www.ibsolution.de . © IBSolution GmbH

Single Sign On im SAP Umfeld

Andreas Zickner

Senior Consultant

www.ibsolution.de . © IBSolution GmbH

SSO im SAP Umfeld

Themen Einordnung

IT Sicherheit im Allgemeinen

Problemstellung im SAP Umfeld – Herausforderungen

SSO im Überblick

Kundenbeispiel

SAP NetWeaver Single Sign On (SECUDE)

IBSolution

Lösungsportfolio

Lösungspartner

Inhalt

03.06.11

www.ibsolution.de . © IBSolution GmbH

IT Sicherheit

Ihre Einordung

03.06.11

www.ibsolution.de . © IBSolution GmbH

IT Sicherheit

Ihre Einordung – Bewertung der einzelnen Sicherheitsmaßnahmen im Gesamtkontext

SAP

ProzesseOS DB

Infrastruktur

Gesamte Sicherheit

www.ibsolution.de . © IBSolution GmbH

IT Sicherheit

Ihre Einordung – ausgewogene gesamte Sicherheit

SAP

Prozesse

OS DB

Infrastruktur

Gesamte Sicherheit

www.ibsolution.de . © IBSolution GmbH

Problemstellung

Historisch gewachsen

03.06.11

http://eroonkang.com/16x16/?tag=everything

www.ibsolution.de . © IBSolution GmbH

Problemstellung

Änderungen in den IT Organisationen

03.06.11IBSolution - wir stellen uns vor

http://www.mbcomms.com/images/mergers_acquisitions.jpghttp://wallpaper.1000webgames.com/wallpapers/nature_landscape_wallpaper_73-1600x1200.jpghttp://vistawallpapers.files.wordpress.com/2007/03/vista-wallpaper-desert-landscape.jpg?w=510

www.ibsolution.de . © IBSolution GmbH

Problemstellung

Kontokennungen, Passwörter, Support

03.06.11IBSolution - wir stellen uns vor

http://test.ical.ly/wp-content/uploads/2010/10/being-different-f-200x300.jpghttp://androidsoftwaredownload.com/upload/androidapp/Password_Safe/Password_Safe_0.1.0.pnghttp://escapefromindia.files.wordpress.com/2009/01/microsoft_tech_support.jpg?w=400&h=593

www.ibsolution.de . © IBSolution GmbH

SSO Überblick

03.06.11IBSolution - wir stellen uns vor

www.ibsolution.de . © IBSolution GmbH

Übersicht SAP SSO & Begriffe

Benutzer / Passwort

SAP Logon Tickets

Cookies im Webbrowser

Kerberos

Zum Beispiel Anbindung an den AD Kerberos Service

SNC (Secure Network Communication)

SAP GUI Logon

Zertifikate (auch smartcards)

Zum Beispiel vom AD ausgestellte Zertifikate im Browser

SAML (Security Assertion Markup Language)

Identity und Service Provider

OpenID

Vgl. mit SAML ‚nur‘ in übergreifenden Szenarien.

Mögliche SAP SSO Technologien

03.06.11

www.ibsolution.de . © IBSolution GmbH

Übersicht SAP SSO & Begriffe

Relevante Authentifizierungsmechanismen für SAP Netweaver 7.0 EP1

SAP SSO Support

Funktionalität Authentifi-zierung

AS ABAP AS Java

Benutzer/Passwort X X X

SAP Logon Ticket X X

SPNEGO (Kerberos) X X

SNC (SAP GUI, Kerberos) X X

Zertifikate (X.509) X X X

SAML1) SP SP

1) IDP mit NW 7.2 auf Basis vom Identity Center

https://cw.sdn.sap.com/cw/docs/DOC-43528

03.06.11

www.ibsolution.de . © IBSolution GmbH

Kundenbeispiel

03.06.11IBSolution - wir stellen uns vor

www.ibsolution.de . © IBSolution GmbH

Kundenbeispiel für SSO

Mittelständisches Unternehmen

03.06.11 IBSolution - wir stellen uns vor

Der Kunde

• 450 SAP Benutzer• MS Active Directory• SAP Netweaver

Der Kunde

• 450 SAP Benutzer• MS Active Directory• SAP Netweaver

Ausgangslage

• Einführung IdM & Portal• Verschiedene Benutzerkennungen in verschiedenen SAP Systemen

Ausgangslage

• Einführung IdM & Portal• Verschiedene Benutzerkennungen in verschiedenen SAP Systemen

