Single Sign-On mit Microsoft NT LAN Manager
SSP
Verwendung
Single Sign-On (SSO) ist eine sichere Methode, um sich am SAP-System anzumelden, die den Anmeldeprozess vereinfacht, ohne die Sicherheit zu verringern. Wenn Ihr System für Single Sign-On konfiguriert ist, kann ein berechtigter Benutzer, der am Betriebssystem angemeldet ist, auf das SAP-System zugreifen, indem er es einfach im SAP-Logon-Fenster auswählt oder auf die Verknüpfung klickt. Er muss weder einen SAP-Benutzernamen noch ein Kennwort angeben. SSO erleichtert Ihnen die Verwaltung der SAP-Systembenutzer erheblich.
Dieser Abschnitt beschreibt die am leichtesten zu implementierende Option bei Verwendung einer vollständigen 32-Bit-Microsoft-Windows-Landschaft (d. h. Windows 9x, Windows ME, Windows NT, Windows 2000 und höher). Es handelt sich um eine angepasste Version für SSO über Secure Network Communications (SNC), die die Domänenauthentifizierung von Microsoft NT, NT LAN Manager Security Service Provider (NTLM SSP), verwendet.
Voraussetzungen
● Normalerweise erfordert SNC SAP NetWeaver Single Sign-On oder ein externes Sicherheitsprodukt, das sich an die Schnittstelle Generic Security Service API V2 (GSS-API V2) hält und vom SAP Software Partner Program zertifiziert ist. In diesem Szenario bieten wir allerdings eine Bibliothek, die sich einerseits an die GSS-API-V2-Schnittstelle hält, und die andererseits mit dem NTLM SSP von Microsoft kommuniziert. Da NTLM SSP bereits in Microsoft-Windows-32-Bit -Plattformen enthalten ist, brauchen Sie für den Einsatz von SSO kein zusätzliches Sicherheitsprodukt zu erwerben.
Microsoft NTLM SSP bietet nur Authentifizierung auf der Grundlage eines Challenge-Response-Authentifizierungsschemas. Es bietet keinen Schutz der Datenintegrität oder der Vertraulichkeit für die authentifizierte Netzwerkverbindung. SAP NetWeaver Single Sign-On und alle BC-SNC-zertifizierten Sicherheitsprodukte externer Hersteller bieten Schutz der Datenintegrität und der Vertraulichkeit. Wenn Sie diese Funktionen verwenden wollen, müssen Sie ein zertifiziertes Sicherheitsprodukt erwerben.
Wenn Sie nur Windows 2000 und höher verwenden, bieten wir auch eine alternative Bibliothek (gsskrb5.dll) an, die für die Authentifizierung Microsoft Kerberos SSP anstelle von NTLM SSP verwendet. Weitere Informationen finden Sie unter Single Sign-On mit Microsoft Kerberos SSP.
Wir verbreiten zwei verschiedene Versionen der Verschalungsbibliothek für NTLM SSP von Microsoft. Die ältere Version heißt gssapi32.dll und die neuere Version heißt gssntlm.dll. Weitere Informationen dazu, wie Sie gsskrb5.dll erhalten, finden Sie in SAP-Hinweis 595341.
Weitere Informationen zu Sicherheitsaspekten dieses Szenarios finden Sie im SAP-Hinweis 165485.
● Es ist eine reine Microsoft-Win32-Umgebung erforderlich (d. h. Windows 9x, Windows ME, Windows NT, Windows 2000 und höher). Microsoft NTLM SSP ist für UNIX oder andere Betriebssysteme nicht verfügbar.
● Beiderseitiges Vertrauen zwischen den Windows-Domänen ist notwendig, wenn es eigene Domänen für Benutzer, Frontend-PCs und SAP-Anwendungsserver gibt.
● Die GSS-API-V2-Bibliotheksverschalung (gssntlm.dll) ist auf jedem Anwendungsserver installiert.
● Die GSS-API-V2-Bibliotheksverschalung ist auch auf jedem Frontend-PC installiert.
● Wir empfehlen Ihnen, den 7-Bit-ASCII-Zeichensatz für alle Windows-Benutzerkennungen zu verwenden.
Wenn die Codepage des SAP-Systems sich von der Codepage auf den Windowsrechnern unterscheidet, können in Tabelle USRACL (z. B. mit Transaktion SU01) keine Windows-Benutzerkennungen eingegeben werden, die 8-Bit-Zeichen enthalten. Die Kombination von Windows ANSI (=ISO Latin 1) und der Standard-SAP-Codepage 1100 bietet dieselbe Kodierung der 8-Bit-Zeichen und gestattet somit die Verwendung von 8-Bit-Zeichen mit gssntlm.dll.
Aktivitäten
Um SSO mit dem Microsoft NTLM SSP zu implementieren, müssen Sie folgende Schritte ausführen:
...
1. den Windows LM Security Support Provider Service starten
2. den Anwendungsserver für Single Sign-On konfigurieren
3. SAP GUI und SAP Logon für Single Sign-On konfigurieren
4. SAP-Benutzer zu Windows-Benutzern zuordnen