SAP Single Sign-On (SSO)

SAP Single Sign-On (SSO) in 90 Sekunden

Eigenschaften von SAP Single Sign-On

SAP Single Sign-On (SAP SSO) ist eine spezielle Form der Software-Authentifizierung, die es einem Benutzer ermöglicht, sich einmal zu authentifizieren und dadurch Zugang zu den Ressourcen mehrerer Systeme für den häufigen Gebrauch zu erhalten. Wenn der User sich zentral durch SSO angemeldet hat, ist es für ihn demnach ein weiteres Passwort bei der Verwendung anderer Portale oder Systeme nicht mehr notwendig.  

Ein wichtiger Effekt von SSO ist die Verschlüsselung der Verbindungen zwischen Client und SAP Server. Da der Einsatz von Single Sign-On auch den Einsatz von Transportverschlüsselung (via SNC) mit sich bringt, verbessert sich neben dem Komfort für Benutzer auch die IT-Sicherheit. 

Funktionsweise

SAP Single Sign-On wurde von Secude, einem SAP-Technologiepartner, entwickelt und 2011 von SAP übernommen. Es basiert auf Standardsicherheitstechnologien wie zum Beispiel Kerberos, digitale X.509-Zertifikate und SAML (Security Assertion Markup Language).  

Bei der klassischen Nutzung von SAP via SAP GUI beginnt die Verwendung damit, dass der Secure Login Client den SNC-Namen des jeweiligen SAP-Serversystems abruft, indem er auf die SAP GUI-Verbindung klickt. Anschließend startet beim Ticket Granting Service eine Anforderung für ein Kerberos Service-Token. Nachdem das Token empfangen wurde, stellt der Secure Login Client dieses für SAP Single Sign-On und die sichere Kommunikation zwischen SAP Client und SAP-Server bereit. Danach wird der Benutzer authentifiziert und die Kommunikation ist gesichert. 

Quelle: SAP

Das Diagramm zeigt Schritt für Schritt den Arbeitsablauf und die Kommunikation zwischen verschiedenen Komponenten.

Lösungsansätze

Neben Client-basierten Lösungen zur Verwaltung verschiedener Anmeldedaten existieren generell zwei unterschiedliche Lösungsansätze für Single Sign-On-Landschaften. Beide Ansätze basieren im Kern auf der Ausstellung eines verschlüsselten Tickets nach der erfolgreichen Authentifizierung des Benutzers, wodurch eine erneute Authentifizierung ersetzt wird.  

Damit das Sicherheitsrisiko des Diebstahls eines solchen Tickets minimal bleibt, wird das Ticket nur mit einer begrenzten Gültigkeit ausgestellt. Nach dem Ablauf der Zeit ist eine erneute Authentifizierung notwendig. Die beiden Ansätze unterscheiden sich aufgrund ihres Aufbaus und dem Grad der Zentralisierung. 

Circle of Trust

Durch den Circle of Trust stellen alle Systeme der SSO-Domäne eine Vertrauensbeziehung her. Wenn ein Benutzer von einem der Systeme authentifiziert worden ist, so wird ein verifiziertes Ticket erstellt. Mit diesem Ticket vertrauen die übrigen Systeme dieser verifizierten Identität. Für den Ablauf einer derartigen Infrastruktur ist die Kommunikation alles Systeme untereinander erforderlich. Hierbei müssen die Anmeldeverfahren aller Systeme aufeinander abgestimmt werden. Die Benutzerverwaltung erfolgt in diesem Ansatz weiterhin dezentral, ohne die Ergreifung weiterer Maßnahmen. 

Zentraler Authentifizierungsserver

Die interaktive Authentisierung des Benutzers geschieht bei dem Einsatz eines zentralen Authentifizierungsservers stets an einem zentralen Einstiegspunkt. Wenn ein nicht authentifizierter Benutzer versucht, Zugriff auf ein System der SSO-Domäne zu erhalten, wird dieser zunächst an den Anmeldeserver verwiesen. Der Server kann nun mit einer zentralen Benutzerdatenbank die Anmeldedaten abgleichen und dann dem Benutzer wiederum ein Ticket ausstellen. Dies geschieht allerdings nur, wenn die Authentifizierung erfolgreich war. Mit diesem Ticket wird im weiteren Verlauf der Zugriff auf die übrigen Systeme gewährleistet. 

