SSO Troubleshooting Checklist
Autor: Tobias Harmes | 2. Februar 2012
Single Sign On ist ein beliebtes Thema aus der Kategorie kleines Problem - lange Fehlersuche. Ich habe mir dafür eine kleine Checkliste zusammengestellt. Die passenden Quell-Hinweise sind im jeweiligen Check verlinkt. Ich freue mich über jeden Kommentar - z.B. wenn noch ein möglicher Check fehlen sollte.
Check 1 Systemversion und Version von SAPSECULIB oder SAPCRYPTOLIB
Welche Systemversion wird eingesetzt bzw. unterscheiden sich Test- & Produktivsystem?
Report SSF02 mit Parameter „Version ermitteln“ (z.B. über SE38) ausführen
Result: SSF_API_OK
Wenn nicht: STRUSTSSO2 im eigenen und ggf. im 000-Mandant prüfen
Prüfen ob die SAPSECULIB oder SAPCRYPTOLIB aktuell ist:
http://service.sap.com/download -> Download -> SAP Cryptographic Software.
Die Profilparameter müssen korrekt gesetzt sein:
ssf/ssfapi_lib = <Pfad zum Sicherheitsprodukt> (SAP Security Library)
ssf/name = SAPSECULIB
sec/libsapsecu = <Pfad zum Sicherheitsprodukt> (SAP Security Library)
Siehe dazu auch: Hinweis 701205 – Single Sign-On über SAP-Anmeldetickets
Check 2 Profilparameter
RZ11 temporär, RZ10 permanent
login/accept_sso2_ticket | 1 |
login/create_sso2_ticket | 2 (ohne Zertifikat) |
icm/host_name_full | FQDN (z.B. hostname.example.com), Achtung Reverse Proxies! |
Check 3 Transaktion STRUSTSSO2
System-PSE prüfen, muss grün sein
Check 4 Transaktion SSO2
Die Transaktion ist zwar schon veraltet, die Fehlermeldungen dort können aber sehr gut recherchiert werden
Das Zertifikat muss ggf. in die Trust-Liste der Systeme (STRUSTSSO2), die das Logon-Ticket akzeptieren (sofern das Ticket überhaupt signiert ist).
RFC-Destination: NONE
SAP Identity Management
SAP Identity Management unterstützt Sie bei der zentralen Verwaltung von Benutzern, Berechtigungen und Genehmigungs-Workflows im Unternehmen.
Check 5: Transaktion SICF
Bei Nutzung von SSO-Tickets für eigene Webservices:
/default_host/sap/bc/srt/rfc/sap/WEBSERVICENAME
/default_host/sap/bc/bsp/sap/system_test (siehe nächsten Punkt)
Sind die aktiv?
Check 6 : Transaktion SE80, Testwebseite SSO
SYSTEM_TEST/test_sso2.htm –> Testen (F8)
Wenn nicht verfügbar –> SICF prüfen (Check 5)
Die URL oben kopieren und danach alle Browser-Fenster schließen. Danach neuen Browser aufmachen und probieren.
Beispiel-URL: http://hostname.example.com:8000/sap(bD1kZSZjPTgwMA==)/bc/bsp/sap/system_test/test_sso2.htm
Da sollte ein Cookie á la: ‚MYSAPSSO2=…‘ sein.
Alternativ auch
javascript:alert(document.cookie);
Siehe dazu auch: Hinweis 817529 – Überprüfung der SSO-Konfiguration