Show TOC

Dokumentation zur KomponenteAnmeldeticket-Cache Dieses Dokument in der Navigationsstruktur finden

 

Der Anmeldeticket-Cache dient dazu, die Geschwindigkeit von Folgezugriffen eines Benutzers nach seiner ersten Anmeldung zu erhöhen.

Siehe auch:

Einführungshinweise

Um Single Sign-On zu erreichen, wird der Anmeldeticket-Mechanismus verwendet und über Profilparameter auf dem SAP Web Application Server eingeschaltet. Dafür stehen geeignete Profilparameter bereit.

Das Anmeldeticket wird in einem nicht-persistenten HTTP-Cookie im Web-Browser des Benutzers gespeichert. Um das Fälschen von Anmeldetickets durch Angreifer zu verhindern, wird jedes Ticket vom ausstellenden Server digital signiert. Bei einer Anmeldung mit einem Anmeldeticket wird diese digitale Signatur verifiziert. Beim Erzeugen eines Tickets sowie beim Verifizieren werden aufwendige kryptografische Operationen durchgeführt. Dies kann dazu führen, dass wiederholte Anmeldungen mit Anmeldetickets jeweils länger dauern als die erste Anmeldung, z.B. mit Benutzerkennung und Kennwort. Um Performance-Verluste bei der Anmeldung mit Tickets zu vermeiden, wurde nun das Anmeldeticket-Caching eingeführt.

Funktionsumfang

Neu erzeugte oder verifizierte Tickets werden im SAP Web Application Server in einen Cache-Speicher im Shared Memory abgelegt. Für wiederkehrende Anmeldungen mit Anmeldetickets wird zuerst im Cache-Speicher gesucht. Wird ein Cache-Eintrag gefunden, so wird auf die Signaturprüfung verzichtet und die Anmeldeinformationen werden aus dem Cache gelesen. Die Lebenszeit der Cache-Einträge entspricht dabei der verbleibenden Gültigkeitsdauer des erzeugten oder empfangenen Anmeldetickets. Damit können Einträge im Ticket-Cache nicht länger als das Ticket selbst gültig sein. Das für den Cache-Eintrag verwendete Hash-Verfahren stellt sicher, dass die Wahrscheinlichkeit, mit der Angreifer einen gültigen Cache-Eintrag in der zur Verfügung stehenden Lebenszeit raten könnten, vernachlässigbar gering ist.

Hinweis Hinweis

Außer der mit dem Anmeldeticket-Cache erzielten Performance-Verbesserung gibt es keine für die Benutzer sichtbaren Änderungen.

Ende des Hinweises.

Der Anmeldeticket-Cache ist standardmäßig aktiv. Dies wird über den Profilparameter login/ticketcache_off geregelt, der in jedem SAP-Web-Application-Server-System standardmäßig auf Null steht.

Hinweis Hinweis

Bei Problemen (z. B. mit dem Shared Memory) können Sie das Ticket-Caching durch Setzen des Profilparameters login/ticketcache_off=1 abschalten.

Ende des Hinweises.

Pro Eintrag im Anmeldeticket-Cache werden ca. 150 Bytes im Shared Memory benötigt. Die Standardgröße des Cache beträgt 1000 Einträge (Profilparameter login/ticketcache_entries_max=1000).

Hinweis Hinweis

Sie können bei Bedarf die Einstellung der Cache-Größe ändern, indem Sie den voreingestellten Wert des Profilparameters login/ticketcache_entries_max entsprechend auf die von Ihnen benötigte Cache-Größe ändern.

Ende des Hinweises.

Die Cache-Einträge haben als Schlüssel den Mandanten, für den sie gültig sind, und das kodierte Ticket mit Benutzerkennung, Lebenszeit und Signatur. Die Lebenszeit im Cache wird beim Eintrag auf die Restgültigkeit des Tickets gesetzt.