Dieser Abschnitt liefert die von SNC an externe Sicherheitsprodukte gestellten Anforderungen und beschreibt etwaige von den Produkten verwendete Namenskonventionen.
Ein Sicherheitsprodukt muss die folgenden Anforderungen erfüllen, um mit SAP-Systemen eingesetzt werden zu können:
Das Produkt muss den vollen Funktionsumfang der GSS-API-V2-Schnittstelle bereitstellen.
Die Funktionen müssen dynamisch geladen werden können.
Das Produkt muss auf von AS SAP unterstützten Plattformen verfügbar sein.
Das Produkt muss durch SAP zertifiziert sein.
Das SAP Partner Program zertifiziert externe Produkte für die Verwendung mit SAP-Systemen. Weitere Informationen über die Produktverfügbarkeit und -zertifizierung finden Sie bei den Partnerinformationen unter http://www.sap.com/partners.
Hinweis
SAP bietet ein eigenes externes Sicherheitsprodukt an: SAP NetWeaver Single Sign-On.
Weitere Informationen über SAP NetWeaver Single Sign-On finden Sie unter http://www.sdn.sap.com/irj/sdn/security.
Die verschiedenen Sicherheitsprodukte definieren ihre eigenen Namenskonventionen für die Vergabe von Benutzernamen. Diese externen Namen werden normalerweise unabhängig von den Benutzernamen im AS ABAP erstellt. (Sie müssen eine Beziehung zwischen den beiden Namen definieren.)
Weitere Informationen über das Definieren dieser Beziehung finden Sie unter Benutzerpflege auf dem AS ABAP.
Um über SNC kommunizieren zu können, benötigen Anwendungsserver und andere SAP-System-Services (die normalerweise keine Benutzernamen im AS ABAP haben) zusätzlich Benutzernamen beim Sicherheitsprodukt. Für eine erfolgreiche Authentifizierung muss der AS ABAP in der Lage sein, diese externen Benutzernamen zu erkennen.
Dieser Abschnitt beschreibt einige der gängigsten Namenskonventionen.
Eine genauere Beschreibung finden sie in der Dokumentation des externen Sicherheitsprodukts.
Hinweis
Die Syntax der externen Namen ist vom Sicherheitsprodukt vorgegeben. Im Allgemeinen ist bei den Einträgen auf die korrekte Groß- und Kleinschreibung zu achten; Leerzeichen dürfen weder weggelassen noch hinzugefügt werden.
Beispiel
Beispiel 1:
Dieses Beispiel zeigt einen X.500-Distinguished-Namen. Er besteht aus verschiedenen Namensteilen, die einen hierarchisch gegliederten Namensraum darstellen.
CN=miller, OU=ADMIN, O=myCompany, C=US
wobe CN = Common Name, OU = Organizational Unit, O = Organization und C = Country.
Beispiel
Beispiel 2:
Dieses Beispiel zeigt einen Kerberos-Namen (principal name), der sich aus einem Benutzernamen und der Domäne (oder dem Kerberos-Bereich, realm) zusammensetzt.
miller@myCompany.US
Hinweis
In der folgenden Empfehlung verwenden wir eine X.500-Namenskonvention.
Bauen Sie den externen Namen für einen Benutzer nach Möglichkeit aus dem Benutzernamen im SAP-System und Konstanten, die für alle Benutzer identisch sind, auf. Bei X.500-Namen können Sie für das CN-Element den Benutzernamen im SAP-System verwenden (CN = miller in Beispiel 1) und für die anderen Elemente (OU, O, C), Konstanten, die für alle Benutzer gleich sind.
Dasselbe gilt für den externen Namen für AS-ABAP-Komponenten, wie z. B. den Anwendungsserver. Bauen Sie den externen Namen aus einer serverspezifischen Komponente und konstanten Komponenten auf.
Empfehlung
Wir empfehlen Ihnen für die serverspezifische Komponente folgende Syntax:
sap<Systemnummer>.<Servername>
Beispiel
Für den Anwendungsserver mit der Systemnummer 01 auf dem Server host1 ergäbe sich z. B. der folgende externe Name:
CN=sap01.host1, OU=TEST01, O=myCompany, C=US
Wenn Sie eine derartige Namenskonvention definieren, können Sie die SNC-Namen der Benutzer und Komponenten im AS ABAP mit dem Report RSUSR300 automatisch generieren