Todennuksen määrittäminen SAP-hankintaratkaisuille

SAP ERP -yhdistin on suunniteltu siten, että useat käyttäjät voivat käyttää sovellusta samalla kerta. Tämän vuoksi yhteyksiä ei jaeta. Käyttäjän tunnistetiedot annetaan yhteyden yhteydessä, kun taas muut SAP-järjestelmään yhdistämiseen tarvittavat tiedot (kuten palvelimen tiedot ja suojausmääritykset) annetaan osana toimintoa.

Kertakirjautumisen ottaminen käyttöön helpottaa SAP:n tietojen päivittämistä siten, että SAP:issa määritettyjä käyttäjätasoisia oikeuksia noudatetaan. Kertakirjautuminen voi määrittää eri tavoin yksinkertaistamaan tunnistamista ja käyttöoikeuksien hallintaa.

SAP ERP -yhdistin tukee seuraavia todentamistyyppejä:

Authentication type	Käyttäjän yhteyden muodostamistapa	Määrityksen vaiheet
SAP-todennus	SAP-palvelinta käytetään SAP-käyttäjänimen ja -salasanan avulla.	Vaihe 4
Windows-todentaminen	SAP-palvelinta käytetään Windows-käyttäjänimen ja -salasanan avulla.	Vaiheet 1, 2, 3, 4
Microsoft Entra ID -todentaminen	SAP-palvelimen käyttäminen Microsoft Entra ID:n avulla.	Vaiheet 1, 2, 3, 4

Muistiinpano

Tietyt järjestelmänvalvojan oikeudet tarvitaan, jotta SSO-kirjautuminen voidaan määrittää Microsoft Entra ID:ssä ja SAP:ssa. Varmista ennen kertakirjautumisen määritystä, että hankit tarvittavat järjestelmänvalvojan oikeudet jokaiselle järjestelmälle.

Lisätietoja:

• Microsoft Entra -dokumentaatio
• SAP:n käyttäjätietojen ja käyttöoikeuksien hallinnan (IAM) ohjeportaali

Vaihe 1: rajoitetun Kerberos-delegoinnin määritys

Rajoitettu Kerberos-delegointi (KCD) mahdollistaa suojatun järjestelmänvalvojien sallimien resurssien käytön käyttäjän tai palvelun osalta ilman useita tunnistetietopyyntöjä. Määritä rajoitettu Kerberos-delegointi Windows- ja Microsoft Entra ID -todennusta varten.

Suorita yhdyskäytävän Windows-palvelu toimialuetilinä, jossa on palvelun päänimiä (SPN-nimiä) (SetSPN).

Määritystehtävät:

1. Yhdyskäytävän palvelutilin palvelun päänimen määrittäminen. Toimialueen järjestelmänvalvojana voit ottaa delegoinnin käyttöön Windowsin mukana tulevalla Setspn-työkalulla .

2. Yhdyskäytävän tietoliikenneasetuksen säätäminen. Viestinnän varmistaminen ottamalla käyttöön lähtevät Microsoft Entra ID -yhteydet sekä tarkistamalla palomuuri- ja porttimääritykset.

3. Rajoitetun Kerberos-vakiodelegoinnin määrittäminen. Toimialueen järjestelmänvalvoja määrittää palvelulle toimialuetilin niin, että se rajoittaa tilin suorittamisen yksittäiseen toimialueeseen.

4. Paikallisen käytännön oikeuksien myöntäminen yhdyskäytävän palvelutilille yhdyskäytäväkoneessa.

5. Yhdyskäytävän palvelutilin lisääminen Windows-valtuutukseen ja käyttöoikeusryhmään.

6. Käyttäjien yhdistämisen määritysparametrien määrittäminen yhdyskäytäväkoneessa tarvittaessa.

7. Yhdyskäytävän palvelutilin muuttaminen toimialuetiliksi. Normaalissa asennuksessa yhdyskäytävä toimii oletuskoneen paikallisena palvelutilinä NT Service\PBIEgwService. Se on suoritettava toimialuetilinä, jotta Kerberos-lippujen avustaminen on mahdollista kertakirjautumisessa.

Lisätietoja:

• Rajoitetun Kerberos-delegoinnin yleiskatsaus
• Kerberos-pohjaisen SSO-kirjautumisen määrittäminen paikallisiin tietolähteisiin

Vaihe 2: SAP ERP:n määrittäminen mahdollistamaan CommonCryptoLib-kirjaston (sapcrypto.dll) käyttäminen

Jos haluat käyttää SSO:ta SAP-palvelimen käyttöön, varmista seuraavat asiat:

• Määritä SAP-palvelin Kerberos SSO:ta varten käyttämällä CommonCryptoLib-kirjastoa Secure Network Communication (SNC) -kirjastona.
• SNC-nimi alkaa kirjaimilla CN.

Tärkeää

Varmista, että SAP Secure Login Client (SLC) ei ole käynnissä tietokoneessa, johon yhdyskäytävä on asennettu. SLC tallentaa Kerberos-liput välimuistiin tavalla, joka voi häiritä yhdyskäytävän kykyä käyttää Kerberos-kertakirjautumista. Lisätietoja on artikkelissa SAP-huomautus 2780475 (s-käyttäjä vaaditaan).

1. Lataa 64-bittinen CommonCryptoLib (sapcrypto.dll) -versio 8.5.25 tai uudempi SAP Launchpadista ja kopioi se yhdyskäytäväkoneen kansioon.

2. Luo samassa hakemistossa, johon sapcrypto.dll kopioitiin, sapcrypto.ini-niminen tiedosto, jossa on seuraava sisältö:

   ccl/snc/enable_kerberos_in_client_role = 1

   .ini-tiedosto sisältää CommonCryptoLib-kirjaston edellyttämät määritystiedot, jotka mahdollistavat kertakirjautumisen yhdyskäytäväskenaariossa. Varmista, että polkuun (kuten c:\sapcryptolib\) sisältyy sekä sapcrypto.ini että sapcrypto.dll. .dll- ja .ini-tiedostojen on oltava samassa sijainnissa.

3. Myönnä sekä .ini- että .dll-tiedoston oikeudet Todennetut käyttäjät -ryhmälle. Sekä yhdyskäytäväpalvelun käyttäjä että Active Directory -käyttäjä, joksi palvelun käyttäjä tekeytyy, tarvitsee kummankin tiedoston luku- ja suoritus-oikeudet.

4. Luo järjestelmäympäristön CCL_PROFILE-muuttuja ja määritä sen arvoksi polku sapcrypto.ini.

5. Käynnistä yhdyskäytäväpalvelu uudelleen.

Lisätietoja: Kerberos-kertakirjautumisen käyttäminen SAP BW -kertakirjautumiseen CommonCryptoLib-kirjaston avulla

Vaihe 3: SAP SNC ottaminen käyttöön Azure AD- ja Windows-todennuksessa

SAP ERP -yhdistin tukee Microsoft Entra ID:tä ja Windows Serverin AD-todennusta ottamalla käyttöön SAP:n SNC (Secure Network Communication) -viestinnän. SNC on SAP:n järjestelmäarkkitehtuurin ohjelmistokerros, joka toimii ulkoisten suojaustuotteiden käyttöliittymänä siten, että SAP-ympäristöihin voidaan muodostaa suojattu kertakirjautuminen. Seuraavat ominaisuusohjeet auttavat asennuksessa.

Ominaisuus	Kuvaus
Käytä SNC:tä	Valitse Kyllä, jos haluat ottaa SNC:n käyttöön.
SNC-kirjasto	SN-kirjaston nimi tai polku suhteessa NCo-asennussijaintiin tai absoluuttiseen polkuun. Esimerkkejä: sapcrypto.dll tai c:\sapcryptolib\sapcryptolib.dll.
SNC-kertakirjautuminen	Määrittää, käyttääkö yhdistin palvelun käyttäjätietoja vai loppukäyttäjän tunnistetietoja. Valitse Käytössä, jos käytetään loppukäyttäjän käyttäjätietoja.
SNC-kumppanin nimi	SNC-taustapalvelimen nimi. Esimerkki: p:CN=SAPserver.
SNC:n suojauksen laatu	Tietyn kohteen tai palvelimen SNC-viestinnässä käytettävän palvelun laatu. Taustajärjestelmä määrittää oletusarvon. SNC:ssä käytettävä suojaustuote määrittää suurimman arvon.

SAP SNC -nimen on oltava sama kuin käyttäjän Active Directoryn täydellinen toimialuenimi. Esimerkiksi p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM-arvon tulee olla sama kuin JANEDOE@REDMOND.CORP.CONTOSO.COM.

Muistiinpano

Vain Microsoft Entra ID -todennus – Active Directory SAP -palveluobjekti -tilin msDS-SupportedEncryptionType-määritteelle on määritettävä arvo AES 128 tai AES 256.

Vaihe 4: SAP-palvelimen ja käyttäjätilien määrittäminen sallimaan toimintoja

Tarkista SAP-huomautus 460089 – Ulkoisten RFC-ohjelmien vähimmäisvaltuutusprofiilit saadaksesi lisätietoja tuetuista käyttäjätilityypeistä ja kunkin toimintotyypin, kuten etätoimintokutsun (RFC), liiketoimintasovelluksen ohjelmointirajapinnan (BAPI) ja väliasiakirjan (IDOC), edellyttämästä vähimmäisvaltuutuksesta.

SAP-käyttäjätilien on voitava käyttää RFC_Metadata-funktioryhmää ja seuraavien toimintojen funktiomoduuleja:

Toiminnot	Käytettävät funktiomoduulit
RFC-toiminnot	RFC_GROUP_SEARCH ja DD_LANGU_TO_ISOLA
Lue taulukko -toiminto	Joko RFC BBP_RFC_READ_TABLE tai RFC_READ_TABLE
SAP-palvelimen tarkan vähimmäiskäyttöoikeuden myöntäminen SAP-yhteydelle	RFC_METADATA_GET ja RFC_METADATA_GET_TIMESTAMP

Seuraava vaihe

SAP:n hankintamallien asentaminen

Liittyvä sisältö

• SAP-kertakirjautuminen
• SAP-kertakirjautumisen suojatun kirjautumisen toteutusopas
• SAP:n käyttäjätietojen ja käyttöoikeuksien hallinnan (IAM) ohjeportaali

Katso myös

• SAP-hankintamallin käytön aloittaminen
• SAP ERP -yhdistin
• Azure Logic Appsin SAP-yhdistin
• Tietojen menetyksen estämiskäytännöt (DLP)
• Hybridiarkkitehtuuri