Show TOC

Zentralinstanz vorbereitenLocate this document in the navigation structure

Kontext

Für die Verwendung von Single Sign-On mit Client-Zertifikaten müssen Sie das Profil der Zentralinstanz anpassen und sicherstellen, dass sich die erforderlichen Bibliotheken in einem zugreifbaren Verzeichnis befinden.

Mit dieser SNC-Konfiguration können Sie eingehende und ausgehende RFC-Verbindungen schützen, verschlüsselte SNC-Kommunikation ausführen, und Single Sign-On ist mit SAP NetWeaver Single Sign-On möglich. Weitere Informationen zu SAP NetWeaver Single Sign-On finden Sie unter http://help.sap.com/nwsso.

Vorgehensweise


  1. Kopieren Sie die dll-Datei des mit X.509-Client-Zertifikaten für SSO zertifizierten Sicherheitsproduktes in ein Verzeichnis der Zentralinstanz.

  2. Konfigurieren Sie im Instanzprofil der Zentralinstanz die SNC-Parameter wie folgt:

    snc/enable = 1

    snc/gssapi_lib = <full_path>\<Dateiname>.dll

    snc/identity/as =p:<DN-Name des AS ABA>

    Hinweis

    Der Teil des Distinguished Name muss dem Distinguished Name entsprechen, den Sie beim Anlegen der SNC-PSE angeben. Weitere Informationen finden Sie unter SNC-Profilparameter setzen.

    1. Beachten Sie Folgendes:
      Hinweis

      Wenngleich Sie das Windows-Konto, unter dem das SAP-System betrieben wird, frei wählen können, ist es normalerweise doch SAPService<SID>.

      Single Sign-On bei Verwendung von Microsoft-Kerberos-SSP mit der Kerberos-Wrapper-Bibliothek steht nur Benutzerkonten zur Verfügung, die zum Active Directory gehören, d. h. für Domänenkonten. Es kann nicht mit lokalen Computerkonten verwendet werden.

    2. Damit sich die Benutzer mit Benutzerkennung und Kennwort am SAP-System anmelden können, setzen Sie folgende Parameter:
      Hinweis

      Folgende Profilparameter lassen weiterhin den Zugriff auf SAP-Systeme mit Kennwort zu, auch wenn SNC aktiviert ist. Sie müssen diese Zusatzparameter mindestens ein Mal nach der SNC-Aktivierung verwenden, um sich zum Bearbeiten der Zuordnung von Windows-NT-Benutzerkonten zu SAP-Systembenutzer-IDs (Benutzer und Mandant) als Administrator am SAP-System anzumelden. Nachdem die Zuordnung (zumindest für den Administrator) eingegeben wurde, können Sie weitere kennwortbasierte Anmeldungen deaktivieren, indem Sie entsprechende Profilparameter entfernen.

      • snc/accept_insecure_cpic = 1
      • snc/accept_insecure_gui = 1
      • snc/accept_insecure_rfc = 1
      • snc/permit_insecure_start = 1

  3. Um die Verwendung von Benutzerkennung und Kennwort als Anmeldemechanismus vollständig zu deaktivieren, können Sie diese Parameter nach der Pflege der Benutzerzuordnungen zurücksetzen.

  4. Stoppen und starten Sie das System erneut, damit die Profilparameter in Kraft treten.

Nächste Schritte

PSE anlegen oder ersetzen