Benutzerauthentifizierung und Single Sign-On (SSO)

Die Abbildung wird im Begleittext erläutert.

Systemlandschaft: Benutzerauthentifizierung und Single Sign-On

Übersicht

Das Authentifizierungekonzept für SAP-Fiori-Apps umfasst die erste Benutzerauthentifizierung auf dem ABAP-Frontend-Server, gefolgt von der Authentifizierung aller Requests an Backend-Systeme.

Erste Authentifizierung

Wenn ein Benutzer eine SAP-Fiori-App startet, wird der Start-Request aus dem Client über das SAP Fiori Launchpad an den ABAP-Frontend-Server gesendet. Während des Startvorgangs authentifiziert der ABAP-Frontend-Server den Benutzer über einen der unterstützten Authentifizierungs- und Single-Sign-On-Mechanismen (SSO-Mechanismen). Wir empfehlen Ihnen, SSO einzurichten. Dadurch können Benutzer SAP-Fiori-Apps mit ihren einzelnen, vorhandenen Anmeldeinformationen zu starten. Als Ausweichoption kann die initiale Authentifizierung auf den Kennwörtern der Benutzer auf dem ABAP-Frontend-Server beruhen. SAP bietet einen speziellen Anmelde-Handler für eine Formular-basierte Anmeldung. Nach der initialen Authentifizierung auf dem ABAP-Frontend-Server wird eine Sicherheitssession zwischen dem Client und dem ABAP-Frontend-Server eingerichtet.

Authentifizierung für Requests in Backend-Systemen

Nach der initialen Authentifizierung auf dem ABAP-Frontend-Server können Requests über die SAP-Fiori-Apps und das SAP Fiori Launchpad an den ABAP-Backend-Server und an SAP HANA Extended Application Services (SAP HANA XS) gesendet werden: Für diese Requests an Backend-Server ist unter Umständen eine zusätzliche Konfiguration der SSO-Mechanismen für die Authentifizierung erforderlich.

Requests an den ABAP-Backend-Server (transaktionale Apps und Infoblätter)
Transaktionale Apps und Infoblätter senden OData-Requests über den ABAP-Frontend-Server an den ABAP-Backend-Server. Nach der initialen Authentifizierung wird eine Sicherheitssession zwischen dem Client und dem ABAP-Frontend-Server eingerichtet. Über Trusted-RFC werden OData-Requests an den ABAP-Backend-Server sicher übertragen.

Für die Suche im SAP-Fiori-Launchpad senden Infoblätter außerdem InA-Suchanfragen vom Client an den ABAP-Backend-Server. Die Requests können entweder mit Kerberos/SPNego, X.509-Zertifikaten oder mit Anmeldetickets authentifiziert werden. Sie können den ABAP-Frontend-Server für das Ausstellen von Anmeldetickets nach der initialen Authentifizierung konfigurieren, oder Sie verwenden dafür Ihr vorhandenes Portal.
Requests an SAP HANA XS (analytische Apps)
Analytische Apps senden OData-Requests vom Client an SAP HANA XS. Die Requests können entweder mit Kerberos/SPNego, X.509-Zertifikaten oder mit Anmeldetickets authentifiziert werden. Sie können den ABAP-Frontend-Server für das Ausstellen von Anmeldetickets nach der initialen Authentifizierung konfigurieren, oder Sie verwenden dafür Ihr vorhandenes Portal.