SAP Single Sign-On (SSO)
SAP Single Sign-On (SSO) ist ein Softwareprodukt von SAP, das Benutzern mit einem einzigen Log-In einen zentralen Zugriff auf alle vernetzten Systeme des SSO ermöglicht. Wenn der User sich zentral durch SSO angemeldet hat, ist es also bei der Verwendung anderer Portale oder Systeme nicht mehr notwendig, ein weiteres Passwort zu verwenden.
Inhaltsverzeichnis
- SAP Single Sign-On (SSO) in 90 Sekunden
- Eigenschaften von SAP Single Sign-On
- Funktionsweise
- Lösungsansätze
- Nutzen und Vorteile des Single Sign-On
- Szenarien zur Verwendung von SSO
- Von SSO 2.0 auf 3.0
- Neuerungen in SAP Single Sign On Version 3.0
- Erweiterte Unterstützung für vorhandene PKI-Implementierungen
- Optimiertes Certificate Lifecycle Management für SAP NetWeaver AS ABAP
- Erweiterte Unterstützung für Single Sign-On für mobile Geräte
- Neuer Verschlüsselungsmodus
- Secure Client für die sichere Anmeldung
- Verbesserungen für Verschlüsselungsfunktionen und Sicherheitsprotokolle
- FAQ zu SAP Single Sign-On
SAP Single Sign-On (SSO) in 90 Sekunden
Eigenschaften von SAP Single Sign-On
SAP Single Sign-On (SAP SSO) ist eine spezielle Form der Software-Authentifizierung, die es einem Benutzer ermöglicht, sich einmal zu authentifizieren und dadurch Zugang zu den Ressourcen mehrerer Systeme für den häufigen Gebrauch zu erhalten. Wenn der User sich zentral durch SSO angemeldet hat, ist es für ihn demnach ein weiteres Passwort bei der Verwendung anderer Portale oder Systeme nicht mehr notwendig.
Ein wichtiger Effekt von SSO ist die Verschlüsselung der Verbindungen zwischen Client und SAP Server. Da der Einsatz von Single Sign-On auch den Einsatz von Transportverschlüsselung (via SNC) mit sich bringt, verbessert sich neben dem Komfort für Benutzer auch die IT-Sicherheit.
Funktionsweise
SAP Single Sign-On wurde von Secude, einem SAP-Technologiepartner, entwickelt und 2011 von SAP übernommen. Es basiert auf Standardsicherheitstechnologien wie zum Beispiel Kerberos, digitale X.509-Zertifikate und SAML (Security Assertion Markup Language).
Bei der klassischen Nutzung von SAP via SAP GUI beginnt die Verwendung damit, dass der Secure Login Client den SNC-Namen des jeweiligen SAP-Serversystems abruft, indem er auf die SAP GUI-Verbindung klickt. Anschließend startet beim Ticket Granting Service eine Anforderung für ein Kerberos Service-Token. Nachdem das Token empfangen wurde, stellt der Secure Login Client dieses für SAP Single Sign-On und die sichere Kommunikation zwischen SAP Client und SAP-Server bereit. Danach wird der Benutzer authentifiziert und die Kommunikation ist gesichert.
Das Diagramm zeigt Schritt für Schritt den Arbeitsablauf und die Kommunikation zwischen verschiedenen Komponenten.
Lösungsansätze
Neben Client-basierten Lösungen zur Verwaltung verschiedener Anmeldedaten existieren generell zwei unterschiedliche Lösungsansätze für Single Sign-On-Landschaften. Beide Ansätze basieren im Kern auf der Ausstellung eines verschlüsselten Tickets nach der erfolgreichen Authentifizierung des Benutzers, wodurch eine erneute Authentifizierung ersetzt wird.
Damit das Sicherheitsrisiko des Diebstahls eines solchen Tickets minimal bleibt, wird das Ticket nur mit einer begrenzten Gültigkeit ausgestellt. Nach dem Ablauf der Zeit ist eine erneute Authentifizierung notwendig. Die beiden Ansätze unterscheiden sich aufgrund ihres Aufbaus und dem Grad der Zentralisierung.
Circle of Trust
Durch den Circle of Trust stellen alle Systeme der SSO-Domäne eine Vertrauensbeziehung her. Wenn ein Benutzer von einem der Systeme authentifiziert worden ist, so wird ein verifiziertes Ticket erstellt. Mit diesem Ticket vertrauen die übrigen Systeme dieser verifizierten Identität. Für den Ablauf einer derartigen Infrastruktur ist die Kommunikation alles Systeme untereinander erforderlich. Hierbei müssen die Anmeldeverfahren aller Systeme aufeinander abgestimmt werden. Die Benutzerverwaltung erfolgt in diesem Ansatz weiterhin dezentral, ohne die Ergreifung weiterer Maßnahmen.
Zentraler Authentifizierungsserver
Die interaktive Authentisierung des Benutzers geschieht bei dem Einsatz eines zentralen Authentifizierungsservers stets an einem zentralen Einstiegspunkt. Wenn ein nicht authentifizierter Benutzer versucht, Zugriff auf ein System der SSO-Domäne zu erhalten, wird dieser zunächst an den Anmeldeserver verwiesen. Der Server kann nun mit einer zentralen Benutzerdatenbank die Anmeldedaten abgleichen und dann dem Benutzer wiederum ein Ticket ausstellen. Dies geschieht allerdings nur, wenn die Authentifizierung erfolgreich war. Mit diesem Ticket wird im weiteren Verlauf der Zugriff auf die übrigen Systeme gewährleistet.
Nutzen und Vorteile des Single Sign-On
Insgesamt erhalten die Benutzer mit nur einem Passwort einen sicheren Zugriff auf Anwendungen und Geschäftsprozesse über mehrere Systeme hinweg. Durch die SSO Lösung wird die Authentifizierung gestärkt und digitale Signaturen sowie moderne Verschlüsselungen unterstützt.
Ein großer Vorteil für die Mitarbeiter selbst ist, dass sie sich nur ein Passwort merken müssen. Das spart Kosten und Zeit beim Helpdesk und den Administratoren, da sich die Anfragen für Passwortwiederherstellung reduzieren. Die Produktivität im Arbeitsalltag kann so ebenfalls steigen, weil durch die einmalige Anmeldung bereits alle Systeme des jeweiligen Mitarbeiters direkt einsatzbereit sind.
Sicherheitstechnisch bietet SSO einen weiteren großen Vorteil. Da die mehrfache Verwaltung und Übertragung von Benutzerdaten nicht mehr stattfinden, fallen eine Vielzahl von Angriffspunkten für einen Datenmissbrauch weg. Die Administration wird außerdem vereinfacht, weil Aktionen wie das Sperren von Benutzerkonten zentral gesteuert werden kann. Das verhindert etwa das Übersehen eines möglichen Zugangs, auf den ein ehemaliger Mitarbeiter noch Zugriff haben könnte. Compliance und Sicherheit werden somit gestärkt.
Szenarien zur Verwendung von SSO
SAP Single Sign-On ermöglicht drei Schlüsselszenarien: SSO für Anwendungen der SAP Business Suite, SSO für heterogene Umgebungen und SSO für Cloud-basierte und unternehmensübergreifende Szenarien.
Single Sign-On für die SAP Business Suite
Für die Einrichtung der SAP Business Suite-Software können Kerberos-Authentifizierungstoken verwendet werden. Mitarbeiter melden sich einmalig an, wenn sie ihre Computer starten, indem sie sich in ihrer Windows-Domäne einloggen. Alle nachfolgenden Authentifizierungsprozesse werden einem Kerberos-Token-Mechanismus überlassen, der von SAP SSO bereitgestellt wird und auf Microsoft Active Directory basiert. Dieses Szenario erfordert keinen zusätzlichen Server.
Single Sign-On für heterogene IT-Landschaften
SSO kann auch implementiert werden, wenn Systeme verschiedener Hersteller in der IT Landschaft eines Unternehmens im Einsatz sind. SAP SSO bietet Unterstützung für X.509-Zertifikate auf Basis von z.B. Smartcards. Diese digitalen Zertifikate sind ein Standard, den die Mehrheit der heute verfügbaren Unternehmenssoftwareprodukte unterstützen. Es können eigene Public-Key-Infrastruktur (PKI) für die Ausgabe von X.509-Zertifikaten eingerichtet werden. Außerdem gibt es die Möglichkeit, über die sichere Login-Server-Software kurzlebige Zertifikate ausstellen zu lassen.
Mit der Software des Login-Servers müssen keine vollständigen PKI mit administrativen Prozessen wie z.B. Sperrlisten für Zertifikate eingerichtet werden. Die Aktivierung eines solchen Szenarios bedeutet, dass Benutzer sich einmalig anmelden können, um nicht nur Zugriff auf ihre SAP-Software, sondern auch auf viele ihrer Non-SAP-Anwendungen zu erhalten.
Single Sign-On für Cloud-Lösungen
Kerberos- und X.509-Zertifikate decken viele Anwendungsfälle für SSO in Unternehmen ab. Immer mehr Unternehmen versuchen jedoch, Vertrauensbeziehungen über Unternehmensgrenzen hinweg oder in der Cloud aufzubauen. Auch hier ist es möglich SSO zu integrieren. Dafür wird die Security Assertion Markup Language (SAML) 2.0 eingerichtet. Mit dieser Internet-Standardtechnologie ist eine webbasierte SSO Nutzung möglich. Das gewährleistet die Authentifizierung auch dann, wenn zwischen verschiedenen Unternehmen ausgetauscht und genutzt werden.
Von SSO 2.0 auf 3.0
Die Version 3.0 unterstützt weiterhin alle Funktionen von Version 2.0. Die Grundlagen der Hauptszenarien bleiben unverändert. Eine in Version 2.0 gestartete Implementierung muss in Version 3.0 nicht wiederholt oder angepasst werden. Außerdem kann mit der Version 3.0 die Reichweite der vorhandenen Implementierung auf zusätzliche Szenarien ausgedehnt werden.
Die neuen Funktionen sind optional und können jederzeit aktiviert werden. Das Aktualisieren von Produktkomponenten von Version 2.0 auf 3.0 ist dabei problemlos möglich und funktioniert wie ein Patch. Die Komponenten können in beliebiger Reihenfolge aktualisiert werden, solange keine spezifische Funktionalität der Version 3.0 erforderlich ist.
Neuerungen in SAP Single Sign On Version 3.0
Erweiterte Unterstützung für vorhandene PKI-Implementierungen
Mit SAP Single Sign-On 3.0 kann der Secure Login Server als Registration Authority (RA) dienen. Die vorhandene Public-Key-Infrastruktur (PKI) wird als Certificate Authority (CA) für Benutzer- und Serverzertifikate benutzt. Wenn eine Unternehmens-PKI bereits vorhanden ist, muss keine zweite erstellen werden. Zertifikate können basierend auf der festgelegten PKI- und Sicherheitsrichtlinie signiert werden. Die Speicher- und Sperrvorgänge bleiben dabei gültig.
Optimiertes Certificate Lifecycle Management für SAP NetWeaver AS ABAP
SAP Single Sign-On 3.0 führt eine effizientere Verwaltung des Certificate Lifecycle ein. Die Administrationskonsole von Secure Login Server unterstützt Verwalter durch die Automatisierung von Erneuerungen für Serverkomponenten in der Landschaft. Dies reduziert den manuellen Aufwand erheblich, schließt die Risiken menschlicher Fehler aus und vermeidet kostspielige Systemausfälle.
Erweiterte Unterstützung für Single Sign-On für mobile Geräte
Mit dem Secure Login Server können außerdem X.509-Zertifikate auf verschiedene Arten für mobile Geräte bereitgestellt werden. In der Vergangenheit konnte das Simple Certificate Enrollment Protocol (SCEP) verwendet werden. Die Version 3.0 unterstützt nun auch die Bereitstellung von X.509-Zertifikaten auf einem mobilen Gerät über die mobile App von SAP Authenticator für iOS. Jetzt ist möglich, einen eigenen benutzerdefinierten Code für die Zertifikatregistrierung mithilfe der REST-API zu entwickeln, die vom Secure Login Server bereitgestellt wird.
Darüber hinaus bietet SAP Single Sign-On 3.0 eine mobile SSO-Lösung für gemeinsam genutzte mobile Geräte. Die Lösung ist derzeit über die SAP Authenticator-App für Android verfügbar und basiert auf der NFC-Readertechnologie.
Ihr Plan für bessere SAP Berechtigungen
In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.
Neuer Verschlüsselungsmodus
Der neue Verschlüsselungsmodus von SAP Single Sign-On 3.0 ermöglicht die Netzwerkverschlüsselung für das SNC-Protokoll, das für die Kommunikation mit SAP-Systemen verwendet wird. Dies geschieht auch dann, wenn ein benutzerspezifisches Sicherheitstoken vorübergehend nicht verfügbar oder noch nicht konfiguriert ist. Auf diese Weise ist die Datenkommunikation während eines Implementierungsprojekts schon geschützt, bevor eine benutzerspezifische Konfiguration vorgenommen wird. Außerdem ist der Datenschutz gewährleistet, wenn z.B. die Chipkarte mit dem digitalen Zertifikat verloren geht.
