English 中文(简体)
SAP Security - Logon Tickets
  • 时间:2024-03-26 14:04:07

SAP Security - Logon Tickets


Previous Page Next Page  

你可以把数字签名的SAP登录票汇合在一起,与单一签字人汇合,以便在SAP环境中查阅综合申请。 您可以召集一个门户,向用户发放SAP登录票,用户需要认证这一初步准入制度。 当向用户发放SAP登录票时,这些票在网络浏览器中被节省,使用户能够使用SSO的不同系统登录。

在ABAP应用服务器中,可配置两种不同类型的Logon票——

    这些机票允许使用SSO方法上网。

    。 这些机票用于系统通信。

为了没收SAP登录票,应当在用户简介中确定以下参数。

login/accept_sso2_ticket

您可以使用单张签票,在SAP系统之间,甚至在非SAP系统之外,允许SSO。 SSO的机票可以是一张 log票或一张 assertion票。 log票作为 co子转至MYSAPSSO2。 申购单作为吉大港山区主食券,名称为MYSAPSSO2。

这就要求采取更多的配置步骤来发放和接受这些系统。 SSO构成部分系统应当允许使用SSO票的标识(login/accept_sso2_ticket = 1)。

如果只有程序(X.509客户证书)用于单一签字-On,或者如果你不想为这一系统使用单一签字,则你可以停止使用SSO(login/accept_sso2_ticket=0)这一标识。

设定参数,使用交易RZ11

- 0/ 1

Values Allowed

login/create_sso2_ticket

您可以使用单一标书票,允许SSO在SAP系统之间,甚至超出SAP系统。 SSO的机票可以是一张 log票或一张 assertion票。 日志票作为 co子与MYSAPSSO2号。 申购单作为吉大港山区主食券,名称为MYSAPSSO2。

这就要求采取更多的配置步骤,以颁发和接受这些系统。

签发制度应允许产生SSO票——

    log/create_sso2_ticket = 1: SSO票,包括证书

    log/c=2

    日志/日志=3

Metadata for Parameter Login Data

login/ticket_expiration_time

在使用我的SAP.com时,能够有一个单一签字。 工作场所、卫生局的机票可以使用。 在创建SSO票时,你可以确定有效期。 一旦到期,SSO票就不能再用于在工作场所的部件系统上登录。 然后,用户需要重新登录到工作场所服务器,以获得新的SSO票。

- <Hours>[:<Minutes>]

如果输入不正确的数值,则使用违约值(8小时)。

正确的数值如下:

    24 → 24 hours

    1:30 → 1 hours, 30 minutes

    0:05 → 5 minutes

错误的数值如下:

    40 (0:40 would be correct)

    0:60 (1 would be correct)

    10:000 (10 would be correct)

    24: (24 would be correct)

    1:A3

Metadata for Parameter Login Data and Expiration Time

X.509 Cpent Certificates

采用SSO方法,你可以使用X.509客户证书认证网上通用应用服务器。 客户证书使用非常强的加密方法确保用户能够使用NetWeaver应用程序服务器,因此,应当使您的NetWeaver应用程序服务器能够使用强有力的加密技术。

你应该把SSL配置在你的SAP Net Weaver应用服务器上,因为认证是在使用SSL协议时进行的,而没有进入任何用户名称和密码。 利用SSL议定书,需要一个HTTPS链接,在网络浏览器和Net Weaver ABAP应用程序服务器之间进行沟通。

Security Assertion Markup Language (SAML2.0)

SAML2.0可用于认证单一签字-On SSO,并使SSO能够跨越不同领域。 SAML 2.0是由一个名为“美洲国家组织”的组织制定的。 该系统还提供了一个单一的Log-Out方案,这意味着,如果所有系统的用户记录都偏离,SAP系统的服务提供者就会通知身份提供者,而身份提供者反过来又会偏离所有会议。

以下是使用SAML2.0认证的优点:

    您可以减少向其他系统提出申请的制度保持认证的间接费用。

    如果不在系统中保持用户身份,你也可以维持外部服务提供者的认证。

    所有系统的单一排放选择。

    自动绘制用户账户图。

Kerberos Authentication

你们也可以利用网络客户和网络浏览器接入SAPNetWeaver应用程序服务器使用Kerberos Authentication。 它使用简单的、受保护的GSSAP谈判机制SPNego,这一机制还要求具备使用这一认证的额外许可的单一签字-On SSO 2.0或更高版本。 SPNego 本国不支持运输业的安全,因此建议利用SSL议定书增加运输层的安全,与NetWeaver Apppcation服务器进行通信。

New User

在上述屏幕上,您可以看到不同的认证方法,这些认证方法可以在用户简介中加以配置,用于认证。

在SAP中,每种认证方法都有自己的优势,可以用于不同的假设情景。

Advertisements