Um Microsoft Kerberos für SAP-Systeme einzurichten, müssen Sie SAP-Benutzern erlauben, sich mit SSO anzumelden. Ordnen Sie ihnen dazu Windows-Benutzer zu.
Sie haben Folgendes abgeschlossen:
● Primärinstanz des Anwendungsservers vorbereiten
● das SAP-Frontend konfigurieren
...
1. Melden Sie sich am SAP-System als Administrator an.
2. Wählen Sie Werkzeuge → Administration → Benutzerpflege → Benutzer(Transaktion SU01).
Sie gelangen auf das Bild Benutzerpflege.
3. Geben Sie den Namen des SAP-Benutzers an, und wählen Sie Benutzer → Ändern.
4. Wählen Sie SNC.
5. Geben Sie im Feld SNC-Name den Namen des Kerberos-Principal, der dem SAP-Benutzer zugeordnet werden soll, unter Beachtung der Groß- und Kleinschreibung ein:
p:<WINDOWS-BENUTZERNAME>@<KERBEROS-BEREICHSNAME>
<WINDOWS-BENUTZERNAME> steht für die Anmelde-ID des Windows-Benutzers und der <KERBEROS-BEREICHSNAME> bezeichnet den Kerberos-Bereich, zu dem der Benutzer gehört. Normalerweise ist dies die in Großbuchstaben konvertierte Microsoft-Windows-Domäne.
Geben Sie für Benutzer MILLER, der zur Domäne realm.example.com gehört, Folgendes ein:
p:MILLER@REALM.EXAMPLE.COM
6. Wenn Sie zulassen wollen, dass sich der Benutzer auch mit Benutzerkennung und Kennwort anmelden kann, wählen Sie Unsichere Kommunikation erlaubt. (Diese Option ist nur verfügbar, wenn Profilparameter snc/accept_insecure_gui auf 1 gesetzt ist.)
Dies kann z. B. sinnvoll sein, damit der Benutzer in einer anderen Domäne, in der SSO mit Kerberos nicht verfügbar ist, arbeiten kann.
7. Sichern Sie Ihre Eingaben.
Jetzt ist Kerberos SSO eingerichtet. Bei der nächsten Anmeldung dieses SAP-Systembenutzers am System wird die Anwendung geöffnet, ohne dass der Benutzer einen Benutzernamen und ein Kennwort einzugeben braucht.
Wenn zwischen dem Windows-Konto und der SAP-System-Benutzerkennung nur eine Zuordnung möglich ist, wird das Anmeldebild unterdrückt, wenn nicht Profilparameter snc/force_login_screen = 1 im Instanzprofil des Anwendungsservers vorhanden ist.