Tobias Harmes
 - 2. Februar 2012

SSO Troubleshooting Checklist

Identity Management-3

Single Sign On ist ein beliebtes Thema aus der Kategorie kleines Problem – lange Fehlersuche. Ich habe mir dafür eine kleine Checkliste zusammengestellt. Die passenden Quell-Hinweise sind im jeweiligen Check verlinkt. Ich freue mich über jeden Kommentar – z.B. wenn noch ein möglicher Check fehlen sollte.

Check 1 Systemversion und Version von SAPSECULIB oder SAPCRYPTOLIB

Welche Systemversion wird eingesetzt bzw. unterscheiden sich Test- & Produktivsystem?
Report SSF02 mit Parameter „Version ermitteln“ (z.B. über SE38) ausführen

Result: SSF_API_OK

Wenn nicht: STRUSTSSO2 im eigenen und ggf. im 000-Mandant prüfen
Prüfen ob die SAPSECULIB oder SAPCRYPTOLIB aktuell ist:

http://service.sap.com/download -> Download -> SAP Cryptographic Software.

Die Profilparameter müssen korrekt gesetzt sein:

ssf/ssfapi_lib = <Pfad zum Sicherheitsprodukt> (SAP Security Library)

ssf/name = SAPSECULIB

sec/libsapsecu = <Pfad zum Sicherheitsprodukt> (SAP Security Library)
Siehe dazu auch: Hinweis 701205 – Single Sign-On über SAP-Anmeldetickets

Check 2 Profilparameter

RZ11 temporär, RZ10 permanent

login/accept_sso2_ticket1
login/create_sso2_ticket2 (ohne Zertifikat)
icm/host_name_fullFQDN (z.B. hostname.example.com), Achtung Reverse Proxies!

Check 3 Transaktion STRUSTSSO2

System-PSE prüfen, muss grün sein

Check 4 Transaktion SSO2

Die Transaktion ist zwar schon veraltet, die Fehlermeldungen dort können aber sehr gut recherchiert werden

Das Zertifikat muss ggf. in die Trust-Liste der Systeme (STRUSTSSO2), die das Logon-Ticket akzeptieren (sofern das Ticket überhaupt signiert ist).

RFC-Destination: NONE

Check 5: Transaktion SICF

Bei Nutzung von SSO-Tickets für eigene Webservices:

/default_host/sap/bc/srt/rfc/sap/WEBSERVICENAME

/default_host/sap/bc/bsp/sap/system_test (siehe nächsten Punkt)

Sind die aktiv?

Check 6 : Transaktion SE80, Testwebseite SSO

SYSTEM_TEST/test_sso2.htm –> Testen (F8)

Wenn nicht verfügbar –> SICF prüfen (Check 5)

SSO Troubleshooting Checklist

Die URL oben kopieren und danach alle Browser-Fenster schließen. Danach neuen Browser aufmachen und probieren.

Beispiel-URL: http://hostname.example.com:8000/sap(bD1kZSZjPTgwMA==)/bc/bsp/sap/system_test/test_sso2.htm

Da sollte ein Cookie á la: ‚MYSAPSSO2=…‘ sein.

Alternativ auch

javascript:alert(document.cookie);
Siehe dazu auch: Hinweis 817529 – Überprüfung der SSO-Konfiguration

Tobias Harmes

Mein Name ist Tobias Harmes und ich bin Senior Architect für SAP Basis & Security bei der mindsquare GmbH sowie Chefredakteur von RZ10.de. Als Berater und Dozent helfe ich anderen dabei, Unternehmensdaten und Geschäftsprozesse in SAP wirksam abzusichern.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP GRC als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:




Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support