Anmeldetickets mit AS ABAP verwendenLocate this document in the navigation structure

Verwendung

SAP NetWeaver Application Server (AS) ABAP ermöglicht es Ihnen, Single Sign-On (SSO) mit Anmeldetickets sowohl in der Rolle eines Anmeldeticket ausstellenden als auch iin der Rolle eines Anmeldeticket akzeptierenden Systems zu verwenden. Nach dem Erhalt eines Anmeldetickets können AS-ABAP-Benutzer dann mit dem Anmeldeticket als Authentifizierung auf andere Systeme in der SSO-Umgebung zugreifen und brauchen ihre Benutzerkennung und ihr Kennwort nicht mehrfach einzugeben.

Voraussetzungen

  • Die Benutzer müssen in allen Systemen, auf die sie mit dem Anmeldeticket zugreifen, dieselbe Benutzerkennung haben. Die Kennwörter brauchen nicht in allen Systemen identisch zu sein. Wenn die Benutzer verschiedene Benutzerkennungen haben, müssen Sie auch ein Referenzsystem für die Benutzerzuordnung verwenden.

    Weitere Informationen dazu finden Sie in der Portal-Dokumentation.

  • Die Benutzer sind Dialogbenutzer. Der AS ABAP stellt für System- oder Service-Benutzer keine Anmeldetickets aus.

    Hinweis

    Für die Kommunikation zwischen Systemen stellt der AS ABAP ein Authentifizierungszusicherungsticket aus. Das Zusicherungsticket ist wie das Anmeldeticket strukturiere, hat aber eine begrenzte Gültigkeitsdauer (2 Minuten). Die Konfiguration für das Ausstellen von Anmeldetickets gilt auch für das Ausstellen von Authentifizierungszusicherungstickets.

  • Die Benutzer müssen ihre Web-Browser so konfigurieren, dass diese Cookies akzeptieren.

  • Alle Systeme, die das Anmeldeticket als Authentifizierungsmechanismus akzeptieren, müssen sich in derselben DNS-Domäne wie der ausstellende Server befinden. Das Anmeldeticket kann nicht für die Authentifizierung bei Servern außerhalb dieser Domäne verwendet werden.

  • Der ausstellende Server muss ein Public-Key-Schlüsselpaar und ein Public-Key-Zertifikat besitzen, damit er das Anmeldeticket digital signieren kann. Der AS ABAP erhält während der Installation ein Schlüsselpaar und ein selbstsigniertes Public-Key-Zertifikat.

    Standardmäßig verwendet der AS ABAP die Persönliche Sicherheitsumgebung des Systems (System-PSE), um diese Schlüssel abzulegen. Allerdings benötigen Sie in folgenden Fällen eventuell eine andere PSE:

    • Wenn das System von einem Release mit einem Release 4.6B oder niedriger umgestellt wurde, ist die PSE für Anmeldetickets die SAPSSO2-PSE

    • Wenn Sie für Anmeldetickets eine bestimmte PSE definiert haben, wird diese PSE (wie in Tabelle SSFARGS angegeben) verwendet.

  • Systeme, die Anmeldetickets akzeptieren, müssen Zugriff auf das Public-Key-Zertifikat des ausstellenden Servers haben, damit sie die mit dem Ticket gelieferte digitale Signatur verifizieren können. Daher muss das Public-Key-Zertifikat des ausstellenden Servers in die Zertifikatsliste des akzeptierenden Systems aufgenommen werden.

    • Für Landschaften, die nur AS-ABAP-Systeme enthalten, können Sie den SSO-Verwaltungsassistenten (Transaktion SSO2) verwenden, um automatisch die Konfiguration für das akzeptierende System einzurichten.

    • Für Systemlandschaften mit AS-Java- und AS-ABAP-Systemen können Sie die Konfigurationsfunktionen des web-gestützten SAP NetWeaver Administrator (NWA) unter Anfang des Navigationspfads Trusted-Systeme Nächster Navigationsschritt Single Sign-On mit SAP-Anmeldetickets Ende des Navigationspfads verwenden, um zwischen einem Ticket ausstellenden und einem Ticket akzeptierenden System, die im System Landscape Directory registriert sind, eine Vertrauensbeziehung einzurichten.

Funktionsumfang

Sie können den AS ABAP so konfigurieren, dass er als Ticket ausstellendes und als Ticket akzeptierendes System in Ihrer Landschaft auftritt. Weitere Informationen über den Authentifizierungsablauf erhalten Sie in folgenden Abschnitten:

Anmeldetickets ausstellen

  1. Der Benutzer authentifiziert sich am AS ABAP (z.B. mit Benutzerkennung und Kennwort).

  2. Der AS ABAP überprüft die Benutzerdaten. Wenn die Authentifizierung erfolgreich war, wird der Benutzer am Server angemeldet und es wird ein Ticket für ihn ausgestellt.

  3. Der Web-Browser des Benutzers legt das Anmeldeticket ab und verwendet es zur Authentifizierung bei Ticket akzeptierenden Systemen.

Anmeldetickets akzeptieren

  1. Der Web-Browser sendet das Anmeldeticket des Benutzers mit der Zugriffsanfrage.

  2. Der AS ABAP verifiziert die im Ticket enthaltenen Informationen wie folgt:

    1. Er verifiziert die digitale Signatur des ausstellenden Servers auf der Grundlage einer eingerichteten Vertrauensbeziehung mit dem Ticket ausstellenden System.

    2. Er stellt sicher, dass das Ticket von einem vertrauten Server ausgestellt wurde (entweder von ihm selbst oder von einem in der entsprechenden Zugriffskontrollliste aufgeführten Server).

    3. Er prüft das Verfallsdatum.

Wenn das Ticket gültig ist und von einem vertrauten Server ausgestellt wurde, erhält der Benutzer Zugriff auf das System.

Aktivitäten

Weitere Informationen über die Konfiguration des AS ABAP zum Ausstellen oder Akzeptieren von Anmeldetickets finden Sie in folgenden Abschnitten: