Integración de Active Directory con el inicio de sesión único de SAP (Kerberos-SPNEGO)

  • 5 minutos

Active Directory se puede integrar con el inicio de sesión único de SAP configurando el sistema SAP con SNC (Secure Network Communication). La finalidad principal de SNC es proteger las conexiones entre el servidor de aplicaciones de NetWeaver ABAP y aplicaciones externas, incluida la GUI de SAP. SNC proporciona una interfaz para productos de seguridad externos que se pueden usar para habilitar el inicio de sesión único.

Integración del inicio de sesión único de SAP con Active Directory

  1. Configure el sistema SAP: a partir de la versión 7.31 de NetWeaver ABAP, use los asistentes de configuración (transacciones SNCWIZARD y SPNEGO) en su sistema SAP para configurar el inicio de sesión único. Para versiones anteriores de NetWeaver ABAP, o si no tiene acceso a los asistentes de configuración, puede configurar el inicio de sesión único manualmente:

    1. Cree un nuevo usuario de AD para usarlo como cuenta de servicio para el sistema NetWeaver ABAP (preferiblemente, con una contraseña que no expire).
    2. Use SETSPN para registrar el nombre de entidad de seguridad de servicio (SPN) del usuario creado en el paso anterior.
    3. Instale CommonCryptoLib en el sistema SAP.
    4. Establezca el directorio SECUDIR, que es el directorio donde residirán los archivos PSE y el archivo de vale de licencia de CommonCryptoLib. Para establecer un directorio como SECUDIR. directory, cree una nueva variable de entorno denominada SECUDIR y apunte a un directorio. Por ejemplo: \usr\sap[SID]\DVEBMGS00\sec
    5. En su instancia de SAP, establezca los parámetros del perfil que hacen referencia a la ubicación del archivo sapcrypto.dll y al SPN recién creado.
    6. Reinicie la instancia de SAP.
    7. Cree el archivo Keytab de Kerberos y el correspondiente archivo PSE de la biblioteca de cifrado de SAP para SNC basado en Kerberos.

  2. Configure la asignación de usuarios:

    1. Inicie sesión en la instancia de SAP a través de SAPGUI y ejecute la transacción SU01.
    2. Escriba su usuario de SAP (o el usuario al que desea asignar el inicio de sesión único) en el campo de nombre y seleccione Editar.
    3. Elija la pestaña SNC y escriba el nombre de SNC que configuró en la tarea anterior con el formato p:CN=UserPrincipalName@domain.

  3. Instale software de inicio de sesión seguro en los equipos cliente.

  4. Configuración de la GUI de SAP para la comunicación SNC.

    1. En la interfaz de Secure Network Settings (Configuración de red segura), escriba el nombre de SNC con el formato p:CN=ServicePrincipalName@domain.
    2. Inicie una conexión. Debería iniciar sesión sin que se le pida que escriba una contraseña.