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Jetzt anfordern

E-Book SAP Security und Berechtigungen

×

Nutzen und Vorteile des Single Sign-On

Insgesamt erhalten die Benutzer mit nur einem Passwort einen sicheren Zugriff auf Anwendungen und Geschäftsprozesse über mehrere Systeme hinweg. Durch die SSO Lösung wird die Authentifizierung gestärkt und digitale Signaturen sowie moderne Verschlüsselungen unterstützt.  

Ein großer Vorteil für die Mitarbeiter selbst ist, dass sie sich nur ein Passwort merken müssen. Das spart Kosten und Zeit beim Helpdesk und den Administratoren, da sich die Anfragen für Passwortwiederherstellung reduzieren. Die Produktivität im Arbeitsalltag kann so ebenfalls steigen, weil durch die einmalige Anmeldung bereits alle Systeme des jeweiligen Mitarbeiters direkt einsatzbereit sind.  

Sicherheitstechnisch bietet SSO einen weiteren großen Vorteil. Da die mehrfache Verwaltung und Übertragung von Benutzerdaten nicht mehr stattfinden, fallen eine Vielzahl von Angriffspunkten für einen Datenmissbrauch weg. Die Administration wird außerdem vereinfacht, weil Aktionen wie das Sperren von Benutzerkonten zentral gesteuert werden kann. Das verhindert etwa das Übersehen eines möglichen Zugangs, auf den ein ehemaliger Mitarbeiter noch Zugriff haben könnte. Compliance und Sicherheit werden somit gestärkt.  

Szenarien zur Verwendung von SSO

SAP Single Sign-On ermöglicht drei Schlüsselszenarien: SSO für Anwendungen der SAP Business Suite, SSO für heterogene Umgebungen und SSO für Cloud-basierte und unternehmensübergreifende Szenarien.

Quelle: SAP

Single Sign-On für die SAP Business Suite

Für die Einrichtung der SAP Business Suite-Software können Kerberos-Authentifizierungstoken verwendet werden. Mitarbeiter melden sich einmalig an, wenn sie ihre Computer starten, indem sie sich in ihrer Windows-Domäne einloggen. Alle nachfolgenden Authentifizierungsprozesse werden einem Kerberos-Token-Mechanismus überlassen, der von SAP SSO bereitgestellt wird und auf Microsoft Active Directory basiert. Dieses Szenario erfordert keinen zusätzlichen Server. 

Single Sign-On für heterogene IT-Landschaften

SSO kann auch implementiert werden, wenn Systeme verschiedener Hersteller in der IT Landschaft eines Unternehmens im Einsatz sind. SAP SSO bietet Unterstützung für X.509-Zertifikate auf Basis von z.B. Smartcards. Diese digitalen Zertifikate sind ein Standard, den die Mehrheit der heute verfügbaren Unternehmenssoftwareprodukte unterstützen. Es können eigene Public-Key-Infrastruktur (PKI) für die Ausgabe von X.509-Zertifikaten eingerichtet werden. Außerdem gibt es die Möglichkeit, über die sichere Login-Server-Software kurzlebige Zertifikate ausstellen zu lassen.  

Mit der Software des Login-Servers müssen keine vollständigen PKI mit administrativen Prozessen wie z.B. Sperrlisten für Zertifikate eingerichtet werden. Die Aktivierung eines solchen Szenarios bedeutet, dass Benutzer sich einmalig anmelden können, um nicht nur Zugriff auf ihre SAP-Software, sondern auch auf viele ihrer Non-SAP-Anwendungen zu erhalten. 

Single Sign-On für Cloud-Lösungen

Kerberos- und X.509-Zertifikate decken viele Anwendungsfälle für SSO in Unternehmen ab. Immer mehr Unternehmen versuchen jedoch, Vertrauensbeziehungen über Unternehmensgrenzen hinweg oder in der Cloud aufzubauen. Auch hier ist es möglich SSO zu integrieren. Dafür wird die Security Assertion Markup Language (SAML) 2.0 eingerichtet. Mit dieser Internet-Standardtechnologie ist eine webbasierte SSO Nutzung möglich. Das gewährleistet die Authentifizierung auch dann, wenn zwischen verschiedenen Unternehmen ausgetauscht und genutzt werden. 

