP
Prozesse
OS DB
Infrastruktur
Gesamte Sicherheit
www.ibsolution.de © IBSolution GmbH
Problemstellung
Historisch gewachsen
http://eroonkang.com/16x16/?tag=everything
www.ibsolution.de © IBSolution GmbH
Problemstellung
Kontokennungen, Passwörter, Support
http://test.ical.ly/wp-content/uploads/2010/10/being-different-f-200x300.jpg http://androidsoftwaredownload.com/upload/androidapp/Password_Safe/Password_Safe_0.1.0.png http://escapefromindia.files.wordpress.com/2009/01/microsoft_tech_support.jpg?w=400&h=593
www.ibsolution.de © IBSolution GmbH
SSO Überblick
07.06.11 wir stellen uns vor
www.ibsolution.de © IBSolution GmbH
Übersicht SAP SSO & Begriffe
Benutzer / Passwort
SAP Logon Tickets
Cookies im Webbrowser
Kerberos
Zum Beispiel Anbindung an den AD Kerberos Service
SNC (Secure Network Communication)
SAP GUI Logon
Zertifikate (auch smartcards)
Zum Beispiel vom AD ausgestellte Zertifikate im Browser
SAML (Security Assertion Markup Language)
Identity und Service Provider
OpenID
Vgl. mit SAML ‚nur‘ in übergreifenden Szenarien.
Mögliche SAP SSO Technologien
www.ibsolution.de © IBSolution GmbH
Übersicht SAP SSO & Begriffe
Relevante Authentifizierungsmechanismen für SAP Netweaver 7.0 EP1
SAP SSO Support
Funktionalität Authentifi-
zierung
AS ABAP AS Java
Benutzer/Passwort X X X
SAP Logon Ticket X X
SPNEGO (Kerberos) X X
SNC (SAP GUI, Kerberos) X X (sap GUI)
Zertifikate (X.509) X X (Web) X
SAML1) SP SP
1) IDP mit NW 7.2
https://cw.sdn.sap.com/cw/docs/DOC-43528
www.ibsolution.de © IBSolution GmbH
Übersicht SAP SSO & Begriffe
Relevante Authentifizierungsmechanismen für SAP Netweaver 7.0 EP1
SAP SSO Support
Funktionalität Authentifi-
zierung
AS ABAP AS Java
Benutzer/Passwort X X X
SAP Logon Ticket X X
SPNEGO (Kerberos) X X
SNC (SAP GUI, Kerberos) X X (sap GUI)
Zertifikate (X.509) X X (Web) X
SAML1) SP SP
1) IDP mit NW 7.2
https://cw.sdn.sap.com/cw/docs/DOC-43528
SAP Netweaver Single Sign On
www.ibsolution.de © IBSolution GmbH
Kundenbeispiel
07.06.11 wir stellen uns vor
www.ibsolution.de © IBSolution GmbH
Kundenbeispiel 1 für SSO
Mittelständisches Unternehmen
Der Kunde • 450 SAP Benutzer • MS Active Directory • SAP Netweaver
Ausgangslage • Einführung IdM & Portal • Verschiedene Benutzerkennungen in verschiedenen SAP Systemen
Architektur • Verwendung von Zertifikaten für Single Sign On • Eigene ‘einfache’ Certificate Authority (CA) auf Basis Windows 2003
Nutzen • Kein Passwort Rollout • Verwendung der Zertifikaten auch in exsitierenden SAP Systemen • Stufenweise Einführung von SSO
www.ibsolution.de © IBSolution GmbH
Kundenbeispiel 2 für SSO
Mittelständisches Unternehmen
Der Kunde • 320 SAP Benutzer • MS Active Directory • SAP Netweaver
Ausgangslage • SSO für Landschaft SAP GUI und AS Java existiert bereits • Harmonisierte Benutzerkennungen im AD und SAP Systemen • Einführung Windows 2008 R2
Architektur • Beibehalten der von Microsoft vorgeschlagenen Sicherheits- einstellungen • Verwendung SAP NW SSO für Single Sign On für SAP GUI • SPNEGO2 für Java AS
Nutzen • Eine von allen Herstellern unterstützte Implementierung • Stufenweise Migration der Windows Server Landschaft möglich
www.ibsolution.de © IBSolution GmbH
Das Lösungs Portfolio
SAP NetWeaver Single Sign On
07.06.11 wir stellen uns vor
www.ibsolution.de © IBSolution GmbH
SAP NetWeaver Single Sign On
Secure Login
Enterprise SSO
Einbindung in Windows Anmeldeprozess
Plugins für Browser
Angekündigt: Enterprise Single Sign-On Management Console
Identity Federation (SAML 2.0)
Identity Provider
Secure Token Service (X.509 Zertifikate)
Frei verfügbar
Verschlüsselung (Kommunikationsebene)
Authentizität und Integrität der Daten
Basiert auf SNC und Kerberos
Verfügbar als Teil der SAP GUI Installation
Web Access Management (WAM)
Integration mit CA SiteMinder, Web Single Sign On
Inhalt
www.ibsolution.de © IBSolution GmbH
SAP NetWeaver Single Sign On
Meist gebräuchlichen Szenarien
für SAP GUI Windows mit Kerberos
für SAP GUI Windows mit Smart Card und bestehender PKI
für SAP GUI Windows und/oder Web Applikationen mit Zertifikaten
Bestandteile
Secure Login Libraries (Bibliotheken für SAP NW Platform)
Secure Login Client (Desktop Anwendung für SAP NW SSO)
Secure Login Server
• Eigenständige Server Komponente für eine zentrale Login Verwaltung
• Secure Login Web Client (vgl. Secure Login Client)
• Benötigt NW Java AS
Secure Login
www.ibsolution.de © IBSolution GmbH
1. SAP NetWeaver Single Sign On
Kerberos und SAP GUI für Windows
SAP Business
Suite
Microsoft Active
Directory
Anwender meldet sich am Betriebssystem an
Startet SAP GUI
Anfrage SSO- Token
Anmeldung über Token
verschlüsselte Verbindung
1
2 3
4
SAP
SAP NW SSO
SAP NW SSO
www.ibsolution.de © IBSolution GmbH
Neu mit SAP NetWeaver Single Sign On
Weiter Unterstützung von AS ABAP Plattformen (AIX, HP-UX, Linux, SUN, Windows)
1. Single Sign-On für die SAP GUI in Windows mit Kerberos
Funktionalität Authentifi-
zierung
AS ABAP AS Java
Benutzer/Passwort X X X
SAP Logon Ticket X X
SPNEGO (Kerberos) X X
SNC (SAP GUI, Kerberos) X X
Zertifikate (X.509) X X X
SAML1) SP SP
www.ibsolution.de © IBSolution GmbH
SAP Business
Suite
Microsoft Certificate
Store
Anwender meldet sich am Betriebssystem per Smart Card an
Startet SAP GUI
SSO- Anfrage
SSO- Ticket
Anmeldung über Ticket
verschlüsselte Verbindung
1
2 3
4
SAP
2. SAP SAP NetWeaver Single Sign On
Smart Card, PKI und SAP GUI für Windows
PKI
SAP NW SSO
SAP NW SSO
This presentation and SAP‘s strategy and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This document is provided
without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.
www.ibsolution.de © IBSolution GmbH
Neu mit SAP NetWeaver Single Sign On
Reine Authentifizierung mittels Zertifikaten
Einbindung einer vorhandenen Public Key Infrastruktur
Weiter Unterstützung von AS ABAP Plattformen (AIX, HP-UX, Linux, SUN, Windows)
2. Single Sign-On für SAP GUI für Windows mit Smart Card und bestehender PKI
Funktionalität Authentifi-
zierung
AS ABAP AS Java
Benutzer/Passwort X X X
SAP Logon Ticket X X
SPNEGO (Kerberos) X X
SNC (SAP GUI, Kerberos) X X
Zertifikate (X.509) X X X
SAML1) SP SP
www.ibsolution.de © IBSolution GmbH
Startet SAP GUI
Generiert “Ticket”
Auth- Anfrage am SAP NetWeaver Single Sign-On
1
4 2
Anmeldung über Ticket und verschlüsselte Verbindung
5
SAP Business
Suite Anwender
SAP
Authentisierungs-Server
...
3. SAP NetWeaver Single Sign On
Zertifikate, SAP GUI für Windows, Web Applikationen
SAP NW SSO
SAP NW SSO
Login Server
SAP NW SSO
Validierung des Benutzers
3
This presentation and SAP‘s strategy and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This document is provided
without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.
www.ibsolution.de © IBSolution GmbH
Neu mit SAP NetWeaver Single Sign On
Heterogen Unterstützung von AS ABAP/Java Plattformen
Verwendung von temporären Zertifikaten (Login Server)
Einbindung von existierenden PKI Lösungen
3. Single Sign-On für SAP GUI für Windows und/oder Web Applications mit Zertifikaten
Funktionalität Authentifi-
zierung
AS ABAP AS Java
Benutzer/Passwort X X X
SAP Logon Ticket X X
SPNEGO (Kerberos) X X
SNC (SAP GUI, Kerberos) X X
Zertifikate (X.509) X X X
SAML1) SP SP
www.ibsolution.de © IBSolution GmbH
Neu mit SAP NetWeaver Single Sign On
Identity Provider mit Secure Login Server (nicht nur mit IdM)
Security Token Service ermöglicht die Authentifizierung (X.509) und SAML 1.1 Anbindung
SSO für Web Services
Identity Federation
Funktionalität Authentifi-
zierung
AS ABAP AS Java
Benutzer/Passwort X X X
SAP Logon Ticket X X
SPNEGO (Kerberos) X X
SNC (SAP GUI, Kerberos) X X
Zertifikate (X.509) X X X
SAML1) SP SP
www.ibsolution.de © IBSolution GmbH
Haben Sie Fragen?
Fragen und Feedback
Fragen? Gern!
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH - Webinar-Reihe 2012
Willkommen zum Webinar „Single Sign-On“
Die Unterlagen finden Sie nach dem Webinar unter: http://www.slideshare.net/IBSolutionGmbH http://www.youtube.com/IBSolution
Weitere Webinar-Termine:
12.03.2012// Individuelle Anwendungsentwicklung mit SAP NetWeaver Gateway
19.03.2012 // Group Reporting: Optimierung der Konzernberichterstattung
26./30.03.2012 // SAP HANA: Überblick und Möglichkeiten
02.04.2012 // Stammdatenmanagement mit SAP MDG for Material
Infos und Anmeldung über www.ibsolution.de/veranstaltungen
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH
Salzstrasse 140
D - 74076 Heilbronn
www.ibsolution.de
MARTIN NUSSBAUMER