Билет входа в SAP

Билеты входа в систему SAP представляют учетные данные пользователя в системах SAP . Если эта функция включена, пользователи могут получить доступ к множеству приложений и сервисов SAP через графический интерфейс SAP и веб-браузеры без дальнейшего ввода имени пользователя и пароля от пользователя. SAP Logon Tickets также может быть средством обеспечения единого входа в систему через границы SAP; в некоторых случаях билеты входа можно использовать для аутентификации в сторонних приложениях, таких как веб-приложения Microsoft. ^{[ 1 ]}

Операция

Пользователь запрашивает доступ к ресурсу на сервере приложений SAP NetWeaver.
Ресурс требует аутентификации.
Сервер приложений SAP NetWeaver аутентифицирует пользователя, например, с помощью идентификатора пользователя и пароля.
Сервер приложений SAP NetWeaver выдает пользователю билет входа в систему SAP.
Билет входа в систему SAP хранится в браузере пользователя в виде непостоянного файла cookie HTTP .
Когда пользователь проходит аутентификацию в другом приложении, клиент пользователя представляет билет входа в систему SAP.

Состав

ID пользователя
Дата(ы) действия
Система выпуска
Цифровая подпись
Метод аутентификации

Известные свойства

Ниже приведен краткий список важных свойств Java-сервера приложений SAP NetWeaver для билетов входа в систему SAP. ^{[ 2 ]}

login.ticket_client — трехсимвольная числовая строка, используемая для обозначения клиента, который записан в билете входа в SAP.
login.ticket_lifetime — указывает срок действия билета в часах и минутах (т. е. ЧЧ:ММ)
login.ticket_portalid — да/нет/авто для записи идентификатора портала в тикет
ume.login.mdc.hosts — позволяет Java-серверу приложений SAP NetWeaver запрашивать билеты входа с хостов за пределами домена портала.
ume.logon.httponlycookie — true/false для защиты от вредоносного кода сценария на стороне клиента, такого как JavaScript.
ume.logon.security.enforce_secure_cookie — обеспечивает SSL-связь.
ume.logon.security.relax_domain.level — ослабляет поддомены, для которых действителен билет входа в SAP.

Единый вход

Билеты входа в систему SAP можно использовать для единого входа через корпоративный портал SAP. SAP предоставляет фильтр веб-сервера, который можно использовать для аутентификации через переменную заголовка http, и библиотеку динамической компоновки для проверки билетов единого входа в стороннем программном обеспечении, которую можно использовать для обеспечения встроенной поддержки билетов входа в систему SAP в приложениях, написанных на C или Java.

Фильтр веб-сервера

Фильтр доступен начиная с SAP Enterprise Portal 5.0. Использование фильтра для единого входа требует, чтобы веб-приложение поддерживало проверку подлинности переменной заголовка http . Фильтр проверяет подлинность билета входа с помощью цифрового сертификата корпоративного портала. После аутентификации имя пользователя из билета входа извлекается и записывается в заголовок http. Дополнительную настройку переменной заголовка http можно выполнить в файле конфигурации фильтра (т. е. Remote_user_alias).

Интеграция с платформами управления идентификацией и доступом

Tivoli Access Manager разработала службу аутентификации, совместимую с SAP Logon Tickets. ^{[ 3 ]}
Sun ONE Identity разработала решение, позволяющее компаниям использовать сервер интернет-транзакций SAP (ITS 2.0) и подключаемую службу аутентификации SAP (PAS) для интеграции с SAP для единого входа. В этом методе используются билеты входа в систему для единого входа и SAPCRYPTOLIB (библиотека шифрования SAP) для межсерверного шифрования SAP. Решение Sun использует метод внешней аутентификации динамических библиотек (DLL). ^{[ 4 ]}
IBM Lotus Domino можно использовать в качестве компонента технической проверки билетов. ^{[ 5 ]}

Доступность

Динамически подключаемая библиотека

SAP предоставляет примеры файлов Java и C, которые могут дать некоторые подсказки о том, как можно реализовать библиотеку в исходном коде языка программирования высокого уровня, такого как Visual Basic, C или Java.

Единый вход в веб-приложения Microsoft

Веб-приложения Microsoft обычно поддерживают только методы проверки подлинности: базовую проверку подлинности или встроенную проверку подлинности Windows (Kerberos), предоставляемые Internet Information Server. Однако Kerberos плохо работает через Интернет из-за типичной конфигурации клиентских брандмауэров. Единый вход в серверные системы Microsoft в сценариях экстрасети ограничивается механизмом пароля идентификатора пользователя. На основе новой функции, называемой переходом протокола с использованием ограниченного делегирования, компания SAP разработала модуль SSO22KerbMap. Этот новый фильтр ISAPI запрашивает ограниченный билет Kerberos для пользователей, идентифицированных действительным билетом входа в систему SAP, который можно использовать для единого входа в веб-приложения Microsoft на серверной стороне. ^{[ 6 ]}

Единый вход в среды Java, отличные от SAP

Билеты входа в систему SAP можно использовать в среде Java, отличной от SAP, с небольшим пользовательским кодированием. ^{[ 7 ]}^{[ 8 ]}

