Segurança SAP - Tíquetes de Logon

Você pode configurar os tíquetes de logon SAP assinados digitalmente para configurar com um Single Sign-On para acessar aplicativos integrados em um ambiente SAP. Você pode configurar um portal para emitir tíquetes de logon SAP para os usuários e os usuários precisam autenticar este sistema para acesso inicial. Quando tíquetes de logon SAP são emitidos para usuários, eles são salvos em navegadores da web e permitem que o usuário faça logon em sistemas diferentes com o uso de SSO.

Em um servidor de aplicativos ABAP, existem dois tipos diferentes de tíquete de logon que podem ser configurados -

  • Logon Tickets - Esses tíquetes permitem acesso baseado na web usando o método SSO.

  • Authentication Assertion Tickets - Esses tickets são usados ​​para comunicação de sistema para sistema.

Para configurar tíquetes de logon SAP, os seguintes parâmetros devem ser definidos no perfil do usuário.

login / accept_sso2_ticket

Você pode usar tickets de Single Sign-On (SSO) para permitir um SSO entre sistemas SAP e até mesmo além dos sistemas não SAP. Um tíquete SSO pode ser um tíquete de logon ou um tíquete de asserção. O tíquete de logon é transferido como um cookie com o nomeMYSAPSSO2. O tíquete de asserção é transferido como uma variável de cabeçalho HTTP com o nome MYSAPSSO2.

Note- Isso requer etapas de configuração adicionais para emitir e aceitar os sistemas. Os sistemas de componentes SSO devem permitir o logon por um tíquete SSO (login / accept_sso2_ticket = 1).

Se apenas o procedimento (certificado de cliente X.509) for usado para um Single Sign-On, ou se você não quiser usar o Single Sign-On para este sistema, você pode desativar este logon por tíquete SSO (login / accept_sso2_ticket = 0).

Para definir o parâmetro, use Transaction RZ11

Values allowed - 0/1

login / create_sso2_ticket

Você pode usar os tickets de Single Sign-On (SSO) para permitir um SSO entre sistemas SAP e até mesmo além de sistemas não SAP. Um tíquete SSO pode ser um tíquete de logon ou um tíquete de asserção. O tíquete de logon é transferido como um cookie com o nome MYSAPSSO2. O tíquete de asserção é transferido como uma variável de cabeçalho HTTP com o nome MYSAPSSO2.

Note - Isso requer etapas de configuração adicionais para a emissão e aceitação dos sistemas.

O sistema de emissão deve permitir a geração de um bilhete SSO -

  • login / create_sso2_ticket = 1: tíquete SSO incluindo certificado

  • login / create_sso2_ticket = 2: tíquete SSO sem certificado

  • login / create_sso2_ticket = 3: Gerar apenas tíquetes de asserção

Values allowed- 0/1/2/3

login / ticket_expiration_time

Para tornar possível ter um Single Sign-On (SSO) ao usar o mySAP.com Workplace, tíquetes SSO podem ser usados. Ao criar um tíquete SSO, você pode definir o período de validade. Depois de expirar, o tíquete SSO não pode mais ser usado para fazer logon nos sistemas de componentes do local de trabalho. O usuário então precisa fazer logon no servidor do local de trabalho novamente para obter um novo tíquete SSO.

Values allowed - <Horas> [: <Minutos>]

Se valores incorretos forem inseridos, o valor padrão é usado (8 horas).

Os valores corretos serão os mostrados abaixo -

  • 24 → 24 horas
  • 1:30 → 1 hora, 30 minutos
  • 0:05 → 5 minutos

Os valores incorretos serão os seguintes -

  • 40 (0:40 seria correto)
  • 0:60 (1 seria correto)
  • 10: 000 (10 seria correto)
  • 24: (24 seria correto)
  • 1:A3

Certificados de cliente X.509

Usando um método SSO, você pode usar certificados de cliente X.509 para autenticar o servidor de aplicativos NetWeaver. Os certificados de cliente usam métodos de criptografia muito fortes para proteger o acesso do usuário ao servidor de aplicativos NetWeaver, portanto, seu servidor de aplicativos NetWeaver deve ser habilitado com técnicas de criptografia fortes.

Você deve ter SSL configurado em seus servidores de aplicativos SAP NetWeaver, pois a autenticação ocorre usando o protocolo SSL sem inserir nenhum nome de usuário e senha. Para usar o protocolo SSL, é necessária uma conexão HTTPS para se comunicar entre o navegador da Web e o servidor de aplicativos ABAP NetWeaver.

Linguagem de marcação para asserção de segurança (SAML2.0)

O SAML2.0 pode ser usado como autenticação com SSO de logon único e habilita o SSO em diferentes domínios. SAML 2.0 é desenvolvido por uma organização chamada OASIS. Ele também fornece uma opção de Logout Único, o que significa que quando um usuário faz logoff de todos os sistemas, o provedor de serviços no sistema SAP notifica os provedores de identidade que, por sua vez, encerram todas as sessões.

A seguir estão as vantagens de usar a autenticação SAML2.0 -

  • Você pode diminuir a sobrecarga de manutenção da autenticação para o sistema que hospeda o aplicativo para outro sistema.

  • Você também pode manter a autenticação para provedores de serviços externos sem manter as identidades dos usuários nos sistemas.

  • Opção de logout único em todos os sistemas.

  • Para mapear as contas de usuário automaticamente.

Autenticação Kerberos

Você também pode usar a autenticação Kerberos para o servidor de aplicativos SAP NetWeaver usando o acesso por meio de clientes e navegadores da web. Ele usa mecanismo de negociação de API GSS simples e protegidoSPNegoque também requer um Single Sign-On SSO 2.0 ou versão superior com licenças adicionais para usar esta autenticação. oSPNego não oferece suporte à segurança da camada de transporte, portanto, é recomendável usar o protocolo SSL para adicionar segurança da camada de transporte para se comunicar com o servidor de aplicativos NetWeaver.

Na captura de tela acima, você pode ver diferentes métodos de autenticação que podem ser configurados em um perfil de usuário para fins de autenticação.

Cada método de autenticação no SAP tem suas próprias vantagens e pode ser usado em diferentes cenários.