Secure Client für die sichere Anmeldung
SAP Single Sign-On 3.0 enthält eine neue Version des Secure Login Web Client. Dieser basiert auf einer überarbeiteten Architektur und weiteren Integrationsoptionen. Mit Hilfe des Secure Login Web Client kann ein laufender Geschäftsprozess einer Browsersitzung eine nahtlose Authentifizierung für ein installiertes Programm auf dem Benutzerdesktop auslösen.
Ab SAP Single Sign-On 3.0 ist der Secure Login Web Client nicht mehr von Java oder ActiveX abhängig. Dadurch entfallen die bisherigen Einschränkungen bei der Browserunterstützung.
Verbesserungen für Verschlüsselungsfunktionen und Sicherheitsprotokolle
Die neuste Version überstützt jetzt auch Perfect Forward Secrecy für die SNC-Kommunikation. Dadurch wird das Risiko gemindert, dass ein Angreifer durch attackierte Schlüssel zuvor aufgezeichnete Sitzungsdaten entschlüsseln kann. Auch die neue Version der SSL / TLS-Verschlüsselungssuite „TLS_FALLBACK_SCSV“ kann nun genutzt werden. Diese gewährleistet zusätzlich einen besseren Schutz vor Protokoll-Downgrade-Angriffen.
SSO in der Cloud mit SAP Secure Login Service for SAP GUI
SAP plant die Einführung eines Nachfolgeprodukts für das SAP Single Sign-On (SSO), da die Mainstream-Wartung des SAP NetWeaver AS Java, der die Basis für SAP SSO bildet, Ende 2027 ausläuft. Dieses neue Produkt ist der SAP Secure Login Service for SAP GUI, eine cloud-basierte Lösung, die einige Vorteile gegenüber dem bisherigen System bieten soll.
Im Gegensatz zum bisherigen System, bei dem X.509-Zertifikate von AS Java ausgestellt wurden, erfolgt die Zertifikatsausstellung nun über einen Cloud-Service. Dies erleichtert die Wartung, da kein eigener Server mehr benötigt wird. Zudem verbessert sich die Integration mit Identitätsanbietern (Identity Providers, IdPs), welche hingegen bei der On-Premise-Lösung im Zusammenhang mit dem SAP Secure Login Web Client oft zu UX-Problemen führte.
Kunden, die von SAP SSO auf den neuen SAP Secure Login Service for SAP GUI umsteigen möchten, können ihre bestehenden Identity-Provisioning-Lösungen, wie SAP Identity Services oder Microsoft Azure Directory, weiterhin nutzen und deren Konfigurationen beibehalten. Bei Verwendung der Kerberos-Technologie deckt der SAP Secure Login Service die Anforderungen des Secure Login Clients auf der Clientseite ab, sodass keine Cloud-Verbindung mehr erforderlich ist.
FAQ zu SAP Single Sign-On
Was ist SAP Single Sign-On?
Das SAP Single Sign-On (kurz SSO) ist ein Softwareprodukt von SAP und ermöglicht Benutzern mit einem einzigen Log-In einen zentralen Zugriff auf alle angeschlossenen Systeme.
Wie funktioniert der SAP Single Sign-On?
Für die Nutzung in Verbindung mit der SAP GUI wird eine kleine Client-Software, der Secure Login Client, ausgeliefert. Für gängige SAP und Non-SAP-Webapplikationen werden Standardsicherheitstechnologien, darunter Kerberos, X.509-Zertifikate und SAML unterstützt. Bei komplexeren Szenarien wie dem Einsatz von Einmalpasswörtern oder der Anbindung spezieller Authentifizierungsquellen kann der Java-basierte Secure Login Server eingesetzt werden.
Was sind die Vorteile des Single Sign-On?
Die Benutzer erhalten mehr Komfort, denn sie müssen sich nur ein Passwort für alle Anwendungen merken. Das erhöht die Effizienz im Arbeitsalltag und erspart auch dem Helpdesk viel Zeit. Da der Einsatz von Single Sign-On auch den Einsatz von Transportverschlüsselung (via SNC) mit sich bringt, verbessert sich neben dem Komfort für Benutzer auch die IT-Sicherheit.
Weiterführende Links und mehr Informationen
- Produktseite von SAP
- Single Sign On für SAP GUI: Einrichtung SNC für SAP auf Windows
- SSO Troubleshooting Checklist
- Single Sign On mit KeePass
- Single-Sign-On: Trust-Verbindung einrichten mit dem SSO2-Wizard
- Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario
11 Kommentare zu "SAP Single Sign-On (SSO)"
Der SAP-Communicator liegt nicht im Source Code vor.
Dies widerspricht den Geschäftsvorgaben zur betrieblichen Nutzung unserer mobilen Telefone.
Ergo: ein Showstopper, für alle, die Datensicherheit ernst nehmen.
Hallo
Vielen Dank für diesen Beitrag.
Mir ist aber leider noch nicht klar, muss der Secure Login Server am Solution Manager installiert werden ? Da überrall steht, dass Secure Login Server in Solution Manager integriert ist.
Muss Secure Login Server lizensiert werden ?
Danke schön
Hallo Tim,
ja, der Secure Login Server muss lizensiert werden (Teil von SAP Single Sign-On). Er kann, muss aber nicht auf dem Solution Manager installiert werden, er kann auch auf einem anderen System mitlaufen.
Viele Grüße
Tobias
Hallo Tobias,
Benötigt SSO immer Active Directory bzw. funktioniert SSO nur in Zusamenhang mit Active Directory ?
Danke
Hi Edvin,
SAP Single Sign On unterstützt neben Active Directory auch andere Anmeldemechanismen: RADIUS server, LDAP server, SAP Single Sign-On selbst, Smart card authentication und RFID identification
Such mal nach dem Implementation Guide, ich habe hier eine URL (aber die ändern sich gerne mal): Secure Login for SAP Single Sign-On
Implementation Guide https://help.sap.com/doc/7d3f26c449524c54b5d8232e11f0a771/3.0/en-us/secureloginforsapsso3.0_uacp.pdf
Viele Grüße
Tobias
Hallo Herr Harmes,
muss immer der Secure login Client auf End User Laptops installiert werden ? Oder geht SSO auch ohne Secure login Client, wenn man z.b. S/4HANA Systeme, SAP Cloud und Premise Systeme verwendet ? Gibt es eine Alternative zu Secure login Client ?
Ist Secure Login Server kostenpflichtig ?
Best Dank im Voraus
Beste Grüße
Michael
Hallo Michael,
hier die Antwort unseres Experten:
“Für Cloud Systeme geht es auf jeden Fall ohne Secure Login Client, da kann der Login z. B. über Azure Active Directory erfolgen mit Hilfe des IAS.”
Viele Grüße
Die RZ10-Redaktion
Hallo Tobias,
wir haben in jedem Mandant mehrere Benutzer für ein einzigen User. Also ein Benutzer hat verschiedene Kennungen in einem Mandant.
Wie kann man SSO mit mehreren Benutzer in einem Mandanten (also mehrere User für einen Benutzer) realisieren ?
Vielen Dank im Voraus für jeden Tip.
Wic
Hallo und vielen Dank für die Frage!
Hier die Antwort unseres Experten:
“Die verschiedenen Benutzer müssen den gleichen SNC-String in ihrem Stammsatz haben – dann kann der User im Login auswählen, welchen User er nutzen möchte. Zumindest ist dies in der SAP GUI so.”
Viele Grüße
Die RZ10-Redaktion
Hallo RZ10-Team,
kann SAP SSO für S/4HANA-Systeme (On Premise) eingesetzt werden?
Im PAM steht: verfügbar für Business Suite 7 / NW 7.50. Und das Maintenance endet 2027.
Was verwendet man für S/4 SSO?
Danke und viele Grüße
Peter
Hallo Peter,
danke für die Frage! Hier die Antwort unseres Experten:
SSO kann auch weiterhin für S/4HANA eingesetzt werden. Zukünftig setzt SAP allerdings nicht mehr auf den “veralteten” SAP Secure Login-Server, sondern auf den neuen Cloud-Service in der BTP: SAP Secure Login Service. Das ist die neue SSO-Verwaltung von SAP.
Gerne können wir uns noch einmal konkreter darüber unterhalten!
Viele Grüße aus der RZ10-Redaktion