Билет входа в систему SAP - SAP Logon Ticket - Wikipedia

Билеты на вход в SAP представлять учетные данные пользователя в SAP системы. Если этот параметр включен, пользователи могут получить доступ к нескольким приложениям и службам SAP через SAP GUI и веб-браузеры без дополнительного ввода имени пользователя и пароля от пользователя. SAP Logon Tickets также может быть средством для включения Единая точка входа через границы SAP; в некоторых случаях билеты входа в систему можно использовать для аутентификации в сторонних приложениях, таких как веб-приложения на базе Microsoft.[1]

Операция

  1. Пользователь запрашивает доступ к ресурсу на сервере приложений SAP NetWeaver.
  2. Ресурс требует аутентификации.
  3. Сервер приложений SAP NetWeaver аутентифицирует пользователя, например, с помощью идентификатора пользователя и пароля.
  4. Сервер приложений SAP NetWeaver выдает пользователю билет входа в систему SAP.
  5. SAP Logon Ticket хранится в браузере пользователя как непостоянный HTTP cookie.
  6. Когда пользователь аутентифицируется в другом приложении, клиент пользователя представляет билет входа в систему SAP.

Сочинение

  • ID пользователя
  • Дата (даты) действия
  • Система выдачи
  • Цифровой подписи
  • Метод аутентификации

Известные свойства

Ниже приводится краткий список важных свойств Java-сервера приложений SAP NetWeaver для заявок на вход в систему SAP.[2]

  • login.ticket_client - трехсимвольная числовая строка, используемая для обозначения клиента, который записан в билет входа в систему SAP
  • login.ticket_lifetime - указывает срок действия билета в часах и минутах (т.е. ЧЧ: ММ)
  • login.ticket_portalid - yes / no / auto для записи ID портала в тикет
  • ume.login.mdc.hosts - позволяет Java-серверу приложений SAP NetWeaver запрашивать билеты входа с хостов за пределами домена портала.
  • ume.logon.httponlycookie - true / false для защиты от вредоносного кода клиентского скрипта, такого как JavaScript
  • ume.logon.security.enforce_secure_cookie - Обеспечивает связь SSL
  • ume.logon.security.relax_domain.level - Ослабляет поддомены, для которых действителен билет входа в SAP.

Единая точка входа

SAP Logon Tickets можно использовать для Единая точка входа через корпоративный портал SAP. SAP предоставляет фильтр веб-сервера, который можно использовать для аутентификации через переменную заголовка http, и библиотеку динамических ссылок для проверки билетов SSO в стороннем программном обеспечении, которое можно использовать для обеспечения встроенной поддержки билетов входа в систему SAP в приложениях, написанных на C или Java.

Фильтр веб-сервера

Фильтр доступен в SAP Enterprise Portal 5.0 и новее. Использование фильтра для единого входа требует, чтобы веб-приложение поддерживало переменная заголовка http аутентификация. Фильтр аутентифицирует билет входа в систему с помощью цифрового сертификата корпоративного портала. После аутентификации имя пользователя из билета входа извлекается и записывается в заголовок http. Дополнительную настройку переменной заголовка http можно выполнить в файле конфигурации фильтра (например, псевдоним remote_user_alias).

Интеграция с платформами управления идентификацией и доступом

Доступность

Библиотека динамической компоновки

SAP предоставляет образцы файлов Java и C, которые могут дать некоторые подсказки, как можно реализовать библиотеку в исходном коде языка программирования высокого уровня, такого как Visual Basic, C или Java.

Единый вход в веб-приложения Microsoft

Веб-приложения Microsoft обычно поддерживают только методы проверки подлинности: обычную проверку подлинности или встроенную проверку подлинности Windows (Kerberos), предоставляемые Internet Information Server. Однако Kerberos плохо работает через Интернет из-за типичной конфигурации клиентских брандмауэров. Единый вход в серверные системы Microsoft в сценариях экстрасети ограничен механизмом пароля идентификатора пользователя. На основе новой функции, называемой переходом протокола с использованием ограниченного делегирования, SAP разработал модуль SSO22KerbMap. Этот новый фильтр ISAPI запрашивает ограниченный билет Kerberos для пользователей, идентифицированных действительным билетом входа в систему SAP, который может использоваться для единого входа в веб-приложения Microsoft в серверной части.[6]

Единый вход в среды Java, отличные от SAP

Можно использовать SAP Logon Tickets в среде Java, отличной от SAP, с незначительным пользовательским кодированием.[7][8]

Интеграция в системы SAP

ABAP

Входные билеты позволяют Единая точка входа в серверы приложений ABAP.[9] Однако для этого есть предпосылки:

  • Имена пользователей должны быть одинаковыми для всех систем SAP, для которых пользователь хочет использовать единый вход. Пароли могут быть разными.
  • Веб-браузеры должны быть настроены на прием файлов cookie.
  • Любые веб-серверы для серверов ABAP должны быть размещены на одном DNS
  • Сервер-эмитент должен иметь возможность подписывать билеты входа в систему цифровой подписью (т. Е. открытый ключ и закрытый ключ необходимы).
  • Системы, которые принимают билеты на вход, должны иметь доступ к сертификату открытого ключа выдающего сервера.

J2EE

Серверы Java позволяют Единая точка входа в серверы приложений Java.[10] Однако для этого есть предпосылки:

  • Имена пользователей должны быть одинаковыми для всех систем SAP, для которых пользователю требуется единый вход. Пароли могут быть разными.
  • Веб-браузеры должны быть настроены на прием файлов cookie.
  • Любые веб-серверы для серверов ABAP должны быть размещены на одном DNS
  • Часы для приема билетов синхронизируются с часами сервера-эмитента.
  • Сервер-эмитент должен иметь возможность подписывать билеты входа в систему цифровой подписью (т. Е. открытый ключ и закрытый ключ необходимы).
  • Системы, которые принимают билеты на вход, должны иметь доступ к сертификату открытого ключа выдающего сервера.

Особенности безопасности

  • Имеет цифровую подпись сервера портала SAP
  • Использует асимметричную криптографию для установления однонаправленных доверительных отношений между пользователями и системами SAP.
  • Защищено при транспортировке через SSL
  • Срок действия, который можно настроить в настройках безопасности Корпоративный портал SAP

Проблемы безопасности

Альтернативы билетам входа в SAP

Единый вход на основе безопасных сетевых коммуникаций

Агрегация счетов

Сервер корпоративного портала сопоставляет информацию о пользователе, то есть идентификатор пользователя и пароль, чтобы пользователи могли получать доступ к внешним системам. Этот подход требует, чтобы сохранить изменения имени пользователя и / или пароля от одного серверного приложения к порталу. Этот подход неприменим для серверных веб-систем, поскольку прошлые обновления безопасности от Microsoft больше не поддерживают обработку имен пользователей и паролей в HTTP, с или без Уровень защищенных гнезд (SSL) и URL-адреса HTTPS в Internet Explorer

Использование агрегирования счетов имеет несколько недостатков. Прежде всего, это требует, чтобы пользователь портала SAP поддерживал идентификатор пользователя и пароль для каждого приложения, которое использует агрегирование учетных записей. Если пароль в одном бэкэнд-приложении изменяется, пользователь портала SAP должен также поддерживать сохраненные учетные данные. Хотя агрегирование учетных записей может использоваться как вариант, когда никакое другое решение не может работать, оно вызывает значительные административные издержки.

Использование агрегации учетных записей для доступа к серверной веб-системе, настроенной на использование базовой проверки подлинности, приводит к отправке URL-адреса, содержащего имя пользователя и пароль. MS04-004,[12] обновление безопасности от Microsoft, опубликованное в 2004 году, удаляет поддержку обработки имен пользователей и паролей в HTTP и HTTP с помощью SSL или HTTPS URL в Microsoft Internet Explorer. Следующий синтаксис URL-адресов больше не поддерживается в Internet Explorer, если было применено это исправление безопасности:

  • http (s): // имя пользователя: password@server/resource.ext

Смотрите также

Рекомендации

внешняя ссылка