SAP-Systeme f. Annahme u. Verifiz. v.
SAP-Anmeldetickets konfig. 
Verwendung
Der Portal-Server signiert SAP-Anmeldetickets digital, wenn er sie an die Portal-Benutzer ausgibt. SAP-Komponentensysteme müssen die Tickets akzeptieren und die digitale Signatur des Portal-Servers verifizieren. Dazu benötigt ein SAP-Komponentensystem folgende Informationen.
· Das SAP-Komponentensystem sollte nur die SAP-Anmeldetickets akzeptieren, die von ihrem designierten Portal-Server ausgestellt wurden. Daher muss die Identität des Portal-Servers in die SSO-Zugangskontrollliste (ACL) des Komponentensystems eingegeben werden.
· Das SAP-Komponentensystem muss in der Lage sein, die digitale Signatur des Portal-Servers zu verifizieren. Wenn der Portal Server ein vom SAP Trust Center Service signiertes Public-Key-Zertifikat besitzt, kann das SAP-Komponentensystem die digitale Signatur verifizieren, ohne zusätzliche Informationen zu benötigen. Wenn es sich allerdings um ein selbst signiertes Zertifikat handelt, benötigt das SAP-Komponentensystem Zugriff auf die Public-Key-Informationen des Portal-Servers, die in der Zertifikatliste des Komponentensystems eingetragen werden müssen.
Voraussetzungen
· Das SAP-System hat Release 4.0B oder höher. SAP-Anmeldetickets werden in Releases unter 4.0B nicht unterstützt.
· Das Enterprise Portal Plug-In, das dem Release des Enterprise Portal entspricht, wurde im Komponentensystem installiert.
· Die erforderlichen Kernel-Patches wurden auf die R/3-Systeme vor Release 4.6C eingespielt. Weitere Informationen dazu finden Sie im Abschnitt zur Implementierung neuer Kernels für den SAP-Server im SAP-Hinweis 177895. Beachten Sie, dass Sie nach der Anwendung der Kernel-Patches möglicherweise auf für das Betriebssystem des R/3-Systems Patches einspielen müssen, damit der neue Kernel funktioniert.
·
Benutzer müssen in allen SAP-Systemen, auf die
über Single Sign-On mit SAP-Anmeldetickets zugegriffen wird, dieselbe
Benutzer-ID haben. Wenn die SAP-Benutzer-IDs nicht mit den Portal-Benutzer-IDs
übereinstimmen, müssen Sie ein SAP-Referenzsystem definieren. Siehe 
SAP-R/3-Referenzsystem
für Benutzerdaten definieren
· Die SAP Security Library ist auf allen Anwendungsservern des Komponentensystems installiert. Wir empfehlen, jeweils die aktuellste Version der Library zu installieren, die Sie auf dem sapserv<x> unter /general/misc/security/SAPSECU/<platform> finden. Dies garantiert einen optimalen Ablauf.
·
Sie haben den Portal-Server für Single Sign-On
mit Anmeldetickets konfiguriert. Siehe Portal-Server mit
SAP-Anmeldetickets für SSO konfigurieren.
Vorgehensweise
In SAP-Systemen ab Release 4.6C
können Sie die ersten beiden Schritte des folgenden Verfahrens mit der
Transaktion STRUSTSSO2 durchführen. Das ist unter Transaktion STRUSTSSO2
in SAP-System >= 4.6C verwenden beschrieben.
Portal-Server zur ACL des Komponentensystems hinzufügen
Der Portal-Server wird durch die System-ID, den Mandanten und den Namen im Zertifikat identifiziert. Sie müssen diese Einzelheiten in die Zugangskontrollliste des Komponentensystems folgendermaßen eingeben.
Wenn Sie mehrere Portal Server in
dieselbe ACL eingeben wollen, müssen Sie einen der Portal Server konfigurieren
wie unter Mehrere Portale
verwenden beschrieben.
1. Pflegen Sie im Komponentensystem mit Transaktion SM30 die Tabelle TWPSSO2ACL.
2. Legen Sie einen neuen Eintrag für den Portal-Server an; wählen Sie dazu Neue Einträge.
3. Geben Sie als System-ID WP3 und als Mandant 000 ein. Das sind die Vorschlagswerte für diese Parameter.
Normalerweise brauchen Sie diese
Vorschlagswerte nur zu ändern, wenn Sie mehrere Portal
Server in die ACL eingeben. Sollten Sie andere Werte definieren wollen,
müssen Sie die Parameter login.ticket_issuer und login.ticket_client in der Datei usermanagement.properties
auf dem Portal-Server ändern.
4. Geben Sie folgende Werte für Subject name, Issuer name und Serial number ein.
|
Feld |
Wert |
|
Subject name |
CN=Portal EP 5.0 |
|
Issuer name |
· CN=Portal EP 5.0 (bei selbst signiertem Zertifikat) · Aussteller des Zertifikats (bei vom SAP Trust Center Service signiertem Zertifikat)
Den Namen des Ausstellers erhalten Sie, wenn Sie das Public-Key-Zertifikat im Keystore Manager ansehen. |
|
Seriennummer |
00 |
Das sind wieder die Vorschlagswerte.
Sie brauchen sie nur zu ändern, wenn Sie mehrere Portal
Server in die ACL eingeben oder wenn Sie vom SAP Trust Center
signiertes Server-Zertifikat verwenden. Sollten Sie andere Werte
definieren wollen, müssen Sie den Parameter login.ticket_dn in der Datei usermanagement.properties
auf dem Portal-Server ändern.
5. Sichern Sie Ihre Eingaben.
Public-Key-Zertifikat des Portal-Servers in Zertifikatliste des Komponentensystems importieren
Dieser Schritt ist nicht erforderlich, wenn das Public-Key-Zertifikat des Portal Servers vom SAP Trust Center signiert wurde.
Diese Vorgehensweise ist release-abhängig.
·
Wenn das SAP-Komponentensystem auf Release 4.6C
oder höher aufbaut, folgen Sie der unter Portal-Zertifikate in
SAP-Systeme >= 4.6C importieren beschriebenen
Vorgehensweise.
·
Wenn das SAP-Komponentensystem auf Release 4.0B
bis 4.6B aufbaut, folgen Sie der unter Portal-Zertifikate in
SAP-Systeme < 4.6C importieren beschriebenen Vorgehensweise.
Profilparameter setzen
Nehmen Sie folgende Einstellungen auf allen Anwendungsservern des Komponentensystems vor:
1. Setzen Sie die Profilparameter login/accept_sso2_ticket = 1 und login/create_sso2_ticket = 0 in jedem Instanzprofil.
2. Setzen Sie bei Releases 4.0 und 4.5 auch den Profilparameter SAPSECULIB auf den Ablageort (Pfad und Dateiname) der SAP Security Library.
ITS-Serviceparameter setzen
Setzen Sie folgende Parameter in der globalen Servicedatei global.srvc auf jedem ITS-Server des SAP-Komponentensystems.
|
Setzen Sie den Parameter |
Auf den Wert |
Kommentar |
|
~login |
(space) |
|
|
~password |
(space) |
|
|
~mysapcomusesso2cookie |
1 |
Ermöglicht dem Benutzer die Anmeldung an das System mit einem vorhandenen SAP-Anmeldeticket. |
Ergebnis
Die SAP-Komponentensysteme sind in der Lage, SAP-Anmeldetickets zu akzeptieren und die digitale Signatur des Portal-Servers zu verifizieren, sobald sie ein Anmeldeticket von einem Benutzer erhalten.