Architektur

• Verwendung von Zertifikaten für Single Sign On• Eigene ‘einfache’ Certificate Authority (CA) auf Basis Windows 2003

Architektur

• Verwendung von Zertifikaten für Single Sign On• Eigene ‘einfache’ Certificate Authority (CA) auf Basis Windows 2003

Nutzen

• Kein Passwort Rollout• Verwendung der Zertifikaten auch in exsitierenden SAP Systemen• Stufenweise Einführung von SSO

Nutzen

• Kein Passwort Rollout• Verwendung der Zertifikaten auch in exsitierenden SAP Systemen• Stufenweise Einführung von SSO

www.ibsolution.de . © IBSolution GmbH

Das erweiterte Portfolio

SAP NetWeaver Single Sign On (Secude)

03.06.11IBSolution - wir stellen uns vor

www.ibsolution.de . © IBSolution GmbH

SAP NetWeaver Single Sign On (Secude)

SSO (Secure Logon) Single Sign-On ..

für SAP GUI Windows mit Kerberos

für SAP GUI Windows mit Smart Card und bestehender PKI

für SAP GUI Windows und/oder Web Applications mit Zertifikaten

installationsfreie Client-Option für Browser und SAP GUI

Enterprise SSO

Identity Provider / Identity Federation

Verschlüsselung (Kommunikationsebene):Authentizität und Integrität der Daten

Inhalt

03.06.11

www.ibsolution.de . © IBSolution GmbH

1. SAP NetWeaver Single Sign On (Secude) Kerberos und SAP GUI für Windows

SAP Business

Suite

SAP Business

Suite

MicrosoftActive

Directory

MicrosoftActive

Directory

Anwender meldet sich am Betriebssystem an

Startet SAP GUI

Anfrage SSO-Token

Anmeldung über Token

verschlüsselteVerbindung

1

2 3

4

SAP

SAP NW SSO

SA

P N

W S

SO

This presentation and SAP‘s strategy and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This document is provided

without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.

www.ibsolution.de . © IBSolution GmbH

Neu mit SAP NetWeaver Single Sign On (Secude)

Weiter Unterstützung von AS ABAP Plattformen

Verschlüsselte Kommunikation zwischen GUI und AS

1. Single Sign-On für die SAP GUI in Windows mit Kerberos

03.06.11

Funktionalität Authentifi-zierung

AS ABAP AS Java

Benutzer/Passwort X X X

SAP Logon Ticket X X

SPNEGO (Kerberos) X X

SNC (SAP GUI, Kerberos) X X

Zertifikate (X.509) X X X

SAML1) SP SP

www.ibsolution.de . © IBSolution GmbH

SAP Business

Suite

SAP Business

Suite

MicrosoftCertificate

Store

MicrosoftCertificate

Store

Anwender meldet sich am Betriebssystem per Smart Card an

Startet SAP GUI

SSO-Anfrage

SSO-Ticket

Anmeldung über Ticket

verschlüsselteVerbindung

1

2 3

4

SAP

2. SAP SAP NetWeaver Single Sign On (Secude) Smart Card, PKI und SAP GUI für Windows

PKIPKI

SAP NW SSO

SA

P N

W S

SO

This presentation and SAP‘s strategy and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This document is provided

without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.

www.ibsolution.de . © IBSolution GmbH

Neu mit SAP NetWeaver Single Sign On (Secude)

Reine Authentifizierung mittels Zertifikaten

Einbindung einer vorhandenen Public Key Infrastruktur

Weiter Unterstützung von AS ABAP Plattformen

Verschlüsselte Kommunikation zwischen GUI und AS

2. Single Sign-On für SAP GUI für Windows mit Smart Card und bestehender PKI

03.06.11

Funktionalität Authentifi-zierung

AS ABAP AS Java

Benutzer/Passwort X X X

SAP Logon Ticket X X

SPNEGO (Kerberos) X X

SNC (SAP GUI, Kerberos) X X

Zertifikate (X.509) X X X

SAML1) SP SP

www.ibsolution.de . © IBSolution GmbH

Startet SAP GUI

Startet SAP GUI

Generiert“Ticket”

Generiert“Ticket”

Auth- Anfrageam SAP NetWeaver Single Sign-On

Auth- Anfrageam SAP NetWeaver Single Sign-On

1

42

Anmeldung über Ticket und verschlüsselteVerbindung

Anmeldung über Ticket und verschlüsselteVerbindung

5

SAP Business

Suite

SAP Business

SuiteAnwender

SAP

Authentisierungs-Server

Authentisierungs-Server

...