Интеграция в системы SAP

АБАП

Билеты входа позволяют осуществлять единый вход на серверы приложений ABAP. ^{[ 9 ]} Однако есть предпосылки:

Имена пользователей должны быть одинаковыми для всех систем SAP, для которых пользователь хочет выполнить единый вход. Пароли могут быть разными.
Веб-браузеры должны быть настроены на прием файлов cookie.
Все веб-серверы для серверов ABAP должны быть размещены на одном DNS.
Сервер-эмитент должен иметь возможность подписывать билеты входа в систему цифровой подписью (т. е. открытый и закрытый ключи ). требуются
Системы, принимающие билеты входа в систему, должны иметь доступ к сертификату открытого ключа выдающего сервера.

J2EE

Серверы Java позволяют осуществлять единый вход на серверы приложений Java. ^{[ 10 ]} Однако есть предпосылки:

Имена пользователей должны быть одинаковыми для всех систем SAP, для которых пользователь хочет выполнить единый вход. Пароли могут быть разными.
Веб-браузеры должны быть настроены на прием файлов cookie.
Все веб-серверы для серверов ABAP должны быть размещены на одном DNS.
Часы приема билетов синхронизируются с часами сервера выдачи.
Сервер-эмитент должен иметь возможность подписывать билеты входа в систему цифровой подписью (т. е. открытый и закрытый ключи ). требуются
Системы, принимающие билеты входа в систему, должны иметь доступ к сертификату открытого ключа выдающего сервера.

Функции безопасности

Цифровая подпись сервера портала SAP.
Использует асимметричную криптографию для установления однонаправленных доверительных отношений между пользователями и системами SAP.
Защищено при транспортировке через SSL
Срок действия, который можно настроить в настройках безопасности SAP Enterprise Portal.

Проблемы безопасности

Билеты входа в систему SAP не используют защищенную сетевую связь (SNC).
Типичные проблемы безопасности, связанные с файлами cookie, хранящимися в веб-браузере. Примеры включают в себя: ^{[ 11 ]}
- Копирование билета входа в систему SAP с помощью анализа сетевого трафика или социальной инженерии и сохранение его на другом компьютере для доступа к корпоративному порталу SAP.

Альтернативы билетам входа в SAP

Агрегация счетов через SAP NetWeaver
Используйте безопасных сетевых коммуникаций от независимых поставщиков программного обеспечения безопасности. технологию единого входа на основе

Безопасная система единого входа на основе сетевых коммуникаций

Агрегация счетов

Сервер корпоративного портала отображает информацию о пользователе, т. е. идентификатор пользователя и пароль, чтобы предоставить пользователям доступ к внешним системам. Этот подход требует сохранения изменений имени пользователя и/или пароля из одного серверного приложения на портале. Этот подход неприемлем для серверных веб-систем, поскольку предыдущие обновления безопасности от Microsoft больше не поддерживают обработку имен пользователей и паролей по протоколу HTTP, с протоколом Secure Sockets Layer (SSL) или без него, а также URL-адреса HTTPS в Internet Explorer.

Использование агрегации счетов имеет ряд недостатков. Прежде всего, требуется, чтобы пользователь портала SAP сохранял идентификатор пользователя и пароль для каждого приложения, использующего агрегацию учетных записей. Если пароль в одном серверном приложении изменится, пользователь портала SAP также должен будет сохранить сохраненные учетные данные. Хотя агрегирование учетных записей может использоваться в качестве варианта, когда никакое другое решение не может работать, оно приводит к значительным административным издержкам.

Использование агрегации учетных записей для доступа к серверной веб-системе, настроенной на использование базовой аутентификации, приводит к отправке URL-адреса, содержащего имя пользователя и пароль. МС04-004, ^{[ 12 ]} обновление безопасности от Microsoft, опубликованное в 2004 году, удаляет поддержку обработки имен пользователей и паролей в HTTP и HTTP с помощью Secure Sockets Layer (SSL) или URL-адресов HTTPS в Microsoft Internet Explorer. Следующий синтаксис URL-адреса больше не поддерживается в Internet Explorer, если установлено это исправление безопасности:

http(s)://имя пользователя:пароль@сервер/ресурс.ext

См. также

Ссылки

Внешние ссылки

[1] Использование билетов входа SAP для единого входа в веб-приложения Microsoft.

[2] Входной билет

[3] Аутентификация билета входа в SAP в электронном бизнесе Tivoli Access Manager WebSEAL

[4] Решение единого входа для SAP Internet Transaction Server 2.0

[5] Технические компоненты средства проверки билетов

[6] Использование билетов входа SAP для единого входа

[7] Проверка билетов входа в SAP с помощью Java

[8] Поддержка единого входа MySAP

[9] Использование билетов входа в систему

[10] Использование билетов входа для единого входа

[11] Часто задаваемые вопросы по безопасности W3 по файлам cookie браузера.

[12] MS04-004: Накопительное обновление безопасности для Internet Explorer.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]