Zukunft der SSO-Authentifizierung in SAP: Wechsel zum SAP Secure Login Service bis Ende 2027
Autor: Lucas Hoppe | 22. November 2023
Die Single Sign-On (SSO)-Authentifizierung in der SAP GUI verbessert nicht nur die SAP-Sicherheit, sondern auch den Komfort für Anwender. Der dafür häufig genutzte SAP Secure Login Server (SLS) läuft mit dem Ende der Java-Wartung 2027 aus dem Support. SAP bietet als Ersatz den cloud-basierten SAP Secure Login Service for SAP GUI.
Was ist SSO-Authentifizierung?
Die SSO-Authentifizierung ist eine Methode, die es Benutzern ermöglicht, sich sicher bei mehreren Anwendungen und Webseiten anzumelden, ohne ihre Anmeldeinformationen jedes Mal erneut eingeben zu müssen. Das funktioniert durch das Vertrauensverhältnis zwischen den Serviceanbietern und einem gemeinsamen Identitätsanbieter.
Ende 2027 ist auch Ende des SLS
Die für die SAP GUI häufig eingesetzte Standardlösung SAP Single Sign-On bzw. SAP Secure Login ist von dem Support-Ende der Netweaver-Plattform AS JAVA betroffen. SAP Kunden müssen ihre Authentifizierungsmethoden unter Umständen an die neue Cloud-basierte Lösung “SAP Secure Login Services for SAP GUI” anpassen, um weiterhin SSO nutzen zu können.
Die gute Nachricht: SSO-Authentifizierung über die Kerberos Authentifizierung kann weiter genutzt werden, zum Beispiel in Verbindung mit einer Windows-Domäne oder Active Directory. Diese Art der Authentifizierung erfordert lediglich die Verwendung des SAP Secure Login Client auf der Clientseite. Die Kerberos-Authentifizierung erfolgt nicht über den Java Application Server, sondern über den AS ABAP Kernel (SAP Cryptographic Library).
Der SAP Secure Login Service for SAP GUI
Für diejenigen, deren bestehende SSO-Authentifizierungsmethoden aufgrund der Umstellung nicht mehr funktionieren, bietet SAP eine Lösung an: den SAP Secure Login Service for SAP GUI als cloud-basierte Alternative.
Funktionen des SAP Secure Login Service for SAP GUI
Authentifizierungsprozesse und Zertifikatsregistrierungen in der Cloud
Der Cloud-Dienst ermöglicht es, Authentifizierungsprozesse und Zertifikatsregistrierungen für Cloud-Services durchzuführen. Das bedeutet, dass Benutzer ihre Identität sicher in der Cloud überprüfen können, um auf verschiedene Dienste zuzugreifen.
Wiederverwendung bestehender Authentifizierungskonfigurationen
Bestehende Konfigurationen von Identity Providern können wiederverwendet werden, was die Migration auf die cloud-basierte Lösung erleichtert. Dies spart Zeit und Ressourcen bei der Implementierung.
Bessere Integration von Identitätsanbietern
Die neue Lösung bietet eine verbesserte Integration von Identitätsanbietern, unter anderem auch hinsichtlich der Integration in die Benutzeroberfläche des Identitätsanbieters.
Unterstützung von Authentifizierungsfunktionen
Der Cloud-Dienst bietet Unterstützung für verschiedene Authentifizierungsfunktionen, darunter:
- Multi-Faktor-Authentifizierung: Benutzer können mehrere Authentifizierungsmethoden kombinieren, um ihre Identität sicher zu bestätigen.
- Biometrie: Biometrische Merkmale wie Fingerabdrücke oder Gesichtserkennung können zur Authentifizierung verwendet werden.
- Webauthentifizierung: Die Authentifizierung über Webprotokolle wird unterstützt, um die Sicherheit zu erhöhen.
- Fast Identity Online Alliance (FIDO): Diese offene Authentifizierungsstandards ermöglichen eine starke und benutzerfreundliche Authentifizierung.
Architektur des Secure Login Service for SAP GUI
Möchten Unternehmen weiter Single Sign-On mit der SAP GUI machen, so teilt sich die Lösung mit dem Secure Login Service for SAP GUI am Ende in zwei Hälften auf. Die untere Hälfte der Abbildung zeigt die On-Premise Landschaft, die nun nur noch aus dem SAP NetWeaver Application Server ABAP mit der SAP Cryptographic Library besteht. Hier kann sich der Benutzer über einen Kerberos-Token oder ein X.509-Zertifikat authentifizieren.
Die obere Hälfte zeigt den Zugriff auf die Cloud Services. Die Authentifizierung erfolgt ausschließlich über das X.509-Zertifikat, das an den User Certificate Service weitergeleitet wird. Der SAP Identity Authentication Service übernimmt dabei die Anbindung von Drittanbieter-Identitätsanbieter wie Microsoft Azure AD.
Architektur SAP Secure Login Service for SAP GUI, Quelle: SAP
Ausblick
Trotz des Endes des Secure Login Servers als Teil von SAP Single Sign-On ist auch nach 2027 SSO mit der SAP GUI möglich. Der cloud-basierte Secure Login Service for SAP GUI ermöglicht den komfortablen Zugriff auch auf Non-ABAP-Anwendungen aus dem SAP-Ökosystem.
Haben Sie Fragen zur neuen SSO-Authentifizierung? Schreiben Sie uns gerne eine Mail an info@rz10.de oder vereinbaren Sie hier einen unverbindlichen Termin mit einem unserer SAP-Security-Experten.
Weitere Informationen:
- SAP Secure Login Service for SAP GUI Now Available
- Exploring SAP Secure Login Service for SAP GUI: A Comprehensive Review
- Technical Information – SAP Secure Login Service for SAP GUI
- Stronger Authentication and Easier System Access with SAP GUI
Ein Kommentar zu "Zukunft der SSO-Authentifizierung in SAP: Wechsel zum SAP Secure Login Service bis Ende 2027"
Ich persönlich finde es langsam etwas übertrieben, mit der Sicherheit.
Ohne Smartphone kann man heutzutage fast nichts mehr machen.
Was wenn man das Smartphone verliert oder defekt ist?
Ich hänge mittlerweile mehrer Stunden am Tag an diesem Smartphone, was mir gar nicht gefällt.
Es klingt auch alles immer soooo super und einfach und zuoft erlebe ich, dass es eben nicht einfach ist und oft nicht funktioniert.
DKB: Die DKB bekommt diesen supertolle TAN2GO bei mir nicht installiert. iPhone 13 Max
SAP: Diese neue “SAP Universal ID ” ist so etwas von langsam, aber wirlich richtig langsam und verwirrend. Es popen zig Webseiten auf bis dann endlich mal die Logonseite erscheint. Den wirren Hinweis mit “Please use your SAP Universal ID credentials to login.” NACHDEM man diese ID ausgewählt, verstehe ich auch nicht wirklich.
Hat man nun ein Problem, hat man wirklich ein Problem.
“Früher” hatte ich zwei S/P User, wenn einer nicht funktioniert habe ich einfach den anderen genommen.
Solange sich der User oder Admin noch irgendwo einloggen kann, ist nichts sicher.
Was ich heutzutage an Zeit verschwende, nur um “Sicherheit” ans laufen zu bekommen, ist nicht mehr schön.