SAP Single Sign-On (SSO)

1

SAP Single Sign-On (SSO) ist ein Softwareprodukt von SAP und ermöglicht Benutzern mit einem einzigen Log-In einen zentralen Zugriff auf alle vernetzten Systeme des SSO. Wenn der User sich zentral durch SSO angemeldet hat, ist es also bei der Verwendung anderer Portale oder Systeme nicht mehr notwendig ein weiteres Passwort zu verwenden.

Eigenschaften von SAP Single Sign-On

SAP Single Sign-On (SAP SSO) ist eine spezielle Form der Software-Authentifizierung, die es einem Benutzer ermöglicht, sich einmal zu authentifizieren und Zugang zu den Ressourcen mehrerer Systeme für den täglichen Gebrauch zu erhalten. SSO ermöglicht so autorisierten Benutzern einen transparenten Zugriff auf Software-Ressourcen über technische Systemgrenzen hinweg. Wenn der User sich zentral durch SSO angemeldet hat, ist es also bei der Verwendung anderer Portale oder Systeme nicht mehr notwendig ein weiteres Passwort zu verwenden. Ein wichtiger Nebeneffekt ist auch die Verschlüsselung der Verbindungen zwischen Client und SAP Server. Da der Einsatz von Single Sign On auch den Einsatz von Transportverschlüsselung (via SNC) mit sich bringt, verbessert sich oft neben dem Komfort für Benutzer auch die IT-Sicherheit.

Funktionsweise

SAP Single Sign On wurde von Secude, einem SAP-Technologiepartner, entwickelt und 2011 von SAP übernommen. Es basiert auf Standardsicherheitstechnologien, darunter Kerberos, digitale X.509-Zertifikate und SAML (Security Assertion Markup Language). Bei der klassischen Nutzung von SAP via SAP GUI läuft die Verwendung wie folgt ab: Sobald der Benutzer auf die SAP GUI-Verbindung klickt, ruft der Secure Login Client den SNC-Namen (User Principal Name des Servicebenutzers) des jeweiligen SAP-Serversystems ab. Anschließend startet beim Ticket Granting Service eine Anforderung für ein Kerberos Service-Token. Nachdem das Token empfangen wurde, stellt der Secure Login Client dieses für SAP Single Sign-On und die sichere Kommunikation zwischen SAP Client und SAP-Server bereit. Danach wird der Benutzer authentifiziert und die Kommunikation ist gesichert.

Quelle: SAP

Das Diagramm zeigt Schritt für Schritt den Arbeitsablauf und die Kommunikation zwischen verschiedenen Komponenten.

Lösungsansätze

Neben Client-basierten Lösungen zur Verwaltung verschiedener Anmeldedaten existieren generell zwei unterschiedliche Lösungsansätze für Single Sign-On-Landschaften. Beide Ansätze basieren im Kern auf der Ausstellung eines verschlüsselten Tickets nach der erfolgreichen Authentifizierung des Benutzers, wodurch eine erneute Authentifizierung ersetzt wird. Damit das Sicherheitsrisiko des Diebstahls eines solchen Tickets minimiert wird, wird das Ticket nur mit einer begrenzten Gültigkeit ausgestellt. Nach dem Ablauf der Zeit ist eine erneute Authentifizierung notwendig. Unterschieden werden die beiden Ansätze aufgrund Ihrer Art des Aufbaus und dem Grad der Zentralisierung.

Circle of Trust

Durch den Circle of Trust stellen alle Systeme der SSO-Domäne eine Vertrauensbeziehung her. Wenn ein Benutzer von einem der Systeme authentifiziert worden ist, so wird ein verifiziertes Ticket erstellt. Mit diesem Ticket vertrauen die übrigen Systeme dieser verifizierten Identität. Die Kommunikation aller Systeme untereinander ist für den Aufbau einer derartigen Infrastruktur erforderlich. Hierbei müssen die Anmeldeverfahren aller Systeme aufeinander abgestimmt werden. Die Benutzerverwaltung erfolgt in diesem Ansatz weiterhin dezentral, ohne die Ergreifung weiterer Maßnahmen.

Zentraler Authentifizierungsserver

Der Einstieg, also die interaktive Authentisierung des Benutzers, geschieht bei dem Einsatz eines zentralen Authentifizierungsservers stets an einem zentralen Einstiegspunkt. Wenn ein nicht authentifizierter Benutzer versucht, Zugriff auf ein System der SSO-Domäne zu erhalten, wird dieser zunächst an den Anmeldeserver verwiesen. Der Server kann nun mit einer zentralen Benutzerdatenbank die Anmeldedaten abgleichen und dann dem Benutzer wiederum ein Ticket ausstellen. Allerdings nur, wenn die Authentifizierung erfolgreich war. Mit diesem Ticket wird im weiteren Verlauf der Zugriff auf die übrigen Syteme gewährleistet.

Szenarien zur Verwendung von SSO

SAP Single Sign-On ermöglicht drei Schlüsselszenarien: SSO für Anwendungen der SAP Business Suite, SSO für heterogene Umgebungen und SSO für Cloud-basierte und unternehmensübergreifende Szenarien.

