Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible

Autor: Dominik Busse | 23. Januar 2014

24 | #SSO

Nach der Trennung eines SAP Dual-Stack-Systems auf ein separates Java- und ABAP-System kann das SAP NetWeaver Portal Java keine ABAP-Inhalte mehr anzeigen und Single-Sign-On (SSO) funktioniert nicht mehr. Beim Anmelden erscheinen die Fehlermeldungen Issuer of SSO ticket is not authorized bzw. SSO logon not possible.

Die SSO-Fehlermeldung:

SSO logon not possible; browser logon ticket cannot be accepted

Beim Anmelden via System Administration erscheint der Hinweis „SSO logon not possible; browser logon ticket cannot be accepted“.

Issuer of SSO ticket is not authorized

Beim Anmelden über die SAP Gui erscheint der Hinweis „Issuer of SSO ticket is not authorized“.

Dem SSO-Fehler auf der Spur:

Um auf die Ursache solcher Fehler zu stoßen, bietet sich ein Security Trace mit der SM50 an. Hierfür kann der Trace Level zunächst wie folgt auf Level 2 erhöht werden:

Trace-Level erhöhen: Dem Fehler mit SSO auf der Spur

Ein erneutes Nachstellen des Fehlerfalls führte zu folgendem Log:

Protokolleinträge zur SSO logon data

Im Log heißt es: “ERROR => System ID and client from ticket are not the same than mine […]”, sodass der Fehler in diesem Fall auf die nicht übereinstimmenden Clients zurückzuführen war.

SAP Identity Management

SAP Identity Management unterstützt Sie bei der zentralen Verwaltung von Benutzern, Berechtigungen und Genehmigungs-Workflows im Unternehmen.

Die Lösung des SSO-Fehlers:

Um das Problem zu lösen gilt es den entsprechenden Parameter login.ticket_client über die UME-Konfiguration des SAP NetWeaver Portals vorzunehmen. Je nach Version des Portal ändern Sie diesen Parameter entweder über SAP NetWeaver Administrator (Portal > 7.2) oder über Visual Admin (Portal 7.0). Den Parameter login.ticket_client finden Sie via Systemadminitration -> UME-Konfiguration -> Expertenmodus öffnen.

sso-fehlermeldung

Im oben aufgeführten Fehlerfall hatte der Parameter login.ticket_client den Wert 777. Korrekterweise müssen Sie hier den Client des Logon-Tickets (client 000) eintragen.

Sobald Sie den entsprechenden Wert für login.ticket_client eingetragen haben, sollte die Anmeldung wieder funktionieren.

Ich freue mich auf Ihre Kommentare und Ihr Feedback zu SSO-Fehlermeldung und hoffe, dass ich Ihnen bei der Lösung des Problems behilflich sein konnte.

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Dominik Busse

Autor

Dominik Busse

B.Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice