X.509-Client-Zertifikate
Alternativ zur Authentifizierung mit einer Benutzer-ID und einem Passwort können Benutzer auch durch Vorweisen eines X.509-Client-Zertifikats Zugang zu Web-Anwendungen erhalten. In diesem Fall erfolgt die Authentifizierung durch das zugrunde liegende Secure-Sockets-Layer-(SSL)-Protokoll, sodass die Benutzer ihr Kennwort für die Anmeldung nicht interaktiv eingeben müssen.
Die folgende Abbildung bietet eine Übersicht des Authentifizierungsprozesses bei der Verwendung von X.509-Zertifikaten.
Die Authentifizierung mit X.509-Zertifikaten verwendet eine Public-Key-Infrastruktur (PKI)zur sicheren Authentifizierung von Benutzern. Sobald Benutzer ihre X.509-Zertifikate von einer Zertifikat-ausstellenden Certification Authority (CA) erhalten haben, können sie sowohl auf SAP NetWeaver als auch auf Fremdsysteme sicher zugreifen. SAP NetWeaver und Fremdsysteme können Zugriffsanfragen auf Basis eines aufgebauten Vertrauensverhältnisses erlauben.
Außerdem können Benutzer ihre X.509-Zertifikate dazu verwenden, ihren Zugriff auf Systeme im Internet sowie innerhalb Ihres Firmen-Intranets zu authentifizieren. Sie können Zertifikate auch für die Authentifizierung in offenen Umgebungen wie dem Internet verwenden.
SAP Single Sign-On kann X.509-Zertifikate ausstellen. SAP Single Sign-On enthält eine PKI-Infrastruktur, die speziell für die Anforderungen von SAP-Systemen eingerichtet wurde.
Sie haben eine Public-Key-Infrastruktur zur Unterstützung der Ausstellung von Public-Key-Zertifikaten an Benutzer deployt.
X.509-Zertifikate verwenden Industriestandard-Kryptographiemechanismen für die sichere Authentifizierung des Benutzerzugriffs. Der Austausch der Authentifizierungs-Credentials zwischen dem Frontend-Web-Client und SAP- oder Fremdsystemen wird durch die Verwendung von Public-Key-Kryptographie und dem zugrunde liegenden SSL-Protokoll gesichert. Um die Sicherheit zusätzlich zu erhöhen, können Sie die gegenseitige Authentifizierung aktivieren. Dabei tauschen sowohl der Frontend-Client als auch der Backend-Anwendungsserver X.509-Zertifikate aus und stellen so gegenseitig ihre Identität fest.
Bei der Verwendung von X.509-Client-Zertifikaten und SSL zur Benutzerauthentifizierung sollten Sie Folgendes beachten:
- Ihre Benutzer benötigen gültige Zertifikate, die von einer vertrauenswürdigen CA signiert sind. Sie können entweder Ihre eigene CA aufbauen und die Zertifikate selbst an Ihre Benutzer verteilen oder Sie können einen Trust-Center-Service nutzen. Die ausgewählte CA muss als vertrauenswürdige CA auf dem akzeptierenden SAP NetWeaver-System ausgewiesen sein.
- Informieren Sie Ihre Benutzer darüber, wie sie Ihren Private Key schützen können.
Jeder Benutzer benötigt für die Authentifizierung durch Client-Zertifikate ein Schlüsselpaar, das aus einem Public Key und aus einem Private Key besteht. Der Public Key ist im X.509-Client-Zertifikat enthalten und kann veröffentlicht werden. Der Private Key des Benutzers muss jedoch sicher aufbewahrt und geheim gehalten werden.
Die Möglichkeiten zur Sicherung des Private Key hängen vom Web-Browser ab, den Sie verwenden. (Sie können ihn beispielsweise mit einem Kennwort schützen oder vielleicht Smartcards verwenden.) Wird der Private Key am Frontend-Client gesichert, sollten Benutzer einen durch ein Kennwort gesicherten Bildschirmschoner verwenden.
- Beachten Sie Folgendes, wenn Benutzer den Web-Browser für Clients gemeinsam verwenden:
Solange das Betriebssystem Benutzerdaten auf Betriebssystemebene trennt und schützt (z. B. Microsoft Windows NT), wird der Private Key am Web-Frontend-Client gesichert und durch das Betriebssystem geschützt.
HinweisSAP empfiehlt Ihnen, den Private Key nicht auf dem Web-Client-Frontend zu sichern, wenn Sie ein Betriebssystem verwenden, das Benutzerdaten nicht trennt (z. B. Microsoft Windows 95).