Embed Size (px)
Citation preview
Single Sign-On Projekt bei SAP Christian Lechner | Technical Service Owner PKI/SSO | SAP Global IT März 2013
© 2012 SAP AG. All rights reserved. 2
Anwendungsszenarien Historie Neukonzeption Single Sign-on Client Public Key Infrastructure / X.509 Zertifikate Architekturüberblick Projektergebnisse Fragen und Antworten
Agenda
© 2012 SAP AG. All rights reserved. 3
• Anmeldung an Systeme über die SAP GUI • Anmeldung an interne webbasierte Anwendungen • Anmeldung an Cloud Services • Über 20.000 Backendsysteme • Verpflichtend für viele Businesssysteme • Hauptfokus auf Microsoft Windows Clientbetriebssysteme
Anwendungsszenarien
© 2012 SAP AG. All rights reserved. 4
• SAP führte 1999 zum ersten Mal eine zertifikatsbasierte Single Sign-on Lösung ein • Auf SECUDE Technologien basierte, zentrale Public Key Infrastructure (PKI) • Initialer Rollout an über 30.000 Anwender • Getrennte Anmeldung am Single Sign-on Client • Die verwendeten Zertifikate wurden temporär im lokalen Zertifikatspeicher abgelegt • Resultierende Probleme:
• Starke Abhängigkeit von der Verfügbarkeit der PKI • Hoher Supportaufwand durch getrennte Anmeldung am Single Sign-on Client • Lange Anmeldezeiten an Remotestandorten • Keine Offlineverfügbarkeit der Zertifikate
Historie
© 2012 SAP AG. All rights reserved. 5
• SAP IT begann 2008 mit der Neukonzeption der internen Single Sign-on Lösung • Ziele des Projektes:
• Aktualisierung des Root Zertifikats der alten CA welches im Mai 2010 auslief. • Implementierung eines „echten“ Single Sign-On welches nach der Windows Anmeldung keine weitere Anmeldung benötigt • Reduzierung des Supportaufwands • Eliminierung des Backends als Single Point of Failure • Support für Microsoft Windows 7 und zukünftige Windows Betriebssysteme • Verringerung der Anmeldezeiten • Update aller vorhandener Clientinstallationen
Neukonzeption
© 2012 SAP AG. All rights reserved. 6
• Rollout des zu diesem Zeitpunkt aktuellen SECUDE Sign-On Secure 4.2.x Client • Migration aller Anwender und Clientcomputer innerhalb von drei Monaten
• 90.000 Endanwender (interne und externe Mitarbeiter) • 80.000 Client Computer • 900 Citrix Terminal Server
• Mit Windows 8 erfolgt das Upgrade auf den neuen SAP NetWeaver® Secure Login Client
Single-Sign-On Client
© 2012 SAP AG. All rights reserved. 7
• Public Key Infrastructure • Microsoft Enterprise CA auf Basis von Active Directory Certificate Services • Microsoft Windows Server 2008 R2 als Plattform • Weiterhin als zentrale Infrastruktur in Walldorf
• X.509 Zertifikate • Die Benutzerzertifikate werden über betriebssysteminterne Mechanismen ausgestellt und erneuert (Autoenrollment) • Die Zertifikate werden über das Active Directory synchronisiert um die Verfügbarkeit der Zertifikate auf allen Windows Clients zu gewährleisten (Credential
Roaming) • Der gesamte Prozess wird über Gruppenrichtlinien gesteuert
• Projekt zur Erneuerung der PKI Infrastructure gestartet 2012 • Aktualisierung der Sicherheitsstandards • Erweiterung der Hochverfügbarkeit
Public Key Infrastructure / X.509 Zertifikate
© 2012 SAP AG. All rights reserved. 8
1. Benutzerdaten werden durch das IDM System provisioniert 2. Der Benutzer meldet sich am Active Directory an 3. Das X.509 Zertifikat wird durch die Microsoft Windows
Enterprise CA signiert und im Zertifikatsspeicher des Betriebssystems abgelegt
4. Single Sign-on ist über den SAP NW SSO Login Client in SAP GUI Sitzungen verfügbar
5. Single Sign-on ist im Browser direkt für Web basierte Anwendungen verfügbar
Architektur
SAP GUI
R3
Active
Directory
Browser
Web
Certification
Authority
Windows Local Store
SAP NW IDM
1.
1.
2. 3.
4. 5.
3.
© 2012 SAP AG. All rights reserved. 9
• Alle Projektziele wurden durch die gewählte Architektur erreicht • Sehr hohe Anwenderzufriedenheit • Reduktion der Single Sign-on bezogenen Supporttickets um 75% von durchschnittlich 950 auf 240 pro Monat reduziert • Die Single Sign-on Zertifikate werden allen Betriebssystem Plattformen verwendet. • Das Projektteam war eines der Recognized IT Teams 2010 • Die Projekterfahrungen gingen in das Buch „Single Sign-on mit SAP“ (SAP Press) ein • Automatisierte Zertifikatsverteilung auf Mobiledevices in Zusammenhang mit SAP Afaria in Planung • Evaluierung der Integration der Zertifikate in Windows Credential Manager
Projektergebnisse
© 2012 SAP AG. All rights reserved. 10
..Questions….
© 2012 SAP AG. All rights reserved. 11
Kontaktdaten:
Christian Lechner Technical Service Owner PKI/SSO / SAP Global IT
Vielen Dank für ihre Aufmerksamkeit!
![ETSI ISG CIM · [JSON-LD] 20170608 Introduction to ISG CIM CIM-002-UC CIM -003 GAP CIM-004-APIprelim CIM-005-DPP CIM-001-AB ) CIM-006-MOD0. Timeline in ToR 02/2017 First General Meeting](https://img.pdfslide.us/doc/110x75/6002860fd1e0f63f360db5f2/etsi-isg-cim-json-ld-20170608-introduction-to-isg-cim-cim-002-uc-cim-003-gap.jpg)
