Embed Size (px)
DESCRIPTION
Sie kennen bereits verschiedene Single Sign-On Lösungen und möchten eine fundierte Entscheidung treffen, die auch die Konsequenzen und Abhängigkeiten für Ihre Systemlandschaft berücksichtigt? Und am liebsten wäre es Ihnen, jemand sorgt auch noch für die fachgerechte Umsetzung? Dann sind Sie bei uns an der richtigen Stelle! IBSolution - Ihr vertrauensvoller Partner.
Citation preview
www.ibsolution.de © IBSolution GmbH
Single Sign-on:Überblick und Lösungen
28. Oktober 2011
Andreas Zickner
Martin Nussbaumer
IBSolution GmbH
Webinar-Reihe 2011
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH - Webinar-Reihe 2011
Willkommen zum Webinar„Single Sign-On“
Die Unterlagen finden Sie nach dem Webinar unter: http://www.slideshare.net/IBSolutionGmbHhttp://www.youtube.com/IBSolution
Weitere Webinar-Termine:
07.11.2011 // Reporting mit BW 7.3 & BO 4.0
11.11.2011 // SAP Sybase Unwired Platform
14.11.2011 // COPA Reporting mit BW 7.3 & BO 4.0
02.12.2011 // ABAP & Java - quo vadis?
Infos und Anmeldung über www.ibsolution.de/veranstaltungen
www.ibsolution.de © IBSolution GmbH
Ihre Moderatoren
Martin Nußbaumer Chat-Moderatorin:Linda Vogt
Andreas Zickner
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH: Beratungsschwerpunkte
BusinessIntelligence
Prozess-optimierung
TechnologieBeratung
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH: Unsere Standorte
Nordrhein-Westfalen
Neuss
Baden-Württemberg
Heilbronn
Bayern
München
Schweiz
ZürichBulgarien
Sofia
www.ibsolution.de © IBSolution GmbH
Chat-Funktion für Fragen / Einstellungen
Teilnehmer sind während der Präsentation stumm geschaltet
Bitte nutzen Sie für Fragen die Chat-Funktion
Zum Ende des Webinars wird gesammelt auf die Fragen eingegangen
www.ibsolution.de © IBSolution GmbH
AGENDA
1. Themen Einordnung
2. SSO im Überblick
3. Kundenbeispiel
4. SAP NetWeaver Single Sign On (SECUDE)
5. Q & A
www.ibsolution.de © IBSolution GmbH
IT Sicherheit
Ihre Einordnung
07.06.11
www.ibsolution.de © IBSolution GmbH
IT Sicherheit
Ihre Einordnung – Bewertung der einzelnen Sicherheitsmaßnahmen im Gesamtkontext
SAP
Prozesse
OS DB
Infrastruktur
Gesamte Sicherheit
www.ibsolution.de © IBSolution GmbH
IT Sicherheit
Ihre Einordnung – ausgewogene gesamte Sicherheit
SAP
Prozesse
OS DB
Infrastruktur
Gesamte Sicherheit
www.ibsolution.de © IBSolution GmbH
Problemstellung
Historisch gewachsen
http://eroonkang.com/16x16/?tag=everything
www.ibsolution.de © IBSolution GmbH
Problemstellung
Änderungen in den IT Organisationen
http://www.mbcomms.com/images/mergers_acquisitions.jpghttp://wallpaper.1000webgames.com/wallpapers/nature_landscape_wallpaper_73-1600x1200.jpghttp://vistawallpapers.files.wordpress.com/2007/03/vista-wallpaper-desert-landscape.jpg?w=510
www.ibsolution.de © IBSolution GmbH
Problemstellung
Kontokennungen, Passwörter, Support
http://test.ical.ly/wp-content/uploads/2010/10/being-different-f-200x300.jpghttp://androidsoftwaredownload.com/upload/androidapp/Password_Safe/Password_Safe_0.1.0.pnghttp://escapefromindia.files.wordpress.com/2009/01/microsoft_tech_support.jpg?w=400&h=593
www.ibsolution.de © IBSolution GmbH
SSO Überblick
07.06.11wir stellen uns vor
www.ibsolution.de © IBSolution GmbH
Übersicht SAP SSO & Begriffe
Benutzer / Passwort
SAP Logon Tickets
Cookies im Webbrowser
Kerberos
Zum Beispiel Anbindung an den AD Kerberos Service
SNC (Secure Network Communication)
SAP GUI Logon
Zertifikate (auch smartcards)
Zum Beispiel vom AD ausgestellte Zertifikate im Browser
SAML (Security Assertion Markup Language)
Identity und Service Provider
OpenID
Vgl. mit SAML ‚nur„ in übergreifenden Szenarien.
