Integrieren sie Active Directory in das einmalige Anmelden von SAP (Kerberos-SPNEGO)

  • 5 Minuten

Active Directory kann in das einmalige Anmelden von SAP integriert werden, indem Sie Ihr SAP-System mit SNC (Secure Network Communication) konfigurieren. Der Hauptzweck von SNC besteht darin, Verbindungen zwischen dem NetWeaver ABAP-Anwendungsserver und externen Anwendungen (einschließlich der SAP GUI) zu schützen. SNC bietet eine Schnittstelle für externe Sicherheitsprodukte, die zum Aktivieren von einmaligem Anmelden (SSO) verwendet werden können.

Integrieren von SAP-SSO in Active Directory

  1. Konfigurieren des SAP-Systems: Verwenden Sie ab NetWeaver ABAP-Version 7.31 die Konfigurations-Assistenten (Transaktionen SNCWIZARD und SPNEGO) in Ihrem SAP-System, um einmaliges Anmelden zu konfigurieren. Wenn Sie eine frühere Version von NetWeaver ABAP verwenden oder keinen Zugriff auf die Konfigurations-Assistenten haben, können Sie SSO manuell konfigurieren:

    1. Erstellen Sie einen neuen AD-Benutzer, der als Dienstkonto für das NetWeaver ABAP-System verwendet werden soll (vorzugsweise mit einem Kennwort ohne Ablauf).
    2. Verwenden Sie SETSPN, um den Dienstprinzipalnamen (Service Principal Name, SPN) des im vorherigen Schritt erstellten Benutzers zu registrieren.
    3. Installieren Sie CommonCryptoLib auf Ihrem SAP-System.
    4. Legen Sie das SECUDIR-Verzeichnis fest (in diesem Verzeichnis befinden sich die CommonCryptoLib-Lizenzticketdatei und die PSE-Dateien). Um ein Verzeichnis als Ihr SECUDIR festzulegen, erstellen Sie eine neue Umgebungsvariable namens SECUDIR, verweisen Sie sie auf ein Verzeichnis. Zum Beispiel: \usr\sap[SID]\DVEBMGS00\sec
    5. Legen Sie in Ihrer SAP-Instanz die Profilparameter fest, die auf den Speicherort der Datei „sapcrypto.dll“ und den neu erstellten SPN verweisen.
    6. Starten Sie die SAP-Instanz neu.
    7. Erstellen Sie die Kerberos-Keytab-Datei und die entsprechende SAP Cryptolib-PSE-Datei für Kerberos-basiertes SNC.

  2. Konfigurieren der Benutzerzuordnung:

    1. Melden Sie sich über SAPGUI bei Ihrer SAP-Instanz an, und führen Sie die Transaktion SU01 aus.
    2. Geben Sie Ihren SAP-Benutzernamen (oder den Namen des Benutzers, den Sie für SSO zuordnen möchten) in das Namensfeld ein, und klicken Sie auf Edit (Bearbeiten).
    3. Wählen Sie die Registerkarte SNC aus, und geben Sie den SNC-Namen ein, den Sie in der vorherigen Aufgabe konfiguriert haben. Verwenden Sie hierbei das Format p:CN=UserPrincipalName@domain.

  3. Installieren von Software für die sichere Anmeldung auf Clientcomputern:

  4. Konfigurieren der SAP GUI für die SNC-Kommunikation.

    1. Geben Sie unter Secure Network Settings (Sichere Netzwerkeinstellungen) den SNC-Namen im Format p:CN=ServicePrincipalName@domain ein.
    2. Initiieren Sie eine Verbindung. Sie sollten angemeldet werden, ohne zur Eingabe eines Kennworts aufgefordert zu werden.