Single Sign-On mit Microsoft Kerberos
SSP
Verwendung
Kerberos Single Sign-On (SSO) ist eine sichere Methode, um sich am SAP-System anzumelden, die den Anmeldeprozess vereinfacht. Sie eignet sich, wenn Sie Windows 2000 oder höher in Ihrer Systemlandschaft verwenden.
Wenn Ihr System für SSO konfiguriert ist, kann ein berechtigter Benutzer, der an Windows angemeldet ist, auf das SAP-System zugreifen, indem er es einfach im SAP-Logon-Fenster auswählt oder eine Verknüpfung verwendet. Der Benutzer braucht nicht bei jeder Anmeldung am SAP-System über SAP GUI for Windows eine Benutzerkennung und ein Kennwort einzugeben. Daher erleichtert SSO Ihnen die Verwaltung der SAP-Systembenutzer.
Der Microsoft Kerberos Security Service Provider (SSP) bietet sichere Authentifizierung plus Verschlüsselung der Netzwerkkommunikation. Im Gegensatz dazu bietet SSO mit Microsoft NTLM SSP, wie im folgenden Abschnitt beschrieben, keine Verschlüsselung der Netzwerkkommunikation.
Bei Verwendung der Kerberos-Wrapper-Bibliothek (gsskrb5.dll) ist Microsoft Kerberos SSP eventuell mit Kerberos-Implementierungen anderer Anbieter und Lieferanten kompatibel. Allerdings unterstützen wir nicht Bibliotheken externer Anbieter, die über die BC-SNC-Schnittstelle geladen werden. Dokumentation und Support müssen vom Anbieter bzw. Lieferanten der externen Software erbracht werden. Daher empfehlen wir Ihnen, nur die für BC-SNC zertifizierten Single-Sign-On-Lösungen zu verwenden, bei denen der Anbieter sich verpflichtet hat, Implementierung, Dokumentation und Support zu leisten.
Weitere Informationen: www.sap.com/partners/directories/SearchSolution.epx.
Wählen Sie unter Certification Category Secure network communication und anschließend Search.
Voraussetzungen
● Auf Kerberos gestütztes SSO kann nur für Benutzer eingerichtet werden, die Mitglieder einer Domäne von Windows 2000 oder höher sind.
● Lesen Sie, bevor Sie mit der Konfiguration anfangen, SAP-Hinweis 352295 und 595341.
Aktivitäten
Um SSO mit dem Microsoft Kerberos SSP zu implementieren, müssen Sie
...
1. die Primärinstanz des Anwendungsservers vorbereiten.
2. die SAP-Frontends konfigurieren
4. SAP-Benutzer zu Windows-Benutzern zuordnen
Die nachfolgenden Abschnitte beschreiben diese Schritte detailliert.
In den Verzeichnispfaden der nachfolgenden Abschnitte bezieht sich \%windir%\ auf den Ablageort des Windows-Verzeichnisses, das dem Windows-Betriebssystem-Release entspricht.