Anfang des Inhaltsbereichs

Funktionsdokumentation Verwendung von Anmeldetickets  Dokument im Navigationsbaum lokalisieren

Verwendung

Bei der Authentifizierung am AS ABAP, die auch Single Sign-On (SSO) an anderen Systemen ermöglicht, können Sie vom System Anmeldetickets für die Benutzer ausstellen lassen. Der Benutzer kann dann mit dem Anmeldeticket als Authentifizierungstoken auf weitere Systeme zugreifen und braucht seine Benutzerkennung und sein Kennwort nicht mehrfach einzugeben.

Voraussetzungen

      Die Benutzer haben in allen Systemen, auf die sie mit dem Anmeldeticket zugreifen, dieselbe Benutzerkennung. Die Kennwörter brauchen nicht in allen Systemen identisch zu sein.

      Die Benutzer sind Dialogbenutzer. Der AS ABAP stellt für System- oder Service-Benutzer keine Anmeldetickets aus.

Hinweis

Systembenutzer erhalten ein Authentifizierungszusicherungsticket, das genauso strukturiert ist wie ein Anmeldeticket, aber eine eingeschränkte Verwendung (einmalig) und einen eingeschränkten Gültigkeitszeitraum (einige Sekunden) hat. Die Konfiguration für das Ausstellen von Anmeldetickets gilt auch für das Ausstellen von Authentifizierungszusicherungstickets.

      Die Benutzer müssen ihre Web-Browser so konfigurieren, dass diese Cookies akzeptieren.

      Alle Web-Server oder AS-ABAP-Server, die das Anmeldeticket als Authentifizierungsmechanismus akzeptieren sollen, befinden sich in derselben DNS-Domäne wie der ausstellende Server. Das Anmeldeticket kann nicht für die Authentifizierung bei Servern außerhalb dieser Domäne verwendet werden.

      Der ausstellende Server muss ein Public-Key-Schlüsselpaar und ein Public-Key-Zertifikat besitzen, damit er das Anmeldeticket digital signieren kann.

Die SAP-System-Anwendungsserver (einschließlich des AS ABAP) erhalten während der Installation ein Schlüsselpaar und ein selbstsigniertes Public-Key-Zertifikat. Standardmäßig verwendet das System die Persönliche Sicherheitsumgebung des Systems (System-PSE), um diese Schlüssel abzulegen. Allerdings benötigen Sie in folgenden Fällen eventuell eine andere PSE:

       Wenn das System von einem Release <= 4.6B umgestellt wurde, dann ist die PSE für Anmeldetickets die SAPSSO2-PSE.

       Wenn Sie für Anmeldetickets eine bestimmte PSE definiert haben, dann wird diese PSE (wie in Tabelle SSFARGS angegeben) verwendet.

      Systeme, die Anmeldetickets akzeptieren, müssen Zugriff auf das Public-Key-Zertifikat des ausstellenden Servers haben, damit sie die mit dem Ticket gelieferte digitale Signatur verifizieren können.

Je nach von Ihnen verwendetem Zertifikatstyp wird das Zertifikat des Servers entweder mit dem Anmeldeticket an das akzeptierende System geschickt oder die Informationen werden in der Zertifikatsliste des akzeptierenden Systems eingegeben. Wir liefern ein Konfigurationswerkzeug, den SSO-Verwaltungsassistenten (Transaktion SSO2), das automatisch die entsprechende Konfiguration für das akzeptierende System einrichtet.

Aktivitäten

Im Folgenden beschreiben wir die Prozesse, für den Fall, in dem der ausstellende oder akzeptierende Server ein AS ABAP ist. Beachten Sie dabei allerdings, dass je nach von Ihnen verwendetem Szenario andere Serverkomponenten als Aussteller oder Akzeptierender auftreten können.

Erhalt eines Anmeldetickets vom AS ABAP

...

       1.      Der Benutzer authentifiziert sich am AS ABAP (z. B. mit Benutzerkennung und Kennwort).

       2.      Der AS ABAP überprüft die Benutzerdaten. Wenn die Authentifizierung erfolgreich war, wird der Benutzer am Server angemeldet und es wird ein Ticket für ihn ausgestellt. Das Ticket wird in seinem Web-Browser abgelegt und für die Authentifizierung an weiteren Systemen verwendet.

Mit dem Anmeldeticket auf den AS ABAP als akzeptierendem System zugreifen

Wenn der Benutzer auf den AS ABAP als akzeptierendem System zugreift, läuft Folgendes ab:

...

       1.      Der Web-Browser sendet das Anmeldeticket des Benutzers mit der Zugriffsanfrage.

       2.      Der AS ABAP verifiziert die im Ticket enthaltenen Informationen, z. B.:

       Verifiziert er die digitale Signatur des ausstellenden Servers.

       Stellt er sicher, dass das Ticket von einem vertrauten Server ausgestellt wurde (entweder von ihm selbst oder von einem in der entsprechenden Zugriffskontrollliste aufgeführten Server).

       Überprüft er das Verfallsdatum.

Wenn das Ticket gültig ist und von einem vertrauten Server ausgestellt wurde, erhält der Benutzer Zugriff auf das System.

 

 

 

 

Ende des Inhaltsbereichs