Mögliche SAP SSO Technologien
www.ibsolution.de © IBSolution GmbH
Übersicht SAP SSO & Begriffe
Relevante Authentifizierungsmechanismen für SAP Netweaver 7.0 EP1
SAP SSO Support
Funktionalität Authentifi-
zierung
AS ABAP AS Java
Benutzer/Passwort X X X
SAP Logon Ticket X X
SPNEGO (Kerberos) X X
SNC (SAP GUI, Kerberos) X X
Zertifikate (X.509) X X X
SAML1) SP SP
1) IDP mit NW 7.2 auf Basis vom Identity Center
https://cw.sdn.sap.com/cw/docs/DOC-43528
www.ibsolution.de © IBSolution GmbH
Kundenbeispiel
07.06.11wir stellen uns vor
www.ibsolution.de © IBSolution GmbH
Kundenbeispiel für SSO
Mittelständisches Unternehmen
Der Kunde
• 450 SAP Benutzer• MS Active Directory• SAP Netweaver
Ausgangslage
• Einführung IdM & Portal• Verschiedene Benutzerkennungenin verschiedenen SAP Systemen
Architektur
• Verwendung von Zertifikaten fürSingle Sign On
• Eigene „einfache‟ CertificateAuthority (CA) auf Basis Windows 2003
Nutzen
• Kein Passwort Rollout• Verwendung der Zertifikaten auchin exsitierenden SAP Systemen
• Stufenweise Einführung von SSO
www.ibsolution.de © IBSolution GmbH
Das erweiterte Portfolio
SAP NetWeaver Single Sign On (Secude)
07.06.11wir stellen uns vor
www.ibsolution.de © IBSolution GmbH
SAP NetWeaver Single Sign On (Secude)
Secure Login
Enterprise SSO
Einbindung in Windows Anmeldeprozess
Plugins für Browser
Angekündigt: Enterprise Single Sign-On Management Console
Identity Federation (SAML 2.0)
Identity Provider
Secure Token Service (X.509 Zertifikate)
Frei verfügbar
Verschlüsselung (Kommunikationsebene)
Authentizität und Integrität der Daten
Basiert auf SNC und Kerberos
Geplante Verfügbarkeit Ende 2011 als Teil der SAP GUI Installation
Web Access Management (WAM)
Integration mit CA SiteMinder, Web Single Sign On
Inhalt
www.ibsolution.de © IBSolution GmbH
SAP NetWeaver Single Sign On (Secude)
Szenarien (SAP)
für SAP GUI Windows mit Kerberos
für SAP GUI Windows mit Smart Card und bestehender PKI
für SAP GUI Windows und/oder Web Applikationen mit Zertifikaten
installationsfreie Client-Option für Browser und SAP GUI
Bestandteile
Secure Login Libraries (Bibliotheken für SAP NW Platform)
Secure Login Client (Desktop Anwendung für SAP GUI SSO)
Secure Login Server
• Secure Login Web Client (vgl. Secure Login Client)
• Eigenständige Server Komponente für eine zentrale Login Verwaltung
Secure Login
www.ibsolution.de © IBSolution GmbH
1. SAP NetWeaver Single Sign On (Secude)
Kerberos und SAP GUI für Windows
SAP Business
Suite
MicrosoftActive
Directory
Anwender meldet sich am Betriebssystem an
Startet SAP GUI
Anfrage SSO-Token
Anmeldung über Token
verschlüsselteVerbindung
1
2 3
4
SAP
SAP NW SSO
SAP
NW
SSO
www.ibsolution.de © IBSolution GmbH
Neu mit SAP NetWeaver Single Sign On (Secude)
Weiter Unterstützung von AS ABAP Plattformen (AIX, HP-UX, Linux, SUN, Windows)
Verschlüsselte Kommunikation zwischen GUI und AS
1. Single Sign-On für die SAP GUI in Windows mit Kerberos
Funktionalität Authentifi-
zierung
AS ABAP AS Java
Benutzer/Passwort X X X
SAP Logon Ticket X X
SPNEGO (Kerberos) X X
SNC (SAP GUI, Kerberos) X X
Zertifikate (X.509) X X X
SAML1) SP SP
www.ibsolution.de © IBSolution GmbH
SAP Business
Suite
MicrosoftCertificate
Store
Anwender meldet sich am Betriebssystem per Smart Card an
Startet SAP GUI
SSO-Anfrage
SSO-Ticket
Anmeldung über Ticket
verschlüsselteVerbindung
1
2 3
4
SAP
2. SAP SAP NetWeaver Single Sign On (Secude)
Smart Card, PKI und SAP GUI für Windows
PKI
SAP NW SSO
SAP
NW
SSO
This presentation and SAP„s strategy and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This document is provided
without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.
