Show TOC

VorgehensweiseAnmeldetickets eines anderen AS ABAP akzeptieren Dieses Dokument in der Navigationsstruktur finden

 

Verwenden Sie diese Vorgehensweise, um den AS ABAP so zu konfigurieren, dass er ein Anmeldeticket akzeptiert, das von einem anderen AS-ABAP-System in Ihrer Landschaft ausgestellt wurde.

Voraussetzungen

  • Der ausstellende Server muss ein Public-Key-Schlüsselpaar sowie ein entsprechendes Public-Key-Zertifikat besitzen. Für den AS ABAP muss diese Information in der SSO PSE des ausstellenden Servers verfügbar sein.

  • Wenn das akzeptierende System ein SAP-System mit Release 4.6D oder höher ist, muss das Workplace Plug-In im System installiert sein und die folgenden Release-Anforderungen erfüllen:

    • Release 4.6x: 4.6D-Kernel ab Support-Package-Level 74

    • Release 4.5x: 4.5B-Kernel ab Support-Package-Level 459

    • Release 4.0x: 4,0B-Kernel ab Support-Package-Level 758

  • Die SAP Security Library (oder die SAP Cryptographic Library) muss auf allen Anwendungsservern des akzeptierenden Systems installiert sein.

    Die neueste Version der SAP Security Library erhalten Sie auf dem SAP Service Marketplace im SAP Support Portal unter   Software Downloads   Support Packages and Patches   Entry by Application Group   Additional Components   SAPSECULIB  .

    Hinweis Hinweis

    Wenn Sie Funktionen verwenden, die Verschlüsselung erfordern (z.B. das Secure-Sockets-Layer-Protokoll), können Sie die SAP Security Library durch die SAP Cryptographic Library ersetzen, die ebenfalls auf dem SAP Service Marketplace unter SAP Cryptographic Software verfügbar ist. Die Auslieferung dieser Bibliothek unterliegt jedoch deutschen Exportvorschriften und steht nicht allen Kunden zur Verfügung. Weitere Informationen finden Sie unter AS ABAP für SSL-Unterstützung konfigurieren.

    Ende des Hinweises.

Vorgehensweise

Konfigurieren Sie die erforderlichen Parameter auf allen Anmeldeticket akzeptierenden AS-ABAP-Systemen.

  1. Setzen Sie Profilparameter login/accept_sso2_ticket = 1.

    Hinweis Hinweis

    Setzen Sie llogin/create_sso2_ticket = 0 für ein Szenario, bei dem der Ticket akzeptierende AS ABAP auch Tickets ausstellen können soll. (Verwenden Sie DEFAULT.PFL.)

    Ende des Hinweises.

  2. Setzen Sie bei Releases 4.0 und 4.5 auch Profilparameter SAPSECULIB auf den Ablageort (Pfad und Dateiname) der SAP Security Library (oder der SAP Cryptographic Library).

Bei jedem der akzeptierenden AS-ABAP-Systeme

  1. Starten Sie den SSO-Verwaltungsassistenten (Transaktion SSO2).

    Sie gelangen auf das Bild Administration Anmeldeticket für Single Sign-On (SSO).

  2. Geben Sie die RFC-Destination oder den <Hostnamen> und die <Systemnummer> des ausstellenden Servers in den entsprechenden Feldern an.

    Hinweis Hinweis

    Beachten Sie Folgendes:

    • Sie müssen den Destinationsrechner des logischen Systems des ausstellenden Servers angeben, d. h. die Systemkennung und den Mandanten.

    • Wenn Sie auf dem Bild Administration Anmeldeticket für Single Sign-On (SSO) keinen Destinationsrechner angeben, wird der Status des lokalen Systems angezeigt.

    • Wenn Sie den <Hostnamen> und die <Systemnummer> angeben, erstellt das System automatisch eine entsprechende RFC-Destination für die Verbindung.

    Ende des Hinweises.

    Der SSO-Verwaltungsreport des designierten Servers wird angezeigt. Folgende Angaben werden dann eingeblendet:

    • Profilparameterwerte des ausstellenden Servers und des Anwendungsservers des akzeptierenden Systems.

    • Die SSO-Zugriffskontrollliste des akzeptierenden Systems.

    • Die Zertifikatsliste des akzeptierenden Systems.

    Rote Ampeln in einem dieser Bereiche zeigen Konfigurationen an, die den Einsatz von Anmeldetickets nicht zulassen.

  3. Wenn der Report für den ausstellenden Server Fehler anzeigt (z. B., dass Profilparameter nicht richtig gesetzt sind), korrigieren Sie diese Fehler auf dem ausstellenden Server und führen Sie den SSO-Verwaltungsassistenten auf dem akzeptierenden System erneut aus.

  4. Um die Konfigurationsschritte auf dem akzeptierenden System zu starten, wählen Sie   Bearbeiten   Workplace aktivieren   ().

    Folgende Schritte laufen ab:

    • Der SSO-Verwaltungsassistent trägt die Systemkennung und den Mandanten des ausstellenden Servers in die Zugriffskontrollliste des akzeptierenden Systems ein.

    • Wenn das Public-Key-Zertifikat des ausstellenden Servers selbstsigniert ist, gibt der SSO-Verwaltungsassistent die im Zertifikat enthaltenen Public-Key-Informationen in die Zertifikatsliste des akzeptierenden Systems ein.

    • Der SSO-Verwaltungsassistent stellt den Anwendungsservern des akzeptierenden Systems die SSO-PSE zur Verfügung:

      • Bei Releases >= 4.6C verteilt der SSO-Verwaltungsassistent die SSO-PSE an alle Anwendungsserver des Systems.

      • Bei Releases < 4.6C legt er die SSO-PSE im in Profilparameter DIR_PROFILE angegebenen Verzeichnis ab.

        Hinweis Hinweis

        Wenn das Verzeichnis DIR_PROFILE nicht global für alle Anwendungsserver des akzeptierenden Systems verfügbar ist, müssen Sie die SSO-PSE manuell in das Verzeichnis DIR_PROFILE jedes Anwendungsservers kopieren.

        Ende des Hinweises.

    Alle Änderungen werden sofort wirksam, und Sie müssen die Daten nicht ausdrücklich sichern.

  5. Wenn einer der Bereiche Fehler anzeigt, beheben Sie die Fehler und führen Sie den SSO-Verwaltungsassistenten erneut aus.

    Hinweis Hinweis

    Sie können Einträge auch zur Zugriffskontrollliste oder der Zertifikatsliste hinzufügen oder dort löschen, indem Sie den Cursor auf die entsprechende Zeile setzen und   Bearbeiten   <Funktion>   wählen.

    Ende des Hinweises.

    Beispiel Beispiel

    Beispiel:

    • Um die Systemkennung und den Mandanten des ausstellenden Servers in die SSO-Zugriffskontrollliste aufzunehmen, setzen Sie den Cursor auf die Zeile SAP System <SID_des_ausstellenden_Servers> Client <Mandant> und wählen   Bearbeiten   ACL eingeben  .

    • Um einen Eintrag aus der Zertifikatsliste zu löschen, setzen Sie den Cursor auf die Systemkennung und wählen   Bearbeiten   Aus Zertifikatsliste löschen  .

    • Um das SAP-CA-Zertifikat in die Zertifikatsliste aufzunehmen, wählen Sie   Bearbeiten   SAP CA aufnehmen  .

    Ende des Beispiels.

Hinweis Hinweis

Sie können die Zugriffskontrollliste (Tabelle TWPSSO2ACL) auch manuell über die Tabellenpflegetransaktionen ändern (z. B. SM30).

Sie können die Zertifikatsliste auch manuell mit der PSE-Pflegetransaktion (PSEMAINT) oder dem Trust-Manager (Transaktion STRUST oder STRUSTSSO2) ändern.

Die PSE-Pflegetransaktion PSEMAINT ist für SAP-Systeme <= Release 4.6D verfügbar und der Trust-Manager für SAP Web Application Server ABAP.

Ende des Hinweises.

Ergebnis

Die akzeptierenden Systeme können Anmeldetickets akzeptieren und die digitale Signatur des ausstellenden Servers verifizieren, wenn Sie ein Anmeldeticket eines Benutzers erhalten.

Hinweis Hinweis

Sie können den SSO-Verwaltungsassistenten jederzeit und beliebig oft ausführen.

Ende des Hinweises.