Integrace služby Active Directory s jednotným přihlašováním SAP (Kerberos-SPNEGO)

  • 5 min

Active Directory je možné integrovat s jednotným přihlašováním SAP tak, že nakonfigurujete systém SAP pomocí SNC (Secure Network Communication). Hlavním účelem SNC je zabezpečit připojení mezi aplikačním serverem NetWeaver ABAP a externími aplikacemi, včetně grafického uživatelského rozhraní SAP. SNC poskytuje rozhraní pro externí bezpečnostní produkty, které lze použít k povolení jednotného přihlašování.

Integrace jednotného přihlašování SAP se službou Active Directory

  1. Nakonfigurujte systém SAP: Počínaje netWeaver ABAP verze 7.31 použijte průvodce konfigurací (transakce SNCWIZARD a SPNEGO) v systému SAP ke konfiguraci jednotného přihlašování. Pro starší verze NetWeaver ABAP nebo pokud nemáte přístup ke konfiguračním průvodcům, můžete jednotné přihlašování nakonfigurovat ručně:

    1. Vytvořte nového uživatele AD, který se použije jako účet služby pro systém NetWeaver ABAP (nejlépe s nevysvětlujícím heslem).
    2. Pomocí příkazu SETSPN zaregistrujte hlavní název služby (SPN) uživatele vytvořeného v předchozím kroku.
    3. Nainstalujte do systému SAP CommonCryptoLib.
    4. Nastavte adresář SECUDIR (adresář SECUDIR je adresář, ve kterém se nachází soubor lístku licence CommonCryptoLib a soubory PSE). Chcete-li nastavit adresář jako adresář SECUDIR. vytvořte novou proměnnou prostředí s názvem SECUDIR a nasměrujte ji na adresář. Příklad: \usr\sap[SID]\DVEBMGS00\sec
    5. V instanci SAP nastavte parametry profilu odkazující na umístění sapcrypto.dll a nově vytvořený hlavní název služby (SPN).
    6. Restartujte instanci SAP.
    7. Vytvořte soubor Kerberos Keytab a odpovídající soubor PSE sap Cryptolib pro SNC založený na protokolu Kerberos.

  2. Konfigurace mapování uživatelů:

    1. Přihlaste se k instanci SAP přes SAPGUI a spusťte transakci SU01.
    2. Do pole s názvem zadejte uživatele SAP (nebo uživatele, kterého chcete mapovat pro jednotné přihlašování) a vyberte Upravit.
    3. Vyberte kartu SNC a zadejte název SNC, který jste nakonfigurovali v předchozím úkolu ve formátu p:CN=UserPrincipalName@domain.

  3. Nainstalujte na klientské počítače zabezpečený přihlašovací software.

  4. Konfigurace grafického uživatelského rozhraní SAP pro komunikaci SNC

    1. V rozhraní Zabezpečené nastavení sítě zadejte název SNC ve formátu p:CN=ServicePrincipalName@domain.
    2. Zahajte připojení. Měli byste být přihlášení bez výzvy k zadání hesla.