3. SAP NetWeaver Single Sign On (Secude) Zertifikate, SAP GUI für Windows, Web Applikationen

SAP NW SSO

SAP NW SSO

Login Server

SA

P N

W S

SO

Validierungdes Benutzers

Validierungdes Benutzers

3

This presentation and SAP‘s strategy and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This document is provided

without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.

www.ibsolution.de . © IBSolution GmbH

Neu mit SAP NetWeaver Single Sign On (Secude)

Heterogen Unterstützung von AS ABAP/Java Plattformen

Verwendung von temporären Zertifikaten (Login Server)

Einbindung von existierenden PKI Lösungen

Verschlüsselte Kommunikation zwischen GUI und AS

3. Single Sign-On für SAP GUI für Windows und/oder Web Applications mit Zertifikaten

03.06.11

Funktionalität Authentifi-zierung

AS ABAP AS Java

Benutzer/Passwort X X X

SAP Logon Ticket X X

SPNEGO (Kerberos) X X

SNC (SAP GUI, Kerberos) X X

Zertifikate (X.509) X X X

SAML1) SP SP

www.ibsolution.de . © IBSolution GmbH

4. SAP NetWeaver Single Sign On (Secude) Installationsfreie Client-Option für Browser und SAP GUI

Berechtiguns

Anfrage Berechtiguns

Anfrage PrüfungPrüfung

Browser-

ZertifikatBrowser-

Zertifikat

Authentisierungüber Zertifikat und verschlüsselter Verbindung

Authentisierungüber Zertifikat und verschlüsselter Verbindung

SAP

12

3

4

SSO und Kommunikations-Verschlüsselung

ClientClient

...

SAP NW SSO

SecureLogin Server

Web-Interface

SAP NW AppServ

SAPNetweaver Application

Server Java/ABAP

Authentisierungs-Server

Authentisierungs-Server

...

SAP NW SSO

SAP NW SSO

This presentation and SAP‘s strategy and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This document is provided

without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.

www.ibsolution.de . © IBSolution GmbH

Neu mit SAP NetWeaver Single Sign On (Secude)

Heterogen Unterstützung von AS ABAP/Java Plattformen

Verwendung von temporären Zertifikaten (Login Server)

Einbindung von existierenden PKI Lösungen

Verschlüsselte Kommunikation zwischen GUI und AS

4. Single Sign-On Installationsfreie Client-Option für Browser und SAP GUI

03.06.11

Funktionalität Authentifi-zierung

AS ABAP AS Java

Benutzer/Passwort X X X

SAP Logon Ticket X X

SPNEGO (Kerberos) X X

SNC (SAP GUI, Kerberos) X X

Zertifikate (X.509) X X X

SAML1) SP SP

www.ibsolution.de . © IBSolution GmbH

IBSolution

03.06.11IBSolution - wir stellen uns vor

www.ibsolution.de . © IBSolution GmbH

IBSolution Lösungsportfolio

IBSolution bietet ein umfangreiches Lösungsportfolio auf Basis von Standards.

Dazu gehört die Konzeption und das Konfigurieren von Single Sign On auf Basis von …

… Zertifikaten im Browser oder auf SmartCards

… einer Anmeldung über Active Directory im Browser für Java AS

… einer Anmeldung über Active Directory für SAPGui

… Web-Föderation zwischen Geschäftsbereichen

… Portalintegrationen

Unter anderem Bietet die IBSolution zusätzliches Know How bei …

… der unabhängige Bewertung von IT Sicherheitsmaßnahmen

… Fragen zur IT Sicherheit, mit Focus SAP, im Mobility Umfeld

… bei der Harmonisierung von Benutzerkennungen und Passwort Richtlinien

31.03.11

www.ibsolution.de . © IBSolution GmbH

IBSolution der Lösungspartner

IBSolution hat als Lösungspartner langjährige Erfahrung im Bereich SSO, Authentisierung und Autorisierung. Erfolgsrezept hierbei ist:

Stufenweise Einführung von SSO Lösungen

Kombination von schon lange verfügbaren Standard Lösungen

Minimaler Aufwand mit maximaler Sichtbarkeit für Benutzer und Management

Lösung wird flexibel an den Bedürfnissen und Anforderungen definiert und implementiert

Integration von SAP und Nicht SAP Landschaften

31.03.11

www.ibsolution.de . © IBSolution GmbH

I: www.ibsolution.de

E: Andreas.Zickner@IBSolution.de

M: (+49) 151 / 52 62 47 42

Andreas Zickner

Senior Consultant

03.06.11