© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. SAP Single Sign-On Database & Technology SAP Single Sign-On Inhalt 3 SAP Single Sign-On 4 Management Summary 5Lösungsbeschreibung 11 Systemvoraussetzungen und Funktionalitäten 12 Referenzkunden und Weiterführende Informationen 2 / 12 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. SAP Single Sign-On SAP Single Sign-On reduziert Zeitaufwände und Risiken bei den täglichen Systemanmeldungen aller Mitarbeiter. Auf einen Blick Branche(n): Cross Lösungseigenschaften: Systemanmeldungen beschleunigen Hauptnutzen: •• Erhöhung der IT-Sicherheit nach Vorgaben des BSI-Grundschutzes •• Weniger vergessene Passwörter und entsprechende Helpdesk-Anfragen •• Verschlüsselte Client-Server-Kommunikation 3 / 12 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. Management Summary SAP Single Sign-On führt die Login-Prozesse für alle Unternehmensanwendungen und IT-Dienste zentral zusammen. Mitarbeiter benötigen nur noch ein Passwort für die Anmeldung an allen Systemen. Das erleichtert die Verwaltung von Zugangsdaten, reduziert Sicherheitsrisiken und erhöht die Produktivität durch ein unterbrechungsfreies Arbeiten. Weiterhin wird die IT Sicher- heit nach Vorgaben des BSI Grundschutzes erhöht. Die IT-Abteilung profitiert von einer zentralen Administration sowie weniger Helpdesk-Anfragen in Bezug auf vergessene Passwörter: Bei einer SAP-internen Migration auf die Single-Sign-On-Lösung ließ sich so beispielsweise die Anzahl der entsprechenden Tickets um 75 Prozent reduzieren. Gleichzeitig wird die gesamte Kommunikation zwischen SAP-Client und SAP-Server verschlüsselt: Hacker können Daten auf Netzwerkebene nicht mehr abfangen und dabei User-IDs und Passwörter ausspähen. 4 / 12 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. Lösungsbeschreibung SAP Single Sign-On ist eine zentrale Login-Plattform für die gesamte IT-Landschaft. Anwender melden sich einmalig am SSO-System an und erhalten danach Zugriff auf alle angeschlossenen Systeme ohne nochmalige Anmeldung. •• RFID-basierte User-Identifizierung (Radio Frequency Identification) •• Zwei-Faktor-Authentifizierung mit Hilfe von Einmalpasswörtern unter Verwendung der mobilen Applikation SAP Authenticator Die Identitätsprüfung kann in beliebige Authentifizierungs-Mechanismen eingebettet werden, darunter: Zudem lassen sich Regeln definieren, die etwa beim Zugang zu besonders sensiblen Systemen einen ergänzenden Authentisierungsnachweis verlangen (Zwei-Faktor-Authentifizierung mit Hilfe von Einmalpasswörtern unter Verwendung der mobilen Applikation SAP Authenticator). Wahlweise lässt sich die Kommunikation zwischen Client (Webbrowser, SAP GUI, etc.) und Server (SAP NetWeaver Application Server, SAP Business Suite, etc.) verschlüsseln. •• Kombination aus User-ID und Passwort •• Windows-Authentifizierung (Kerberos/SPNEGO) •• X.509 Client-Zertifikat •• SAML (Security Assertion Markup Language) •• Smart Card •• Token-Abfrage (beispielsweise RSA SecurID) 5 / 12 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. SAP Single Sign-On besteht aus drei Komponenten: 1. Single Sign-On für die SAP Business Suite Die SAP-Single-Sign-On-Komponente Secure Login ermöglicht eine gesicherte Anbindung der SAP Business Suite an das Single-Sign-On-System. Die Komponente verwendet die Windows-Domain-Authentisierung und sog. Kerberos-Tickets, welche durch ein Microsoft Active Directory (AD) erzeugt werden. Anwender werden automatisch über das SAP GUI oder den Webbrowser bei den jeweiligen SAP-Systemen angemeldet. Single Sign-On für SAP Business Suite 6 / 12 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. 2. Single Sign-On für SAP- und Nicht-SAP-Anwendungen: Daneben unterstützt SAP Single Sign-On X.509-Zertifikate. Die Technologie lässt sich sowohl zur Anbindung von SAP-Systemen als auch von Legacy-Anwendungen einsetzen. Die SAP-Single-Sign-On-Komponente Secure Login enthält bereits die notwendige X.509-Implementierung: Eine zusätzliche Public-Key- Infrastructure-(PKI-)Lösung ist nicht erforderlich, lässt sich auf Wunsch aber integrieren. Für die Verschlüsselung kommen SSL- bzw. SNC-Verfahren zum Einsatz. Voraussetzung für Secure Login ist, dass die Benutzerkonten der verwendeten Systeme zuvor in einem User Mapping abgeglichen wurden. Diese Harmonisierung muss auch anschließend im laufenden Betrieb Single Sign-On für SAP- und Nicht-SAP-Anwendungen gewährleistet sein. Sie lässt sich mit einer Identitäts- verwaltung automatisieren, und beispielsweise mit der Lösung SAP Identity Management umsetzen. Durch die mitgelieferten Komponenten bleibt die Implementierungsdauer der Lösung niedrig. 7 / 12 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. 