Билет входа в систему SAP - SAP Logon Ticket - Wikipedia
Билеты на вход в SAP представлять учетные данные пользователя в SAP системы. Если этот параметр включен, пользователи могут получить доступ к нескольким приложениям и службам SAP через SAP GUI и веб-браузеры без дополнительного ввода имени пользователя и пароля от пользователя. SAP Logon Tickets также может быть средством для включения Единая точка входа через границы SAP; в некоторых случаях билеты входа в систему можно использовать для аутентификации в сторонних приложениях, таких как веб-приложения на базе Microsoft.[1]
Операция
- Пользователь запрашивает доступ к ресурсу на сервере приложений SAP NetWeaver.
- Ресурс требует аутентификации.
- Сервер приложений SAP NetWeaver аутентифицирует пользователя, например, с помощью идентификатора пользователя и пароля.
- Сервер приложений SAP NetWeaver выдает пользователю билет входа в систему SAP.
- SAP Logon Ticket хранится в браузере пользователя как непостоянный HTTP cookie.
- Когда пользователь аутентифицируется в другом приложении, клиент пользователя представляет билет входа в систему SAP.
Сочинение
- ID пользователя
- Дата (даты) действия
- Система выдачи
- Цифровой подписи
- Метод аутентификации
Известные свойства
Ниже приводится краткий список важных свойств Java-сервера приложений SAP NetWeaver для заявок на вход в систему SAP.[2]
- login.ticket_client - трехсимвольная числовая строка, используемая для обозначения клиента, который записан в билет входа в систему SAP
- login.ticket_lifetime - указывает срок действия билета в часах и минутах (т.е. ЧЧ: ММ)
- login.ticket_portalid - yes / no / auto для записи ID портала в тикет
- ume.login.mdc.hosts - позволяет Java-серверу приложений SAP NetWeaver запрашивать билеты входа с хостов за пределами домена портала.
- ume.logon.httponlycookie - true / false для защиты от вредоносного кода клиентского скрипта, такого как JavaScript
- ume.logon.security.enforce_secure_cookie - Обеспечивает связь SSL
- ume.logon.security.relax_domain.level - Ослабляет поддомены, для которых действителен билет входа в SAP.
Единая точка входа
SAP Logon Tickets можно использовать для Единая точка входа через корпоративный портал SAP. SAP предоставляет фильтр веб-сервера, который можно использовать для аутентификации через переменную заголовка http, и библиотеку динамических ссылок для проверки билетов SSO в стороннем программном обеспечении, которое можно использовать для обеспечения встроенной поддержки билетов входа в систему SAP в приложениях, написанных на C или Java.
Фильтр веб-сервера
Фильтр доступен в SAP Enterprise Portal 5.0 и новее. Использование фильтра для единого входа требует, чтобы веб-приложение поддерживало переменная заголовка http аутентификация. Фильтр аутентифицирует билет входа в систему с помощью цифрового сертификата корпоративного портала. После аутентификации имя пользователя из билета входа извлекается и записывается в заголовок http. Дополнительную настройку переменной заголовка http можно выполнить в файле конфигурации фильтра (например, псевдоним remote_user_alias).
Интеграция с платформами управления идентификацией и доступом
- Tivoli Access Manager разработала службу аутентификации, совместимую с SAP Logon Tickets[3]
- Sun ONE Identity разработал решение, в котором компании могут использовать Сервер интернет-транзакций SAP (ЕГО 2.0) и Подключаемая служба аутентификации SAP (PAS) для интеграции с SAP для единого входа. Этот метод использует билеты входа для единого входа и САПКРИПТОЛИБ (Библиотека шифрования SAP) для межсерверного шифрования SAP. Решение Sun использует метод внешней аутентификации динамических библиотек (DLL).[4]
- IBM Lotus Domino может использоваться как компонент проверки технических билетов [5]
Доступность
Библиотека динамической компоновки
SAP предоставляет образцы файлов Java и C, которые могут дать некоторые подсказки, как можно реализовать библиотеку в исходном коде языка программирования высокого уровня, такого как Visual Basic, C или Java.
Единый вход в веб-приложения Microsoft
Веб-приложения Microsoft обычно поддерживают только методы проверки подлинности: обычную проверку подлинности или встроенную проверку подлинности Windows (Kerberos), предоставляемые Internet Information Server. Однако Kerberos плохо работает через Интернет из-за типичной конфигурации клиентских брандмауэров. Единый вход в серверные системы Microsoft в сценариях экстрасети ограничен механизмом пароля идентификатора пользователя. На основе новой функции, называемой переходом протокола с использованием ограниченного делегирования, SAP разработал модуль SSO22KerbMap. Этот новый фильтр ISAPI запрашивает ограниченный билет Kerberos для пользователей, идентифицированных действительным билетом входа в систему SAP, который может использоваться для единого входа в веб-приложения Microsoft в серверной части.[6]
Единый вход в среды Java, отличные от SAP
Можно использовать SAP Logon Tickets в среде Java, отличной от SAP, с незначительным пользовательским кодированием.[7][8]
Интеграция в системы SAP
ABAP
Входные билеты позволяют Единая точка входа в серверы приложений ABAP.[9] Однако для этого есть предпосылки:
- Имена пользователей должны быть одинаковыми для всех систем SAP, для которых пользователь хочет использовать единый вход. Пароли могут быть разными.
- Веб-браузеры должны быть настроены на прием файлов cookie.
- Любые веб-серверы для серверов ABAP должны быть размещены на одном DNS
- Сервер-эмитент должен иметь возможность подписывать билеты входа в систему цифровой подписью (т. Е. открытый ключ и закрытый ключ необходимы).
- Системы, которые принимают билеты на вход, должны иметь доступ к сертификату открытого ключа выдающего сервера.
J2EE
Серверы Java позволяют Единая точка входа в серверы приложений Java.[10] Однако для этого есть предпосылки:
- Имена пользователей должны быть одинаковыми для всех систем SAP, для которых пользователю требуется единый вход. Пароли могут быть разными.
- Веб-браузеры должны быть настроены на прием файлов cookie.
- Любые веб-серверы для серверов ABAP должны быть размещены на одном DNS
- Часы для приема билетов синхронизируются с часами сервера-эмитента.
- Сервер-эмитент должен иметь возможность подписывать билеты входа в систему цифровой подписью (т. Е. открытый ключ и закрытый ключ необходимы).
- Системы, которые принимают билеты на вход, должны иметь доступ к сертификату открытого ключа выдающего сервера.
Особенности безопасности
- Имеет цифровую подпись сервера портала SAP
- Использует асимметричную криптографию для установления однонаправленных доверительных отношений между пользователями и системами SAP.
- Защищено при транспортировке через SSL
- Срок действия, который можно настроить в настройках безопасности Корпоративный портал SAP
Проблемы безопасности
- SAP Logon Tickets не использует Безопасные сетевые коммуникации (SNC)
- Типичные проблемы безопасности, связанные с файлами cookie, хранящимися в веб-браузере. Примеры включают:[11]
- Копирование билета входа в систему SAP через анализ сетевого трафика или же социальная инженерия и сохранить его на другом компьютере для доступа к SAP Enterprise Portal
Альтернативы билетам входа в SAP
- Агрегация счетов через SAP NetWeaver
- Использовать Безопасные сетевые коммуникации -основанная технология единого входа от независимых поставщиков программного обеспечения
Единый вход на основе безопасных сетевых коммуникаций
Агрегация счетов
Сервер корпоративного портала сопоставляет информацию о пользователе, то есть идентификатор пользователя и пароль, чтобы пользователи могли получать доступ к внешним системам. Этот подход требует, чтобы сохранить изменения имени пользователя и / или пароля от одного серверного приложения к порталу. Этот подход неприменим для серверных веб-систем, поскольку прошлые обновления безопасности от Microsoft больше не поддерживают обработку имен пользователей и паролей в HTTP, с или без Уровень защищенных гнезд (SSL) и URL-адреса HTTPS в Internet Explorer
Использование агрегирования счетов имеет несколько недостатков. Прежде всего, это требует, чтобы пользователь портала SAP поддерживал идентификатор пользователя и пароль для каждого приложения, которое использует агрегирование учетных записей. Если пароль в одном бэкэнд-приложении изменяется, пользователь портала SAP должен также поддерживать сохраненные учетные данные. Хотя агрегирование учетных записей может использоваться как вариант, когда никакое другое решение не может работать, оно вызывает значительные административные издержки.
Использование агрегации учетных записей для доступа к серверной веб-системе, настроенной на использование базовой проверки подлинности, приводит к отправке URL-адреса, содержащего имя пользователя и пароль. MS04-004,[12] обновление безопасности от Microsoft, опубликованное в 2004 году, удаляет поддержку обработки имен пользователей и паролей в HTTP и HTTP с помощью SSL или HTTPS URL в Microsoft Internet Explorer. Следующий синтаксис URL-адресов больше не поддерживается в Internet Explorer, если было применено это исправление безопасности:
- http (s): // имя пользователя: password@server/resource.ext
Смотрите также
Рекомендации
- ^ Использование SAP Logon Tickets для единого входа в веб-приложения на базе Microsoft
- ^ Входной билет
- ^ Аутентификация билета входа в систему SAP в Tivoli Access Manager e-business WebSEAL
- ^ Решение единого входа для SAP Internet Transaction Server 2.0
- ^ Технические компоненты верификатора билетов
- ^ Использование билетов входа в систему SAP для единого входа
- ^ Проверка билетов входа в SAP с помощью Java
- ^ Поддержка единого входа MySAP
- ^ Использование билетов входа в систему
- ^ Использование билетов для входа в систему для единого входа
- ^ W3 Security FAQ по файлам cookie браузера
- ^ MS04-004: Накопительное обновление безопасности для Internet Explorer