Von SSO 2.0 auf 3.0

Die Version 3.0 unterstützt weiterhin alle Funktionen von Version 2.0. Die Grundlagen der Hauptszenarien bleiben unverändert. Eine in Version 2.0 gestartete Implementierung muss in Version 3.0 nicht wiederholt oder angepasst werden. Außerdem kann mit der Version 3.0 die Reichweite der vorhandenen Implementierung auf zusätzliche Szenarien ausgedehnt werden.  

Die neuen Funktionen sind optional und können jederzeit aktiviert werden. Das Aktualisieren von Produktkomponenten von Version 2.0 auf 3.0 ist dabei problemlos möglich und funktioniert wie ein Patch. Die Komponenten können in beliebiger Reihenfolge aktualisiert werden, solange keine spezifische Funktionalität der Version 3.0 erforderlich ist.

Neuerungen in SAP Single Sign On Version 3.0

Erweiterte Unterstützung für vorhandene PKI-Implementierungen

Mit SAP Single Sign-On 3.0 kann der Secure Login Server als Registration Authority (RA) dienen. Die vorhandene Public-Key-Infrastruktur (PKI) wird als Certificate Authority (CA) für Benutzer- und Serverzertifikate benutzt. Wenn eine Unternehmens-PKI bereits vorhanden ist, muss keine zweite erstellen werden. Zertifikate können basierend auf der festgelegten PKI- und Sicherheitsrichtlinie signiert werden. Die Speicher- und Sperrvorgänge bleiben dabei gültig. 

Optimiertes Certificate Lifecycle Management für SAP NetWeaver AS ABAP

SAP Single Sign-On 3.0 führt eine effizientere Verwaltung des Certificate Lifecycle ein. Die Administrationskonsole von Secure Login Server unterstützt Verwalter durch die Automatisierung von Erneuerungen für Serverkomponenten in der Landschaft. Dies reduziert den manuellen Aufwand erheblich, schließt die Risiken menschlicher Fehler aus und vermeidet kostspielige Systemausfälle. 

Erweiterte Unterstützung für Single Sign-On für mobile Geräte

Mit dem Secure Login Server können außerdem X.509-Zertifikate auf verschiedene Arten für mobile Geräte bereitgestellt werden. In der Vergangenheit konnte das Simple Certificate Enrollment Protocol (SCEP) verwendet werden. Die Version 3.0 unterstützt nun auch die Bereitstellung von X.509-Zertifikaten auf einem mobilen Gerät über die mobile App von SAP Authenticator für iOS. Jetzt ist möglich, einen eigenen benutzerdefinierten Code für die Zertifikatregistrierung mithilfe der REST-API zu entwickeln, die vom Secure Login Server bereitgestellt wird. 

Darüber hinaus bietet SAP Single Sign-On 3.0 eine mobile SSO-Lösung für gemeinsam genutzte mobile Geräte. Die Lösung ist derzeit über die SAP Authenticator-App für Android verfügbar und basiert auf der NFC-Readertechnologie. 

Neuer Verschlüsselungsmodus

Der neue Verschlüsselungsmodus von SAP Single Sign-On 3.0 ermöglicht die Netzwerkverschlüsselung für das SNC-Protokoll, das für die Kommunikation mit SAP-Systemen verwendet wird. Dies geschieht auch dann, wenn ein benutzerspezifisches Sicherheitstoken vorübergehend nicht verfügbar oder noch nicht konfiguriert ist. Auf diese Weise ist die Datenkommunikation während eines Implementierungsprojekts schon geschützt, bevor eine benutzerspezifische Konfiguration vorgenommen wird. Außerdem ist der Datenschutz gewährleistet, wenn z.B. die Chipkarte mit dem digitalen Zertifikat verloren geht. 

Secure Client für die sichere Anmeldung

SAP Single Sign-On 3.0 enthält eine neue Version des Secure Login Web Client. Dieser basiert auf einer überarbeiteten Architektur und weiteren Integrationsoptionen. Mit Hilfe des Secure Login Web Client kann ein laufender Geschäftsprozess einer Browsersitzung eine nahtlose Authentifizierung für ein installiertes Programm auf dem Benutzerdesktop auslösen. 