Quelle: SAP

Single Sign-On für die SAP Business Suite

Um SSO für die SAP Business Suite können Kerberos-Authentifizierungstoken verwenden, um SSO für die SAP Business Suite-Software einzurichten. Mitarbeiter melden sich einmalig an, wenn sie ihre Computer starten, indem sie sich in ihrer Windows-Domäne anmelden. Alle nachfolgenden Authentifizierungsprozesse werden einem Kerberos-Token-Mechanismus überlassen, der von SAP SSO bereitgestellt wird und auf Microsoft Active Directory basiert. Dieses Szenario erfordert keinen zusätzlichen Server.

Single Sign-On für heterogene IT-Landschaften

Nutzt man Systeme verschiedener Hersteller in der IT-Landschaft des Unternehmens, kann SSO trotzdem implementiert werden. SAP SSO bietet Unterstützung für X.509-Zertifikate, z.B. auf Basis von Smartcards. Dieser digitale Zertifikatsstandard ist ein Standard, den die Mehrheit der heute verfügbaren Unternehmenssoftwareprodukte unterstützt. Es können eigene Public-Key-Infrastruktur (PKI) für die Ausgabe von X.509-Zertifikaten eingerichtet werden. Außerdem gibt es die Möglichkeit, über die sichere Login-Server-Software, ein Bestandteil von SAP Single Sign-On, kurzlebige Zertifikate ausstellen zu lassen. Mit der Software des Login-Servers müssen keine vollständigen PKI mit administrativen Prozessen, (wie z.B. Sperrlisten für Zertifikate) eingerichtet werden.  Die Aktivierung eines solchen Szenarios bedeutet, dass Benutzer sich einmalig anmelden können, um nicht nur Zugriff auf ihre SAP-Software, sondern auch auf viele ihrer Nicht-SAP-Anwendungen zu erhalten.

Single Sign-On für Cloud-Lösungen

Kerberos- und X.509-Zertifikate decken viele Anwendungsfälle für SSO in Unternehmen ab. Immer mehr Unternehmen versuchen jedoch, Vertrauensbeziehungen über Unternehmensgrenzen hinweg oder in der Cloud aufzubauen. Auch hier ist es möglich SSO zu integrieren. Dabei wird die Security Assertion Markup Language (SAML) 2.0 eingerichtet. Das ist eine Internet-Standardtechnologie, die es ermöglicht SSO webbasiert zu nutzen. Das gewährleistet die Authentifizierung wenn Identitätsdaten über Unternehmensgrenzen hinweg ausgetauscht und genutzt werden.

Neuerungen in SAP Single Sign On Version 3.0

Erweiterte Unterstützung für vorhandene PKI-Implementierungen

Mit SAP Single Sign-On 3.0 kann der Secure Login Server jetzt als Registration Authority (RA) dienen. Die vorhandene Public-Key-Infrastruktur (PKI) wird als Certificate Authority (CA) für Benutzer- und Serverzertifikate benutzt. Wenn eine Unternehmens-PKI bereits vorhanden ist, muss keine zweite erstellen werden. Zertifikate können basierend auf der festgelegten PKI- und Sicherheitsrichtlinie signiert werden und die Speicher- und Sperrvorgänge bleiben gültig.

Optimiertes Certificate Lifecycle Management für SAP NetWeaver AS ABAP

SAP Single Sign-On 3.0 führt eine effizientere Verwaltung des Certificate Lifecycle ein. Die Administrationskonsole von Secure Login Server unterstützt Verwalter durch die Automatisierung von Erneuerungen für Serverkomponenten in der Landschaft. Dies reduziert den manuellen Aufwand erheblich, schließt die Risiken menschlicher Fehler aus und vermeidet kostspielige Systemausfälle.

Erweiterte Unterstützung für Single Sign-On für mobile Geräte

Mit dem Secure Login Server können außerdem X.509-Zertifikate auf verschiedene Arten für mobile Geräte bereitgestellt werden. In der Vergangenheit konnte das Simple Certificate Enrollment Protocol (SCEP) verwendet werden, das von iOS unterstützt wird. Die Version 3.0 unterstützt nun auch die Bereitstellung von X.509-Zertifikaten auf einem mobilen Gerät über die mobile App von SAP Authenticator für iOS. Jetzt ist möglich, einen eigenen benutzerdefinierten Code für die Zertifikatregistrierung mithilfe der REST-API zu entwickeln, die vom Secure Login Server bereitgestellt wird.

Darüber hinaus bietet SAP Single Sign-On 3.0 jetzt auch eine mobile SSO-Lösung für gemeinsam genutzte mobile Geräte. Die Lösung ist derzeit über die SAP Authenticator-App für Android verfügbar und basiert auf der NFC-Readertechnologie.

Neuer Verschlüsselungsmodus

Der neue Verschlüsselungsmodus von SAP Single Sign-On 3.0 ermöglicht die Netzwerkverschlüsselung für das SNC-Protokoll, das für die Kommunikation mit SAP-Systemen verwendet wird. Dies geschieht auch dann, wenn ein benutzerspezifisches Sicherheitstoken vorübergehend nicht verfügbar ist oder noch nicht konfiguriert ist. Auf diese Weise ist die Datenkommunikation während eines Implementierungsprojekts sofort geschützt, bevor eine benutzerspezifische Konfiguration vorgenommen wird. Außerdem ist der Datenschutz gewährleistet, wenn beispielsweise die Chipkarte verloren geht, die das erforderliche digitale Zertifikat enthält.

Secure Client für die sichere Anmeldung

SAP Single Sign-On 3.0 enthält eine neue Version des Secure Login Web Client. Dieser basiert auf einer überarbeiteten Architektur und weiteren Integrationsoptionen. Mit Hilfe des Secure Login Web Client kann ein laufender Geschäftsprozess einer Browsersitzung – entweder in der Cloud oder vor Ort – eine nahtlose Authentifizierung für ein installiertes Programm auf dem Benutzerdesktop auslösen, wie z. B. SAP GUI.

Ab SAP Single Sign-On 3.0 ist der Secure Login Web Client nicht mehr von Java oder ActiveX abhängig. Dadurch entfallen die bisherigen Einschränkungen bei der Browserunterstützung.

Verbesserungen für Verschlüsselungsfunktionen und Sicherheitsprotokolle

Außerdem unterstützt die neuste Version jetzt auch Perfect Forward Secrecy für die SNC-Kommunikation. Dadurch wird das Risiko gemindert, dass ein Angreifer durch angegriffene Schlüssel zuvor aufgezeichnete Sitzungsdaten zu entschlüsseln kann. Darüber hinaus unterstützt die neue Version die SSL / TLS-Verschlüsselungssuite „TLS_FALLBACK_SCSV“, die einen besseren Schutz vor Protokoll-Downgrade-Angriffen gewährleistet.

Von SSO 2.0 auf 3.0

Die Version 3.0 unterstützt weiterhin alle Funktionen von Version 2.0. Die Grundlagen der Hauptszenarien bleiben unverändert. Eine in Version 2.0 gestartete Implementierung muss in Version 3.0 nicht wiederholt oder angepasst werden. Außerdem kann mit der Version 3.0 die Reichweite der vorhandenen Implementierung auf zusätzliche Szenarien augedehnt werden. Die neuen Funktionen sind optional und können jederzeit aktiviert werden. Das Aktualisieren von Produktkomponenten von Version 2.0 auf 3.0 ist dabei problemlos möglich und funktioniert wie ein Patch. Die Komponenten können in beliebiger Reihenfolge aktualisiert werden, solange keine spezifische Funktionalität der Version 3.0 erforderlich ist.

Nutzen und Vorteile des Single Sign-On

Die Benutzer erhalten einen sicheren Zugriff auf Anwendungen und Geschäftsprozesse über mehrere Systeme hinweg mit nur einem Passwort. Durch die SSO-Lösung wird die Authentifizierung gestärkt und digitale Signaturen sowie moderne Verschlüsselungen unterstützt. Ein großer Vorteil für die Mitarbeiter selbst ist, dass sie sich nur ein Passwort merken müssen. Das spart Kosten und Zeit beim Helpdesk und den Administratoren, indem die Anzahl der Anfragen zur Wiederherstellung von Passwörtern deutlich reduziert werden. Die Produktivität im Arbeitsalltag kann so auch steigen, da durch die einmalige Anmeldung bereits alle Systeme des jeweiligen Mitarbeiters direkt einsatzbereit sind.

Sicherheitstechnisch bietet SSO einen weiteren großen Vorteil. Da die mehrfache Verwaltung und Übertragung von Benutzerdaten nicht mehr stattfinden, fallen eine Vielzahl von Angriffspunkten für einen Datenmissbrauch weg. Die Administration wird außerdem vereinfacht, weil Aktionen wie das Sperren von Benutzerkonten zentral gesteuert werden kann. Das verhindert ein Übersehen eines möglichen Zugangs, auf den der ehemalige Mitarbeiter noch Zugriff haben könnte und sorgt für eine starke Compliance und Informationssicherheit.

Single Sign On für SAP GUI: Einrichtung SNC für SAP auf Windows: https://rz10.de/sap-identity-management/single-sign-on-fur-sap-gui/

SAP SSO: https://mindsquare.de/knowhow/sap-sso/

Single Sign-on: https://mission-mobile.de/knowhow/single-sign-on/

SSO Troubleshooting Checklist: https://rz10.de/sap-identity-management/sso-troubleshooting-checklist/

Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible: https://rz10.de/sap-identity-management/fehler-issuer-sso-ticket-authorized-bzw-sso-logon-possible/

Single Sign On mit KeePass: https://rz10.de/sap-identity-management/single-sign-on-mit-keepass/

Single-Sign-On: Trust-Verbindung einrichten mit dem SSO2-Wizard: https://rz10.de/sap-identity-management/single-sign-trust-verbindung-einrichten-mit-dem-sso2-wizard/

Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario: https://rz10.de/sap-identity-management/internet-explorer-client-certificate-popup-unterbinden-bei-sso-szenario/


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support