Zukunft der SSO-Authentifizierung in SAP: Wechsel zum SAP Secure Login Service bis Ende 2027

Autor: Lucas Hoppe | 22. November 2023

1 | 9
Secure Login Service

Die Single Sign-On (SSO)-Authentifizierung in der SAP GUI verbessert nicht nur die SAP-Sicherheit, sondern auch den Komfort für Anwender. Der dafür häufig genutzte SAP Secure Login Server (SLS) läuft mit dem Ende der Java-Wartung 2027 aus dem Support. SAP bietet als Ersatz den cloud-basierten SAP Secure Login Service for SAP GUI.

Was ist SSO-Authentifizierung?

Die SSO-Authentifizierung ist eine Methode, die es Benutzern ermöglicht, sich sicher bei mehreren Anwendungen und Webseiten anzumelden, ohne ihre Anmeldeinformationen jedes Mal erneut eingeben zu müssen. Das funktioniert durch das Vertrauensverhältnis zwischen den Serviceanbietern und einem gemeinsamen Identitätsanbieter.

Ende 2027 ist auch Ende des SLS

Die für die SAP GUI häufig eingesetzte Standardlösung SAP Single Sign-On bzw. SAP Secure Login ist von dem Support-Ende der Netweaver-Plattform AS JAVA betroffen. SAP Kunden müssen ihre Authentifizierungsmethoden unter Umständen an die neue Cloud-basierte Lösung „SAP Secure Login Services for SAP GUI“ anpassen, um weiterhin SSO nutzen zu können.

Die gute Nachricht: SSO-Authentifizierung über die Kerberos Authentifizierung kann weiter genutzt werden, zum Beispiel in Verbindung mit einer Windows-Domäne oder Active Directory. Diese Art der Authentifizierung erfordert lediglich die Verwendung des SAP Secure Login Client auf der Clientseite. Die Kerberos-Authentifizierung erfolgt nicht über den Java Application Server, sondern über den AS ABAP Kernel (SAP Cryptographic Library).

Wir zeigen Ihnen, welche Herausforderungen in der SAP-Systemlandschaft lauern und wie Sie diese mit den richtigen Werkzeugen nicht nur identifizieren, sondern effektiv bekämpfen. Lernen Sie, auf welche Feinheiten es bei der Auswahl eines Security-Monitoring-Tools ankommt, und machen Sie sich die Erfahrungen aus zahlreichen Projekten zunutze.

Der SAP Secure Login Service for SAP GUI

Für diejenigen, deren bestehende SSO-Authentifizierungsmethoden aufgrund der Umstellung nicht mehr funktionieren, bietet SAP eine Lösung an: den SAP Secure Login Service for SAP GUI als cloud-basierte Alternative.

Funktionen des SAP Secure Login Service for SAP GUI

Authentifizierungsprozesse und Zertifikatsregistrierungen in der Cloud

Der Cloud-Dienst ermöglicht es, Authentifizierungsprozesse und Zertifikatsregistrierungen für Cloud-Services durchzuführen. Das bedeutet, dass Benutzer ihre Identität sicher in der Cloud überprüfen können, um auf verschiedene Dienste zuzugreifen.

Wiederverwendung bestehender Authentifizierungskonfigurationen

Bestehende Konfigurationen von Identity Providern können wiederverwendet werden, was die Migration auf die cloud-basierte Lösung erleichtert. Dies spart Zeit und Ressourcen bei der Implementierung.

Bessere Integration von Identitätsanbietern

Die neue Lösung bietet eine verbesserte Integration von Identitätsanbietern, unter anderem auch hinsichtlich der Integration in die Benutzeroberfläche des Identitätsanbieters.

Unterstützung von Authentifizierungsfunktionen

Der Cloud-Dienst bietet Unterstützung für verschiedene Authentifizierungsfunktionen, darunter:

  • Multi-Faktor-Authentifizierung: Benutzer können mehrere Authentifizierungsmethoden kombinieren, um ihre Identität sicher zu bestätigen.
  • Biometrie: Biometrische Merkmale wie Fingerabdrücke oder Gesichtserkennung können zur Authentifizierung verwendet werden.
  • Webauthentifizierung: Die Authentifizierung über Webprotokolle wird unterstützt, um die Sicherheit zu erhöhen.
  • Fast Identity Online Alliance (FIDO): Diese offene Authentifizierungsstandards ermöglichen eine starke und benutzerfreundliche Authentifizierung.

Architektur des Secure Login Service for SAP GUI

Möchten Unternehmen weiter Single Sign-On mit der SAP GUI machen, so teilt sich die Lösung mit dem Secure Login Service for SAP GUI am Ende in zwei Hälften auf. Die untere Hälfte der Abbildung zeigt die On-Premise Landschaft, die nun nur noch aus dem SAP NetWeaver Application Server ABAP mit der SAP Cryptographic Library besteht. Hier kann sich der Benutzer über einen Kerberos-Token oder ein X.509-Zertifikat authentifizieren.

Die obere Hälfte zeigt den Zugriff auf die Cloud Services. Die Authentifizierung erfolgt ausschließlich über das X.509-Zertifikat, das an den User Certificate Service weitergeleitet wird. Der SAP Identity Authentication Service übernimmt dabei die Anbindung von Drittanbieter-Identitätsanbieter wie Microsoft Azure AD.

Secure Login Service

Architektur SAP Secure Login Service for SAP GUI, Quelle: SAP

Ausblick

Trotz des Endes des Secure Login Servers als Teil von SAP Single Sign-On ist auch nach 2027 SSO mit der SAP GUI möglich. Der cloud-basierte Secure Login Service for SAP GUI ermöglicht den komfortablen Zugriff auch auf Non-ABAP-Anwendungen aus dem SAP-Ökosystem.

Haben Sie Fragen zur neuen SSO-Authentifizierung? Schreiben Sie uns gerne eine Mail an info@rz10.de oder vereinbaren Sie hier einen unverbindlichen Termin mit einem unserer SAP-Security-Experten.

Weitere Informationen:


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Lucas Hoppe

Autor

Lucas Hoppe

B.Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Ein Kommentar zu "Zukunft der SSO-Authentifizierung in SAP: Wechsel zum SAP Secure Login Service bis Ende 2027"

Ich persönlich finde es langsam etwas übertrieben, mit der Sicherheit.
Ohne Smartphone kann man heutzutage fast nichts mehr machen.
Was wenn man das Smartphone verliert oder defekt ist?
Ich hänge mittlerweile mehrer Stunden am Tag an diesem Smartphone, was mir gar nicht gefällt.

Es klingt auch alles immer soooo super und einfach und zuoft erlebe ich, dass es eben nicht einfach ist und oft nicht funktioniert.
DKB: Die DKB bekommt diesen supertolle TAN2GO bei mir nicht installiert. iPhone 13 Max

SAP: Diese neue „SAP Universal ID “ ist so etwas von langsam, aber wirlich richtig langsam und verwirrend. Es popen zig Webseiten auf bis dann endlich mal die Logonseite erscheint. Den wirren Hinweis mit „Please use your SAP Universal ID credentials to login.“ NACHDEM man diese ID ausgewählt, verstehe ich auch nicht wirklich.
Hat man nun ein Problem, hat man wirklich ein Problem.
„Früher“ hatte ich zwei S/P User, wenn einer nicht funktioniert habe ich einfach den anderen genommen.

Solange sich der User oder Admin noch irgendwo einloggen kann, ist nichts sicher.

Was ich heutzutage an Zeit verschwende, nur um „Sicherheit“ ans laufen zu bekommen, ist nicht mehr schön.

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice