Anmeldetickets eines anderen AS ABAP akzeptieren

Verwendung

Verwenden Sie diese Vorgehensweise, um den AS ABAP so zu konfigurieren, dass er ein Anmeldeticket akzeptiert, das von einem anderen AS-ABAP-System in Ihrer Landschaft ausgestellt wurde.

Voraussetzungen

Der ausstellende Server muss ein Public-Key-Schlüsselpaar sowie ein entsprechendes Public-Key-Zertifikat besitzen. Für den AS ABAP muss diese Information in der SSO PSE des ausstellenden Servers verfügbar sein.
Wenn das akzeptierende System ein SAP-System mit Release 4.6D oder höher ist, muss das Workplace Plug-In im System installiert sein und die folgenden Release-Anforderungen erfüllen:
- Release 4.6x: 4.6D-Kernel ab Support-Package-Level 74
- Release 4.5x: 4.5B-Kernel ab Support-Package-Level 459
- Release 4.0x: 4,0B-Kernel ab Support-Package-Level 758
Die SAP Cryptographic Library muss auf allen Anwendungsservern des akzeptierenden Systems installiert sein. Weitere Informationen finden Sie im SAP-Hinweis 1848999 .

Für Releases, die nicht vom SAP-Hinweis 1848999 abgedeckt werden, erhalten Sie die neueste Version der SAP Security Library auf dem SAP Service Marketplace im SAP Support Portal unter Software Downloads Support Packages and Patches Entry by Application Group Additional Components SAPSECULIB .

Vorgehensweise

Konfigurieren Sie die erforderlichen Parameter auf allen Anmeldeticket akzeptierenden AS-ABAP-Systemen.

Setzen Sie Profilparameter login/accept_sso2_ticket = 1.

Hinweis
Setzen Sie login/create_sso2_ticket = 0 für ein Szenario, bei dem der Ticket akzeptierende AS ABAP auch Tickets ausstellen können soll. (Verwenden Sie DEFAULT.PFL.)
Setzen Sie bei Releases 4.0 und 4.5 auch Profilparameter SAPSECULIB auf den Ablageort (Pfad und Dateiname) der SAP Cryptographic Library.

Bei jedem der akzeptierenden AS-ABAP-Systeme

Starten Sie den SSO-Verwaltungsassistenten (Transaktion SSO2).

Sie gelangen auf das Bild Administration Anmeldeticket für Single Sign-On (SSO).
Geben Sie die RFC-Destination oder den <Hostnamen> und die <Systemnummer> des ausstellenden Servers in den entsprechenden Feldern an.
Hinweis
Beachten Sie Folgendes:
- Sie müssen den Destinationsrechner des logischen Systems des ausstellenden Servers angeben, d. h. die Systemkennung und den Mandanten.
- Wenn Sie auf dem Bild Administration Anmeldeticket für Single Sign-On (SSO) keinen Destinationsrechner angeben, wird der Status des lokalen Systems angezeigt.
- Wenn Sie den <Hostnamen> und die <Systemnummer> angeben, erstellt das System automatisch eine entsprechende RFC-Destination für die Verbindung.
Der SSO-Verwaltungsreport des designierten Servers wird angezeigt. Folgende Angaben werden dann eingeblendet:
- Profilparameterwerte des ausstellenden Servers und des Anwendungsservers des akzeptierenden Systems.
- Die SSO-Zugriffskontrollliste des akzeptierenden Systems.
- Die Zertifikatsliste des akzeptierenden Systems.
Rote Ampeln in einem dieser Bereiche zeigen Konfigurationen an, die den Einsatz von Anmeldetickets nicht zulassen.
Wenn der Report für den ausstellenden Server Fehler anzeigt (z. B., dass Profilparameter nicht richtig gesetzt sind), korrigieren Sie diese Fehler auf dem ausstellenden Server und führen Sie den SSO-Verwaltungsassistenten auf dem akzeptierenden System erneut aus.
Um die Konfigurationsschritte auf dem akzeptierenden System zu starten, wählen Sie Bearbeiten Workplace aktivieren ().

Folgende Schritte laufen ab:
- Der SSO-Verwaltungsassistent gibt die Systemkennung und den Mandanten des ausstellenden Servers in die Zugriffskontrollliste des akzeptierenden Systems ein.
- Wenn das Public-Key-Zertifikat des ausstellenden Servers selbstsigniert ist, gibt der SSO-Verwaltungsassistent die im Zertifikat enthaltenen Public-Key-Informationen in die Zertifikatsliste des akzeptierenden Systems ein.
- Der SSO-Verwaltungsassistent stellt den Anwendungsservern des akzeptierenden Systems die SSO-PSE zur Verfügung:
  - Bei Releases >= 4.6C verteilt der SSO-Verwaltungsassistent die SSO-PSE an alle Anwendungsserver des Systems.
  - Bei Releases < 4.6C legt er die SSO-PSE im in Profilparameter DIR_PROFILE angegebenen Verzeichnis ab.
    
    Hinweis
    Wenn das Verzeichnis DIR_PROFILE nicht global für alle Anwendungsserver des akzeptierenden Systems verfügbar ist, müssen Sie die SSO-PSE manuell in das Verzeichnis DIR_PROFILE jedes Anwendungsservers kopieren.
Alle Änderungen werden sofort wirksam, und Sie müssen die Daten nicht ausdrücklich sichern.
Wenn einer der Bereiche Fehler anzeigt, beheben Sie die Fehler und führen Sie den SSO-Verwaltungsassistenten erneut aus.

Hinweis
Sie können Einträge auch zur Zugriffskontrollliste oder der Zertifikatsliste hinzufügen oder dort löschen, indem Sie den Cursor auf die entsprechende Zeile setzen und Bearbeiten <Funktion> wählen.
Beispiel
Beispiel:
- Um die Systemkennung und den Mandanten des ausstellenden Servers in die SSO-Zugriffskontrollliste aufzunehmen, setzen Sie den Cursor auf die Zeile SAP System <SID_des_ausstellenden_Servers> Client <Mandant> und wählen Bearbeiten ACL eingeben .
- Um einen Eintrag aus der Zertifikatsliste zu löschen, setzen Sie den Cursor auf die Systemkennung und wählen Bearbeiten Aus Zertifikatsliste löschen .
- Um das SAP-CA-Zertifikat in die Zertifikatsliste aufzunehmen, wählen Sie Bearbeiten SAP CA aufnehmen .

Hinweis

Sie können die Zugriffskontrollliste (Tabelle TWPSSO2ACL) auch manuell über die Tabellenpflegetransaktionen ändern (z. B. SM30).

Sie können die Zertifikatsliste auch manuell mit der PSE-Pflegetransaktion (PSEMAINT) oder dem Trust-Manager (Transaktion STRUST oder STRUSTSSO2) ändern.

Die PSE-Pflegetransaktion PSEMAINT ist für SAP-Systeme <= Release 4.6D verfügbar und der Trust-Manager für SAP Web Application Server ABAP.

Ergebnis

Die akzeptierenden Systeme können Anmeldetickets akzeptieren und die digitale Signatur des ausstellenden Servers verifizieren, wenn Sie ein Anmeldeticket eines Benutzers erhalten.

Hinweis

Sie können den SSO-Verwaltungsassistenten jederzeit und beliebig oft ausführen.