Single Sign On mit KeePass
Autor: Tobias Harmes | 8. September 2014
Single Sign On, kurz SSO, ist mittlerweile in vielen Unternehmen Standard. Der Benutzer muss sich nur noch ein Passwort merken und nicht mehr etliche andere. Dieses Problem taucht vor allem in Viel-System-Landschaften auf, was in der Praxis immer wieder zu Nebenaufschreibungen von Passwörtern bei den Benutzern führt. Bekanntestes Beispiel ist hier der Zettel mit dem Passwort unter der Tastatur oder in einer Excel Liste, womit der Sinn und Zweck sicherer Passwort Policies ad absurdum geführt wird.
Passwortsafe KeePass
Jetzt bleibt die Frage, wie man sich dieser Herausforderung stellen kann, wenn kein SSO implementiert ist. Die Antwort liefert ein Tool mit dem Namen KeePass. KeePass ist ein Passwortsafe, in den man alle Passwörter inkl. Benutzer und mehr eintragen kann. Die Passwortdatenbank wird wiederum mit einem Masterpasswort geschützt, dass nur der Anwender kennt. Man muss sich also nur noch das Masterpasswort merken und kann dann auf alle anderen Passwörter, so kompliziert sie sein mögen, einfach zugreifen.
Eine weitere Besonderheit ist, dass man über KeePass URLs, aber auch Anmeldemasken von Desktopprogrammen angeben kann, bei der Aufruf man dann mittels Tastenkombination automatisch Passwort und Benutzer eintragen lassen kann. Mit eben dieser Funktionalität lässt ein SSO ähnlicher Mechanismus für SAP Systeme umsetzen.
Laden Sie sich zunächst KeePass unter http://keepass.info/ in der aktuellsten Version aus dem Netz und installieren Sie das Tool.
Legen Sie danach einen neuen Eintrag in KeePass. Das ganze sollte in etwas wie folgt aussehen.
Jetzt haben Sie zwei Möglichkeiten. Bitte beachten Sie, dass Sie für beide Möglichkeiten KeePass immer im Hintergrund geöffnet haben müssen.
Die SAP Security Challenge - Stellen Sie sich der Herausforderung
Wir beherrschen die neuesten Sicherheitstechnologien - Security Spezialisten. Nehmen Sie die SAP Security Challenge an und verbessern Sie Ihre Sicherheit!
Möglichkeit 1:
Sie tragen in dem Feld URL folgende Kommandozeile ein und ersetzen SID und XXX durch die passenden Werte.
cmd://sapshcut -maxgui -system=SID -client=XXX -user={USERNAME} -pw={PASSWORD}
Mit den Kommandos {USERNAME} und {PASSWORD} werden die hinterlegten Werte automatisch verwendet.
Der Eintrag sollte jetzt ungefähr so aussehen.
Danach bestätigen Sie die Eingaben mit OK und Sie gelangen wieder auf den Startbildschirm von KeePass. Nun können Sie sich per Klick auf die URL automatisch am SAP System anmelden.
Möglichkeit 2:
Nachteil von Möglichkeit 1 ist der, dass man für jede Anmeldung das System in KeePass auswählen und dann auf die URL klicken muss. Anstatt das Feld URL zu füllen wählen Sie für Möglichkeit den Reiter Auto-Type aus und fügen Sie eine neue Sequenz hinzu.
Wählen Sie im darauffolgenden Fenster über die Dropdown Auswahl das Zielfenster SID(1)/000 SAP aus und bestätigen Sie die Eingabe.
Damit Sie das Zielfenster auswählen können, müssen Sie vorher die Anmeldemaske für das SAP System über das SAP Logon Pad geöffnet haben. Ansonsten sehen Sie das System nicht in der Dropdown Auswahl.
Nachdem Sie den Eintrag gespeichert haben, können Sie sich in der Anmeldemaske des SAP Systems über die Tastenkombination Strg + Alt + A automatisch anmelden.
Ihre Erfahrung mit KeePass
Setzen Sie SSO bereits ein? Und wenn nicht, mit welchen Mitteln behelfen Sie sich aktuell? Ich freue mich auf Ihre Kommentare.
7 Kommentare zu "Single Sign On mit KeePass"
Hallo Herr Harmes,
vielen Dank für den tollen Tipp! Das erspart mir jeden Tag sinnloses Suchen meiner ganzen Passwörter als Berater.
Mit freundlichen Grüßen
Matthias Sehn
Hallo Herr Sehn.
Sehr gerne und danke für die Rückmeldung! 🙂
Mit freundlichen Grüßen, Tobias Harmes
Hat auf Anhieb funktioniert – super beschrieben, tolle Arbeitserleichterung. Vielen Dank !
Sehr gerne 🙂
Mit freundlichen Grüßen,
Tobias Harmes
Sehr kurze aber hilfreiche Anleitung.
Für SAP sowie auch andere Software/Hompage sehr gut umsetzbar.
Hallo Herr Harmes,
danke für die gute und nützliche Erklärung. Ich habe letztlich das Feld „TITLE“ für die System ID und das Feld „NOTES“ für den Mandanten genutzt. So kann man sowohl die URL komplett mit Platzhaltern verwenden (cmd://sapshcut -maxgui -system={TITLE} -client={NOTES} -user={USERNAME} -pw={PASSWORD}) ,als auch das Zielfenster ({TITLE}(1)/000 SAP).
Beste Grüße,
F. Krause
Super Erklärung! So macht das „nachmachen“ Spaß!
Vielleicht sollte man auch noch erwähnen, dass es viele tolle PlugIns gibt und noch wichtiger, das eine Nutzung parallel von PC und Handy super funktioniert, wenn man verschlüsselte Cloud-Dienste nutzt.
Gruß, Uwe