3. Single Sign-On für die Cloud und über Unternehmensgrenzen hinweg: Daneben enthält SAP Single Sign-On einen sog. Identity Provider, der dafür zuständig ist, unternehmensund domänenübergreifende Dienste einzubinden. Der zugrundeliegende Standard ist die Security Assertion Markup Language (SAML) 2.0. Darüber lassen sich Authentisierungsdaten zwischen Diensten vertrauenswürdig austauschen. Partnerapplikationen müssen nicht mehr mit System-Usern operieren sondern können direkt personenbezogene Zugriffe und Berechtigungen verteilen. Single Sign-On für die Cloud und über Unternehmensgrenzen hinweg 8 / 12 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. Darüber hinaus bietet SAP Single Sign-On einen sog. Passwort Manager, welcher es ermöglicht, Systeme für das Single Sign-On zu öffnen, die nicht über entsprechende Integrationsstandards verfügen – darunter auch Lösungen von Drittherstellern. Eine auf den Clients hinterlegte Anwendung speichert dabei die Zuordnung von User-IDs und Passwörtern zu den entsprechenden Systemen. Darin kann die IT-Abteilung beispielsweise festlegen, dass einer Web-Anwendung oder einer Terminal-Emulation die erforderlichen Anmeldedaten automatisch zugewiesen werden. Beim erstmaligen Einsatz wird die Software mit einem einmaligen Login „antrainiert“. 9 / 12 Password Manager © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. Mit SAP Single Sign-On lassen sich erstmalig alle Daten, die Anwender zwischen dem SAP GUI bzw. dem Browser und den SAP-Servern austauschen, standardisiert verschlüsseln. Für die Verschlüsselung kommen SSL- bzw. SNC-Verfahren zum Einsatz. Nutzerkonten und Systemberechtigungen in heterogenen Landschaften zentral verwalten. Wird ein neuer Nutzer in SAP Identity Management angelegt, erstellt die Single-Sign-On-Lösung automatisch einen einzelnen Zugang zu allen berechtigten Systemen. Die mit SAP Single Sign-On erzielten Zeit- und Kosteneinsparungen für Mitarbeiter und Helpdesk können in Kombination mit der Lösung SAP Identity Management noch gesteigert werden. Mit dieser Software lassen sich SAP empfiehlt Schulungen für Administratoren – vorrangig, um die IT-Mitarbeiter zu befähigen, alle sicherheitsrelevanten Aspekte der Berechtigungsvergabe zu berücksichtigen. 10 / 12 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. Systemvoraussetzungen und Funktionalitäten Systemvoraussetzungen: Die Einrichtung der Single-Sign-On-Architektur geht häufig mit Projekten im Umfeld des Identitätsmanagement einher. SAP empfiehlt dabei die Lösung SAP Identity Management. SAP Single Sign-On lässt sich aber auch ohne eine zusätzliche Identitätsmanagement-Lösung einsetzen. Funktionalitäten: •• Single Sign-On für SAP-Applikationen und Anwendungen anderer Anbieter •• Single Sign-On für Cloud-basierte Applikationen •• Unterstützung von proprietären Clients (SAP GUI) •• Verschlüsselung der Kommunikation über SNC •• Basierend auf Standards (Kerberos/SPNEGO, X.509-Zertifikate, SAML) •• Password Manager für Legacy-Systeme 11 / 12 © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. Referenzkunden und weiterführende Informationen Referenzkunden: •• Berufsgenossenschaft Holz und Metall •• Bundesinstitut für Berufsbildung •• FUB Führungsunterstützungsbasis •• Messe Frankfurt GmbH •• Ministerium der Finanzen Brandenburg •• MDK Sachsen •• ProSiebenSat.1 •• SAP •• Siemens AG •• Südzucker •• Wasserverband Eifel-Rur •• Zedach Weiterführende Informationen: •• SAP Community Network •• Produktübersicht Verwandte Produkte: SAP Identity Management, SAP Access Control, SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis, SAP Enterprise Threat Detection, SAP Cloud Identity Ihr Ansprechpartner: Martin Müller Solution Senior Expert Security [email protected] 12 / 12 Studio SAP | 39447deDE (15/07) © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. © 2015 SAP SE or an SAP affiliate company. All rights reserved. No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP SE or an SAP affiliate company. SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE (or an SAP affiliate company) in Germany and other countries. Please see http://www.sap.com/corporate-en/legal/copyright/index.epx#trademark for additional trademark information and notices. Some software products marketed by SAP SE and its distributors contain proprietary software components of other software vendors. National product specifications may vary. These materials are provided by SAP SE or an SAP affiliate company for informational purposes only, without representation or warranty of any kind, and SAP SE or its affiliated companies shall not be liable for errors or omissions with respect to the materials. The only warranties for SAP SE or SAP affiliate company products and services are those that are set forth in the express warranty statements accompanying such products and services, if any. Nothing herein should be construed as constituting an additional warranty. In particular, SAP SE or its affiliated companies have no obligation to pursue any course of business outlined in this document or any related presentation, or to develop or release any functionality mentioned therein. This document, or any related presentation, and SAP SE’s or its affiliated companies’ strategy and possible future developments, products, and/or platform directions and functionality are all subject to change and may be changed by SAP SE or its affiliated companies at any time for any reason without notice. The information in this document is not a commitment, promise, or legal obligation to deliver any material, code, or functionality. All forward-looking statements are subject to various risks and uncertainties that could cause actual results to differ materially from expectations. Readers are cautioned not to place undue reliance on these forward-looking statements, which speak only as of their dates, and they should not be relied upon in making purchasing decisions.
© Copyright 2024 ExpyDoc