Ab SAP Single Sign-On 3.0 ist der Secure Login Web Client nicht mehr von Java oder ActiveX abhängig. Dadurch entfallen die bisherigen Einschränkungen bei der Browserunterstützung. 

Verbesserungen für Verschlüsselungsfunktionen und Sicherheitsprotokolle

Die neuste Version überstützt jetzt auch Perfect Forward Secrecy für die SNC-Kommunikation. Dadurch wird das Risiko gemindert, dass ein Angreifer durch attackierte Schlüssel zuvor aufgezeichnete Sitzungsdaten entschlüsseln kann. Auch die neue Version der SSL / TLS-Verschlüsselungssuite „TLS_FALLBACK_SCSV“ kann nun genutzt werden. Diese gewährleistet zusätzlich einen besseren Schutz vor Protokoll-Downgrade-Angriffen. 

SSO in der Cloud mit SAP Secure Login Service for SAP GUI

SAP plant die Einführung eines Nachfolgeprodukts für das SAP Single Sign-On (SSO), da die Mainstream-Wartung des SAP NetWeaver AS Java, der die Basis für SAP SSO bildet, Ende 2027 ausläuft. Dieses neue Produkt ist der SAP Secure Login Service for SAP GUI, eine cloud-basierte Lösung, die einige Vorteile gegenüber dem bisherigen System bieten soll.

Im Gegensatz zum bisherigen System, bei dem X.509-Zertifikate von AS Java ausgestellt wurden, erfolgt die Zertifikatsausstellung nun über einen Cloud-Service. Dies erleichtert die Wartung, da kein eigener Server mehr benötigt wird. Zudem verbessert sich die Integration mit Identitätsanbietern (Identity Providers, IdPs), welche hingegen bei der On-Premise-Lösung im Zusammenhang mit dem SAP Secure Login Web Client oft zu UX-Problemen führte.

Abbildung 1: Überblick SAP Secure Login Service for SAP GUI. Quelle: SAP

Kunden, die von SAP SSO auf den neuen SAP Secure Login Service for SAP GUI umsteigen möchten, können ihre bestehenden Identity-Provisioning-Lösungen, wie SAP Identity Services oder Microsoft Azure Directory, weiterhin nutzen und deren Konfigurationen beibehalten. Bei Verwendung der Kerberos-Technologie deckt der SAP Secure Login Service die Anforderungen des Secure Login Clients auf der Clientseite ab, sodass keine Cloud-Verbindung mehr erforderlich ist.

FAQ zu SAP Single Sign-On

Was ist SAP Single Sign-On? 

Das SAP Single Sign-On (kurz SSO) ist ein Softwareprodukt von SAP und ermöglicht Benutzern mit einem einzigen Log-In einen zentralen Zugriff auf alle angeschlossenen Systeme. 

Wie funktioniert der SAP Single Sign-On? 

Für die Nutzung in Verbindung mit der SAP GUI wird eine kleine Client-Software, der Secure Login Client, ausgeliefert. Für gängige SAP und Non-SAP-Webapplikationen werden Standardsicherheitstechnologien, darunter Kerberos, X.509-Zertifikate und SAML unterstützt. Bei komplexeren Szenarien wie dem Einsatz von Einmalpasswörtern oder der Anbindung spezieller Authentifizierungsquellen kann der Java-basierte Secure Login Server eingesetzt werden. 

Was sind die Vorteile des Single Sign-On? 

Die Benutzer erhalten mehr Komfort, denn sie müssen sich nur ein Passwort für alle Anwendungen merken. Das erhöht die Effizienz im Arbeitsalltag und erspart auch dem Helpdesk viel Zeit. Da der Einsatz von Single Sign-On auch den Einsatz von Transportverschlüsselung (via SNC) mit sich bringt, verbessert sich neben dem Komfort für Benutzer auch die IT-Sicherheit. 

Weiterführende Links und mehr Informationen 

• Produktseite von SAP
• Single Sign On für SAP GUI: Einrichtung SNC für SAP auf Windows
• SSO Troubleshooting Checklist
• Single Sign On mit KeePass
• Single-Sign-On: Trust-Verbindung einrichten mit dem SSO2-Wizard
• Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario