Anfang des Inhaltsbereichs

Vorgehensweisen Windows-Benutzer zu SAP-Benutzern für Kerberos SSO zuordnen  Dokument im Navigationsbaum lokalisieren

Verwendung

Um Microsoft Kerberos für SAP-Systeme einzurichten, müssen Sie SAP-Benutzern erlauben, sich mit SSO anzumelden. Ordnen Sie ihnen dazu Windows-Benutzer zu.

Voraussetzungen

Sie haben Folgendes abgeschlossen:

      Primärinstanz des Anwendungsservers vorbereiten 

      das SAP-Frontend konfigurieren 

      SAP Logon konfigurieren 

Vorgehensweise

...

       1.      Melden Sie sich am SAP-System als Administrator an.

       2.      Wählen Sie Werkzeuge Administration Benutzerpflege Benutzer(Transaktion SU01).

Sie gelangen auf das Bild Benutzerpflege.

       3.      Geben Sie den Namen des SAP-Benutzers an, und wählen Sie Benutzer Ändern.

       4.      Wählen Sie SNC.

       5.      Geben Sie im Feld SNC-Name den Namen des Kerberos-Principal, der dem SAP-Benutzer zugeordnet werden soll, unter Beachtung der Groß- und Kleinschreibung ein:

p:<WINDOWS-BENUTZERNAME>@<KERBEROS-BEREICHSNAME>

<WINDOWS-BENUTZERNAME> steht für die Anmelde-ID des Windows-Benutzers und der <KERBEROS-BEREICHSNAME> bezeichnet den Kerberos-Bereich, zu dem der Benutzer gehört. Normalerweise ist dies die in Großbuchstaben konvertierte Microsoft-Windows-Domäne.

Beispiel

Geben Sie für Benutzer MILLER, der zur Domäne realm.example.com gehört, Folgendes ein:

p:MILLER@REALM.EXAMPLE.COM

       6.      Wenn Sie zulassen wollen, dass sich der Benutzer auch mit Benutzerkennung und Kennwort anmelden kann, wählen Sie Unsichere Kommunikation erlaubt. (Diese Option ist nur verfügbar, wenn Profilparameter snc/accept_insecure_gui auf 1 gesetzt ist.)

Dies kann z. B. sinnvoll sein, damit der Benutzer in einer anderen Domäne, in der SSO mit Kerberos nicht verfügbar ist, arbeiten kann.

       7.      Sichern Sie Ihre Eingaben.

Ergebnis

Jetzt ist Kerberos SSO eingerichtet. Bei der nächsten Anmeldung dieses SAP-Systembenutzers am System wird die Anwendung geöffnet, ohne dass der Benutzer einen Benutzernamen und ein Kennwort einzugeben braucht.

Wenn zwischen dem Windows-Konto und der SAP-System-Benutzerkennung nur eine Zuordnung möglich ist, wird das Anmeldebild unterdrückt, wenn nicht Profilparameter snc/force_login_screen = 1 im Instanzprofil des Anwendungsservers vorhanden ist.

 

 

Ende des Inhaltsbereichs