Sap-security-logon-tickets

提供:Dev Guides
移動先:案内検索

SAPセキュリティ-ログオンチケット

デジタル署名されたSAPログオンチケットを構成して、シングルサインオンで構成し、SAP環境の統合アプリケーションにアクセスできます。 ユーザーにSAPログオンチケットを発行するようにポータルを構成できます。ユーザーは初期アクセスのためにこのシステムを認証する必要があります。 SAPログオンチケットがユーザーに発行されると、Webブラウザーに保存され、ユーザーはSSOを使用して異なるシステムにログインできます。

ABAPアプリケーションサーバーでは、設定できるログオンチケットには2種類あります-

  • ログオンチケット-これらのチケットは、SSOメソッドを使用したWebベースのアクセスを許可します。
  • 認証アサーションチケット-これらのチケットは、システム間通信に使用されます。

SAPログオンチケットを設定するには、ユーザープロファイルで次のパラメーターを設定する必要があります。

login/accept_sso2_ticket

シングルサインオン(SSO)チケットを使用して、SAPシステム間および非SAPシステムを超えてSSOを許可できます。 SSOチケットは、ログオンチケットまたはアサーションチケットにすることができます。 ログオンチケットは、 MYSAPSSO2 という名前のCookieとして転送されます。 アサーションチケットは、MYSAPSSO2という名前のHTTPヘッダー変数として転送されます。

-これには、システムを発行して受け入れるための追加の構成手順が必要です。 SSOコンポーネントシステムは、SSOチケットによるログオンを許可する必要があります(login/accept_sso2_ticket = 1)。

手順(X.509クライアント証明書)のみがシングルサインオンに使用される場合、またはこのシステムにシングルサインオンを使用しない場合は、SSOチケット(login/accept_sso2_ticket = 0)。

パラメーターを設定するには、トランザクション RZ11 を使用します

許可される値-0/1

許可される値

login/create_sso2_ticket

シングルサインオン(SSO)チケットを使用して、SAPシステム間および非SAPシステムを超えてSSOを許可できます。 SSOチケットは、ログオンチケットまたはアサーションチケットにすることができます。 ログオンチケットは、MYSAPSSO2という名前のCookieとして転送されます。 アサーションチケットは、MYSAPSSO2という名前のHTTPヘッダー変数として転送されます。

-これには、システムを発行および受け入れるための追加の構成手順が必要です。

発行システムは、SSOチケットの生成を許可する必要があります-

  • login/create_sso2_ticket = 1:証明書を含むSSOチケット
  • login/create_sso2_ticket = 2:証明書なしのSSOチケット
  • login/create_sso2_ticket = 3:アサーションチケットのみを生成します

許容値 − 0/1/2/3

パラメータログインデータのメタデータ

login/ticket_expiration_time

mySAP.com Workplaceの使用時にシングルサインオン(SSO)を可能にするために、SSOチケットを使用できます。 SSOチケットを作成するときに、有効期間を設定できます。 有効期限が切れると、SSOチケットを使用して職場のコンポーネントシステムにログオンできなくなります。 次に、ユーザーは新しいSSOチケットを取得するために、職場のサーバーに再度ログオンする必要があります。

許可される値-<時間> [:<分>]

誤った値が入力された場合、デフォルト値が使用されます(8時間)。

正しい値は次のようになります-

  • 24→24時間
  • 1:30→1時間30分
  • 0:05→5分

間違った値は次のようになります-

  • 40(0:40が正しい)
  • 0:60(1が正しい)
  • 10:000(10が正しい)
  • 24:(24が正しいでしょう)
  • 1:A3

パラメータのログインデータと有効期限のメタデータ

X.509クライアント証明書

SSO方式を使用すると、X.509クライアント証明書を使用してNetWeaver Application Serverを認証できます。 クライアント証明書は、非常に強力な暗号化方式を使用して、NetWeaver Application Serverへのユーザーアクセスを保護するため、NetWeaver Application Serverで強力な暗号化技術を有効にする必要があります。

ユーザー名とパスワードを入力せずにSSLプロトコルを使用して認証が行われるため、SAP NetWeaverアプリケーションサーバーでSSLを構成する必要があります。 SSLプロトコルを使用するには、WebブラウザとNetWeaver ABAP Application Server間の通信にHTTPS接続が必要です。

セキュリティアサーションマークアップ言語(SAML2.0)

SAML2.0はシングルサインオンSSOを使用した認証として使用でき、異なるドメイン間でSSOを有効にします。 SAML 2.0は、OASISという組織名で開発されています。 また、シングルログアウトオプションも提供します。つまり、ユーザーがすべてのシステムからログオフすると、SAPシステムのサービスプロバイダーがIDプロバイダーに通知し、IDプロバイダーはすべてのセッションをログオフします。

以下は、SAML2.0認証を使用する利点です-

  • 他のシステムへのアプリケーションをホストするシステムの認証を維持するオーバーヘッドを減らすことができます。
  • システムのユーザーIDを維持せずに、外部サービスプロバイダーの認証を維持することもできます。
  • すべてのシステムのシングルログアウトオプション。
  • ユーザーアカウントを自動的にマップします。

Kerberos認証

WebクライアントおよびWebブラウザーを介したアクセスを使用して、SAP NetWeaver ApplicationサーバーのKerberos認証を使用することもできます。 シンプルで保護されたGSS APIネゴシエーションメカニズム SPNego を使用します。これには、この認証を使用するための追加ライセンスを持つシングルサインオンSSO 2.0以上のバージョンも必要です。 SPNego はトランスポート層セキュリティをサポートしていないため、SSLプロトコルを使用してトランスポート層セキュリティを追加し、NetWeaver Application Serverと通信することをお勧めします。

新しいユーザー

上記のスクリーンショットでは、認証のためにユーザープロファイルで構成できるさまざまな認証方法を確認できます。

SAPの各認証方法には独自の利点があり、さまざまなシナリオで使用できます。

https://www.finddevguides.com/index.php?title=Sap-security-logon-tickets&oldid=2166」から取得
Powered by MediaWiki