SAP Security Tutorial
SAP Security Useful Resources
Selected Reading
- SAP Security - Logon Tickets
- User Authentication & Single SignOn
- SAP Security - Databases
- SAP Security - Windows Platform
- SAP Security - Unix Platform
- System Authorization Concept
- Un-authorizing Logons Protections
- Protecting Standard Users
- Network Communication Security
- User Authentication & Management
- SAP Security - Overview
- SAP Security - Home
SAP Security Useful Resources
Selected Reading
- Who is Who
- Computer Glossary
- HR Interview Questions
- Effective Resume Writing
- Questions and Answers
- UPSC IAS Exams Notes
SAP Security - Logon Tickets
SAP Security - Logon Tickets
你可以把数字签名的SAP登录票汇合在一起,与单一签字人汇合,以便在SAP环境中查阅综合申请。 您可以召集一个门户,向用户发放SAP登录票,用户需要认证这一初步准入制度。 当向用户发放SAP登录票时,这些票在网络浏览器中被节省,使用户能够使用SSO的不同系统登录。
在ABAP应用服务器中,可配置两种不同类型的Logon票——
为了没收SAP登录票,应当在用户简介中确定以下参数。
login/accept_sso2_ticket
您可以使用单张签票,在SAP系统之间,甚至在非SAP系统之外,允许SSO。 SSO的机票可以是一张 log票或一张 assertion票。 log票作为 co子转至MYSAPSSO2。 申购单作为吉大港山区主食券,名称为MYSAPSSO2。
如果只有程序(X.509客户证书)用于单一签字-On,或者如果你不想为这一系统使用单一签字,则你可以停止使用SSO(login/accept_sso2_ticket=0)这一标识。
设定参数,使用交易RZ11
login/create_sso2_ticket
您可以使用单一标书票,允许SSO在SAP系统之间,甚至超出SAP系统。 SSO的机票可以是一张 log票或一张 assertion票。 日志票作为 co子与MYSAPSSO2号。 申购单作为吉大港山区主食券,名称为MYSAPSSO2。
签发制度应允许产生SSO票——
log/create_sso2_ticket = 1: SSO票,包括证书
log/c=2
日志/日志=3
login/ticket_expiration_time
在使用我的SAP.com时,能够有一个单一签字。 工作场所、卫生局的机票可以使用。 在创建SSO票时,你可以确定有效期。 一旦到期,SSO票就不能再用于在工作场所的部件系统上登录。 然后,用户需要重新登录到工作场所服务器,以获得新的SSO票。
如果输入不正确的数值,则使用违约值(8小时)。
正确的数值如下:
24 → 24 hours
1:30 → 1 hours, 30 minutes
0:05 → 5 minutes
错误的数值如下:
40 (0:40 would be correct)
0:60 (1 would be correct)
10:000 (10 would be correct)
24: (24 would be correct)
1:A3
X.509 Cpent Certificates
采用SSO方法,你可以使用X.509客户证书认证网上通用应用服务器。 客户证书使用非常强的加密方法确保用户能够使用NetWeaver应用程序服务器,因此,应当使您的NetWeaver应用程序服务器能够使用强有力的加密技术。
你应该把SSL配置在你的SAP Net Weaver应用服务器上,因为认证是在使用SSL协议时进行的,而没有进入任何用户名称和密码。 利用SSL议定书,需要一个HTTPS链接,在网络浏览器和Net Weaver ABAP应用程序服务器之间进行沟通。
Security Assertion Markup Language (SAML2.0)
SAML2.0可用于认证单一签字-On SSO,并使SSO能够跨越不同领域。 SAML 2.0是由一个名为“美洲国家组织”的组织制定的。 该系统还提供了一个单一的Log-Out方案,这意味着,如果所有系统的用户记录都偏离,SAP系统的服务提供者就会通知身份提供者,而身份提供者反过来又会偏离所有会议。
以下是使用SAML2.0认证的优点:
您可以减少向其他系统提出申请的制度保持认证的间接费用。
如果不在系统中保持用户身份,你也可以维持外部服务提供者的认证。
所有系统的单一排放选择。
自动绘制用户账户图。
Kerberos Authentication
你们也可以利用网络客户和网络浏览器接入SAPNetWeaver应用程序服务器使用Kerberos Authentication。 它使用简单的、受保护的GSSAP谈判机制SPNego,这一机制还要求具备使用这一认证的额外许可的单一签字-On SSO 2.0或更高版本。 SPNego 本国不支持运输业的安全,因此建议利用SSL议定书增加运输层的安全,与NetWeaver Apppcation服务器进行通信。
在上述屏幕上,您可以看到不同的认证方法,这些认证方法可以在用户简介中加以配置,用于认证。
在SAP中,每种认证方法都有自己的优势,可以用于不同的假设情景。
Advertisements