
Dieser Abschnitt liefert die von SNC an externe Sicherheitsprodukte gestellten Anforderungen und beschreibt etwaige von den Produkten verwendete Namenskonventionen.
Voraussetzungen
Ein Sicherheitsprodukt muss die folgenden Anforderungen erfüllen, um mit dem SAP NetWeaver Application Server (AS) ABAP eingesetzt werden zu können:
Das Produkt muss den vollen Funktionsumfang der GSS-API-V2-Schnittstelle bereitstellen.
Die Funktionen müssen dynamisch geladen werden können.
Das Produkt muss auf von AS SAP unterstützten Plattformen verfügbar sein.
Das SAP Partner Program zertifiziert externe Produkte für die Verwendung mit SAP-Systemen. Weitere Informationen über die Produktverfügbarkeit und -zertifizierung finden Sie bei den Partnerinformationen unter http://www.sap.com/partners/overview.html
.
SAP bietet ein eigenes externes Sicherheitsprodukt an: SAP NetWeaver Single Sign-On.
Weitere Informationen finden Sie bei SAP NetWeaver Single Sign-On unter http://help.sap.com/nwsso.
Namenskonventionen
Die verschiedenen Sicherheitsprodukte definieren ihre eigenen Namenskonventionen für die Vergabe von Benutzernamen. Diese externen Namen werden normalerweise unabhängig von den Benutzernamen im AS ABAP erstellt. (Sie müssen eine Beziehung zwischen den beiden Namen definieren.)
Weitere Informationen über das Definieren dieser Beziehung finden Sie unter Benutzerpflege auf dem AS ABAP.
Um über SNC kommunizieren zu können, benötigen Anwendungsserver und andere SAP-System-Services (die normalerweise keine Benutzernamen im AS ABAP haben) zusätzlich Benutzernamen beim Sicherheitsprodukt. Für eine erfolgreiche Authentifizierung muss der AS ABAP in der Lage sein, diese externen Benutzernamen zu erkennen.
Dieser Abschnitt beschreibt einige der gängigsten Namenskonventionen.
Eine genauere Beschreibung finden sie in der Dokumentation des externen Sicherheitsprodukts.
Die Syntax der externen Namen ist vom Sicherheitsprodukt vorgegeben. Im Allgemeinen ist bei den Einträgen auf die korrekte Groß- und Kleinschreibung zu achten; Leerzeichen dürfen weder weggelassen noch hinzugefügt werden.
Beispiel 1:
Dieses Beispiel zeigt einen X.500-Distinguished-Namen. Er besteht aus verschiedenen Namensteilen, die einen hierarchisch gegliederten Namensraum darstellen.
CN=miller, OU=ADMIN, O=myCompany, C=US
wobei CN = Common Name, OU = Organizational Unit, O = Organization und C = Country.
Beispiel 2:
Dieses Beispiel zeigt einen Kerberos-Namen (principal name), der sich aus einem Benutzernamen und der Domäne (oder dem Kerberos-Bereich, realm) zusammensetzt.
miller@myCompany.US
Empfehlung (für AS ABAP): Verwenden Sie zum Anlegen der SNC-Namen den Report RSUSR300
In der folgenden Empfehlung verwenden wir eine X.500-Namenskonvention.
Bauen Sie den externen Namen für einen Benutzer nach Möglichkeit aus dem Benutzernamen im SAP-System und Konstanten, die für alle Benutzer identisch sind, auf. Bei X.500-Namen können Sie für das CN-Element den Benutzernamen im SAP-System verwenden (CN = miller in Beispiel 1) und für die anderen Elemente (OU, O, C), Konstanten, die für alle Benutzer gleich sind.
Dasselbe gilt für den externen Namen für AS-ABAP-Komponenten, wie z.B. den Anwendungsserver. Bauen Sie den externen Namen aus einer serverspezifischen Komponente und konstanten Komponenten auf.
Wir empfehlen Ihnen für die serverspezifische Komponente folgende Syntax:
sap<Systemnummer>.<Servername>
Für den Anwendungsserver mit der Systemnummer 01 auf dem Server host1 ergäbe sich z.B. der folgende externe Name:
CN=sap01.host1, OU=TEST01, O=myCompany, C=US
Wenn Sie eine derartige Namenskonvention definieren, können Sie die SNC-Namen der Benutzer und Komponenten im AS ABAP mit dem Report RSUSR300 automatisch generieren