www.ibsolution.de © IBSolution GmbH
Neu mit SAP NetWeaver Single Sign On (Secude)
Reine Authentifizierung mittels Zertifikaten
Einbindung einer vorhandenen Public Key Infrastruktur
Weiter Unterstützung von AS ABAP Plattformen (AIX, HP-UX, Linux, SUN, Windows)
Verschlüsselte Kommunikation zwischen GUI und AS
2. Single Sign-On für SAP GUI für Windows mit Smart Card und bestehender PKI
Funktionalität Authentifi-
zierung
AS ABAP AS Java
Benutzer/Passwort X X X
SAP Logon Ticket X X
SPNEGO (Kerberos) X X
SNC (SAP GUI, Kerberos) X X
Zertifikate (X.509) X X X
SAML1) SP SP
www.ibsolution.de © IBSolution GmbH
Startet SAP GUI
Generiert“Ticket”
Auth-Anfrageam SAP NetWeaverSingle Sign-On
1
42
Anmeldung überTicket und verschlüsselteVerbindung
5
SAP Business
SuiteAnwender
SAP
Authentisierungs-Server
...
3. SAP NetWeaver Single Sign On (Secude)
Zertifikate, SAP GUI für Windows, Web Applikationen
SAP NW SSO
SAP NW SSO
Login Server
SAP
NW
SSO
Validierungdes Benutzers
3
This presentation and SAP„s strategy and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This document is provided
without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.
www.ibsolution.de © IBSolution GmbH
Neu mit SAP NetWeaver Single Sign On (Secude)
Heterogen Unterstützung von AS ABAP/Java Plattformen
Verwendung von temporären Zertifikaten (Login Server)
Einbindung von existierenden PKI Lösungen
Verschlüsselte Kommunikation zwischen GUI und AS
3. Single Sign-On für SAP GUI für Windows und/oder Web Applications mit Zertifikaten
Funktionalität Authentifi-
zierung
AS ABAP AS Java
Benutzer/Passwort X X X
SAP Logon Ticket X X
SPNEGO (Kerberos) X X
SNC (SAP GUI, Kerberos) X X
Zertifikate (X.509) X X X
SAML1) SP SP
www.ibsolution.de © IBSolution GmbH
4. SAP NetWeaver Single Sign On (Secude)
Installationsfreie Client-Option für Browser und SAP GUI
Prüfung
SAP
12
3
4
SSO und Kommunikations-Verschlüsselung
Client
..
.
SAP NW SSO
SecureLogin Server
Web-Interface
SAP NW AppServ
SAPNetweaver Application
Server Java/ABAP
Authentisierungs-Server
...
SAP NW SSO
SAP NW SSO
This presentation and SAP„s strategy and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This document is provided
without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.
www.ibsolution.de © IBSolution GmbH
Neu mit SAP NetWeaver Single Sign On (Secude)
Heterogen Unterstützung von AS ABAP/Java Plattformen
Verwendung von temporären Zertifikaten (Login Server)
Weiter Unterstützung von Client Betriebssystemen
Einbindung von existierenden PKI Lösungen
Verschlüsselte Kommunikation zwischen GUI und AS
4. Single Sign-On Installationsfreie Client-Option für Browser und SAP GUI
Funktionalität Authentifi-
zierung
AS ABAP AS Java
Benutzer/Passwort X X X
SAP Logon Ticket X X
SPNEGO (Kerberos) X X
SNC (SAP GUI, Kerberos) X X
Zertifikate (X.509) X X X
SAML1) SP SP
www.ibsolution.de © IBSolution GmbH
Neu mit SAP NetWeaver Single Sign On (Secude)
Identity Provider mit Secure Login Server (nicht nur mit IdM)
Security Token Service ermöglicht die Authentifizierung (X.509) und SAML 1.1 Anbindung
SSO für Web Services
Identity Federation
Funktionalität Authentifi-
zierung
AS ABAP AS Java
Benutzer/Passwort X X X
SAP Logon Ticket X X
SPNEGO (Kerberos) X X
SNC (SAP GUI, Kerberos) X X
Zertifikate (X.509) X X X
SAML1) SP SP
www.ibsolution.de © IBSolution GmbH
Haben Sie Fragen?
Fragen und Feedback
Fragen? Gern!
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH - Webinar-Reihe 2011
Vielen Dank für Ihre Teilnahme!
Die Unterlagen finden Sie nach dem Webinar unter: http://www.slideshare.net/IBSolutionGmbHhttp://www.youtube.com/IBSolution
Weitere Webinar-Termine:
07.11.2011 // Reporting mit BW 7.3 & BO 4.0
11.11.2011 // SAP Sybase Unwired Platform
14.11.2011 // COPA Reporting mit BW 7.3 & BO 4.0
02.12.2011 // ABAP & Java - quo vadis?
Infos und Anmeldung über www.ibsolution.de/veranstaltungen
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH
Salzstrasse 140
D - 74076 Heilbronn
www.ibsolution.de
MARTIN NUSSBAUMER
