Kerberos zur SAP-GUI-Authentifizierung
Die für den AS ABAP verfügbaren Authentifizierungsmechanismen ermöglichen es Ihnen außerdem, Kerberos zur SAP-GUI-Authentifizierung zu verwenden. Sie können eine Authentifizierung mit Kerberos beispielsweise durch die Aktivierung von Windows Integrated Authentication aktivieren, um den Zugriff auf den AS ABAP über SAP GUI mit Single Sign-On zu ermöglichen.
Kerberos ist ein Authentifizierungsprotokoll, das vom Massachusetts Institute of Technology entwickelt wurde. Sie können Kerberos verwenden, um typische Sicherheitslücken von einfacheren Authentifizierungsmechanismen wie die Authentifizierung mit Benutzerkennung und Kennwort zu schließen.
Zur Aktivierung einer Authentifizierung mit Kerberos muss die Verwendung von Secure Network Communications (SNC) mit einem externen, Kerberos unterstützendes Sicherheitsprodukt für das AS-ABAP-System aktiviert werden. SNC ist eine Softwareschicht, die eine GSS-API-V2-Schnittstelle zu einem externen Sicherheitsprodukt bietet.
Weitere Informationen zu SNC finden Sie unter Secure Network Communications (SNC).
SAP bietet eine gsskrb5.dll-Bibliothek, die die Verwendung von Kerberos für SAP-GUI-Authentifizierung nur für Systemumgebungen mit Microsoft Windows ermöglicht. Sie können ein alternatives Kerberos-unterstützendes, von dem SAP Partner Program zertifiziertes Produkt verwenden.
Weitere Informationen zu SAP-zertifizierten Sicherheitsprodukten finden Sie unter http://service.sap.com/security
.
Einführungshinweise
Kerberos verwendet zur Zugriffsauthentifizierung mehrere Systeme Ihrer Landschaft und kryptografische Mechanismen, wodurch die Nachteile der schwächeren Authentifizierungsmechanismen, beispielweise Benutzerkennung und Kennwort, eliminiert werden. Zur Verwendung der Anmeldung mit Kerberos berechtigte SAP-GUI-Benutzer müssen sich an ihrem lokalen Rechner anmelden und können anschließend über SAP GUI auf den AS ABAP zugreifen, ohne dass interaktiv eine Benutzerkennung und ein Kennwort angegeben werden muss. Weitere Informationen über Kerberos-Authentifizierungsprotokoll und -Infrastruktur finden Sie im Kerberos V5 Administrator's Guide, der unter http://web.mit.edu
verfügbar ist.
Der Kerberos-Authentifizierungsprozess verlässt sich auf den Austausch von Session-Tickets zwischen dem SAP GUI und dem AS ABAP. Diese Session-Tickets werden vom Kerberos Key Distribution Center (KDC) ausgestellt, wenn der Benutzer versucht, sich über SAP GUI mit dem AS ABAP zu verbinden. Das KDC stellt die Benutzeridentität selbst fest und überprüft sie. Der Benutzer muss weder Benutzerkennung noch Kennwort interaktiv für die AS-ABAP-Anmeldung angeben.
Durch die Verwendung von Session-Tickets werden die AS-ABAP-Authentifizierungs-Credentials der Benutzer für die Verbindung zwischen SAP GUI und dem AS ABAP nicht über das Netzwerk kommuniziert. Dadurch werden die Vertraulichkeit der Credentials und der Schutz der Integrität garantiert.
Für den Prozess des Authentifizierungszugriffs auf den AS ABAP ist jedoch der Austausch mehrerer Nachrichten über das Netzwerk erforderlich. In einer verteilten Systemlandschaft kann dies zu Performance-Verzögerungen führen, die mit der Netzwerk-Performance zusammenhängen. Außerdem verwendet Kerberos mehrere Systeme in Ihrer Landschaft, wodurch zusätzlicher Verwaltungsaufwand und zusätzliche Kosten entstehen können.
Konfiguration
Weitere Informationen über die Konfiguration der Verwendung von Kerberos zur SAP-GUI-Authentifizierung finden Sie unter Single Sign-On mit Microsoft Kerberos SSP.