Sécurité SAP - Tickets de connexion

Vous pouvez configurer les tickets de connexion SAP signés numériquement à configurer avec une authentification unique pour accéder aux applications intégrées dans un environnement SAP. Vous pouvez configurer un portail pour émettre des tickets de connexion SAP aux utilisateurs et les utilisateurs doivent authentifier ce système pour l'accès initial. Lorsque les tickets de connexion SAP sont émis aux utilisateurs, ils sont enregistrés dans les navigateurs Web et permettent à l'utilisateur de se connecter à différents systèmes à l'aide de l'authentification unique.

Dans un serveur d'applications ABAP, il existe deux types différents de ticket de connexion qui peuvent être configurés -

  • Logon Tickets - Ces tickets permettent un accès Web en utilisant la méthode SSO.

  • Authentication Assertion Tickets - Ces tickets sont utilisés pour la communication de système à système.

Pour configurer les tickets de connexion SAP, les paramètres suivants doivent être définis dans le profil utilisateur.

login / accept_sso2_ticket

Vous pouvez utiliser des tickets d'authentification unique (SSO) pour autoriser un SSO entre les systèmes SAP et même au-delà des systèmes non SAP. Un ticket SSO peut être un ticket de connexion ou un ticket d'assertion. Le ticket de connexion est transféré sous forme de cookie avec le nomMYSAPSSO2. Le ticket d'assertion est transféré en tant que variable d'en-tête HTTP avec le nom MYSAPSSO2.

Note- Cela nécessite des étapes de configuration supplémentaires pour émettre et accepter les systèmes. Les systèmes de composants SSO doivent permettre la connexion par un ticket SSO (login / accept_sso2_ticket = 1).

Si seule la procédure (certificat client X.509) est utilisée pour une connexion unique, ou si vous ne souhaitez pas utiliser la connexion unique pour ce système, vous pouvez désactiver cette connexion par ticket SSO (login / accept_sso2_ticket = 0).

Pour définir le paramètre, utilisez Transaction RZ11

Values allowed - 0/1

login / create_sso2_ticket

Vous pouvez utiliser les tickets d'authentification unique (SSO) pour autoriser un SSO entre les systèmes SAP et même au-delà vers des systèmes non SAP. Un ticket SSO peut être un ticket de connexion ou un ticket d'assertion. Le ticket de connexion est transféré sous forme de cookie avec le nom MYSAPSSO2. Le ticket d'assertion est transféré en tant que variable d'en-tête HTTP avec le nom MYSAPSSO2.

Note - Cela nécessite des étapes de configuration supplémentaires pour l'émission et l'acceptation des systèmes.

Le système émetteur doit permettre la génération d'un ticket SSO -

  • login / create_sso2_ticket = 1: ticket SSO avec certificat

  • login / create_sso2_ticket = 2: ticket SSO sans certificat

  • login / create_sso2_ticket = 3: Générer uniquement des tickets d'assertion

Values allowed- 0/1/2/3

login / ticket_expiration_time

Pour permettre la connexion unique (SSO) lors de l'utilisation de mySAP.com Workplace, des tickets SSO peuvent être utilisés. Lors de la création d'un ticket SSO, vous pouvez définir la période de validité. Une fois ce délai expiré, le ticket SSO ne peut plus être utilisé pour se connecter aux systèmes de composants du lieu de travail. L'utilisateur doit ensuite se reconnecter au serveur du lieu de travail pour obtenir un nouveau ticket SSO.

Values allowed - <Heures> [: <Minutes>]

Si des valeurs incorrectes sont saisies, la valeur par défaut est utilisée (8 heures).

Les valeurs correctes seront comme indiqué ci-dessous -

  • 24 → 24 heures
  • 1h30 → 1 heure, 30 minutes
  • 0:05 → 5 minutes

Les valeurs incorrectes seront les suivantes -

  • 40 (0:40 serait correct)
  • 0:60 (1 serait correct)
  • 10: 000 (10 serait correct)
  • 24: (24 serait correct)
  • 1:A3

Certificats clients X.509

À l'aide d'une méthode SSO, vous pouvez utiliser des certificats clients X.509 pour authentifier le serveur d'applications NetWeaver. Les certificats clients utilisent des méthodes de cryptographie très puissantes pour sécuriser l'accès des utilisateurs au serveur d'applications NetWeaver. Votre serveur d'applications NetWeaver doit donc être activé avec des techniques de cryptographie fortes.

Vous devez avoir configuré SSL sur vos serveurs d'applications SAP NetWeaver car l'authentification s'effectue à l'aide du protocole SSL sans entrer de nom d'utilisateur et de mot de passe. Pour utiliser le protocole SSL, il faut une connexion HTTPS pour communiquer entre le navigateur Web et le serveur d'applications NetWeaver ABAP.

Langage de balisage d'assertion de sécurité (SAML2.0)

Le SAML2.0 peut être utilisé comme authentification avec SSO Single Sign-On et il active SSO sur différents domaines. SAML 2.0 est développé sous le nom d'organisation OASIS. Il fournit également une option de déconnexion unique, ce qui signifie que lorsqu'un utilisateur se déconnecte de tous les systèmes, le fournisseur de services du système SAP notifie les fournisseurs d'identité qui, à leur tour, déconnectent toutes les sessions.

Voici les avantages de l'utilisation de l'authentification SAML2.0 -

  • Vous pouvez réduire la surcharge liée au maintien de l'authentification du système hébergeant l'application sur un autre système.

  • Vous pouvez également conserver l'authentification pour les fournisseurs de services externes sans conserver les identités des utilisateurs dans les systèmes.

  • Option de déconnexion unique dans tous les systèmes.

  • Pour mapper automatiquement les comptes utilisateurs.

Authentification Kerberos

Vous pouvez également utiliser l'authentification Kerberos pour le serveur d'applications SAP NetWeaver en utilisant l'accès via des clients Web et des navigateurs Web. Il utilise un mécanisme de négociation d'API GSS simple et protégéSPNegoqui nécessite également une authentification unique SSO 2.0 ou version supérieure avec des licences supplémentaires pour utiliser cette authentification. leSPNego ne prend pas en charge la sécurité de la couche de transport, il est donc recommandé d'utiliser le protocole SSL pour ajouter la sécurité de la couche de transport pour communiquer avec le serveur d'applications NetWeaver.

Dans la capture d'écran ci-dessus, vous pouvez voir différentes méthodes d'authentification qui peuvent être configurées dans un profil utilisateur à des fins d'authentification.

Chaque méthode d'authentification dans SAP a ses propres avantages et peut être utilisée dans différents scénarios.