Single Sign-On mit SAP-Anmeldetickets 

Einsatzmöglichkeiten

SAP-Anmeldetickets stehen stellvertretend für die Benutzer-Credentials (Authentifizierungsinformationen). Der Portal-Server stellt einem Benutzer nach einer erfolgreichen ersten Authentifizierung ein Anmeldeticket aus. Das Anmeldeticket selbst wird als Cookie auf dem Client abgelegt und mit jedem Request dieses Client gesendet. Es kann von Backend-Systemen wie z.B. SAP-Systemen dazu verwendet werden, den Portal-Benutzer für diese Backend-Systeme zu authentifizieren, ohne dass weitere Benutzeranmeldungen erforderlich werden.

SAP-Anmeldetickets enthalten Informationen über den authentifizierten Benutzer. Sie enthalten keine Kennwörter. Anmeldetickets bestehen aus folgenden Elementen:

• Portal-Benutzer-ID und eine zugeordnete Benutzer-ID für Backend-Systeme
• Gültigkeitsdauer
• Informationen zur Identifizierung des ausstellenden Systems
• digitale Signatur

Technisch gesehen arbeitet SSO mit SAP-Anmeldetickets wie folgt:

1.       Wenn der Portal-Server zum ersten Mal gestartet wird, erzeugt er ein kryptografisches Schlüsselpaar. Der private Teil dieses Schlüssels wird zur Erzeugung des Tickets (für die digitale Signatur) verwendet.

2.       Sobald der Benutzer im Portal authentifiziert wurde, stellt der Portal-Server diesem Benutzer ein Anmeldeticket aus. Das Anmeldeticket wird als nicht persistentes Cookie im Browser auf dem Client gespeichert.

3.       Jedes Mal wenn der Benutzer vom Portal aus auf ein Backend-System zugreift, sendet der Portal-Server das Anmeldeticket zusammen mit dem Request an das Backend-System.

4.       Das Backend-System prüft die Gültigkeit des Anmeldetickets, indem es die digitale Signatur des Portal-Servers verifiziert. Es verwendet dazu den im digitalen Zertifikat des Portal-Servers enthaltenen Public Key.

5.       Wenn das Anmeldeticket gültig ist, extrahiert das Backend-System die Benutzer-ID für dieses System aus dem Anmeldeticket.

6.       Der Benutzer wird so am Backend-System angemeldet, ohne Benutzer-ID oder Kennwort erneut eingeben zu müssen.

Im Regelfall stellt der Portal-Server ein SAP-Anmeldeticket für die Internet-Domäne des Portal-Servers aus. Allerdings ist es möglich, den Portal-Server so zu konfigurieren, dass er bei Bedarf Anmeldetickets für mehr als eine Domäne ausstellen kann. Weitere Informationen finden Sie unter SAP-Anmeldetickets für mehrere Domänen ausstellen.

 

Ablauf

Um Single Sign-On mit SAP-Anmeldetickets zwischen dem Portal und seinen Komponentensystemen zu ermöglichen, müssen Sie folgende Schritte durchführen:

1.       Konfigurieren Sie den Portal-Server so, dass er Single Sign-On mit SAP-Anmeldetickets unterstützt.

2.       Konfigurieren Sie die Konponentensysteme so, dass sie SAP-Anmeldetickets akzeptieren und verifizieren.