Integrare Active Directory con l'accesso Single Sign-On SAP (Kerberos-SPNEGO)

  • 5 minuti

È possibile integrare Active Directory con l'accesso Single Sign-On SAP configurando il sistema SAP con SNC (Secure Network Communication). Lo scopo principale di SNC è proteggere le connessioni tra il server applicazioni NetWeaver ABAP e le applicazioni esterne, tra cui SAP GUI. SNC fornisce un'interfaccia per i prodotti di sicurezza esterni che possono essere usati per abilitare l'accesso Single Sign-On.

Integrare l'accesso SSO SAP con Active Directory

  1. Configurare il sistema SAP: a partire da NetWeaver ABAP versione 7.31, usare le procedure guidate di configurazione (transazioni SNCWIZARD e SPNEGO) nel sistema SAP per configurare l'accesso SSO. Per le versioni precedenti di NetWeaver ABAP o se non si ha accesso alle procedure guidate di configurazione, è possibile configurare l'accesso SSO manualmente:

    1. Creare un nuovo utente di Active Directory da usare come account del servizio per il sistema di NetWeaver ABAP (preferibilmente con una password che non scade).
    2. Usare SETPN per registrare il nome dell'entità servizio (SPN) dell'utente creato nel passaggio precedente.
    3. Installare CommonCryptoLib nel sistema SAP.
    4. Impostare la directory SECUDIR (in cui risiederà il file di ticket della licenza CommonCryptoLib e i file PSE). Per impostare una directory come directory SECUDIR, creare una nuova variabile di ambiente denominata SECUDIR e puntarla a una directory. Ad esempio: \usr\sap[SID]\DVEBMGS00\sec
    5. Nell'istanza di SAP impostare i parametri del profilo che fanno riferimento alla posizione del file sapcrypto.dll e al nome SPN appena creato.
    6. Riavviare l'istanza di SAP.
    7. Creare il file Keytab Kerberos e il file SAP Cryptolib PSE corrispondente per la connessione SNC basata su Kerberos.

  2. Configurare il mapping utente:

    1. Accedere all'istanza di SAP tramite SAPGUI ed eseguire la transazione SU01.
    2. Immettere l'utente SAP (o l'utente di cui eseguire il mapping per l'accesso SSO) nel campo del nome e selezionare Edit.
    3. Selezionare la scheda SNC e digitare il nome SNC configurato nell'attività precedente nel formato p:CN=UserPrincipalName@domain.

  3. Installare il software di accesso protetto nei computer client.

  4. Configurare l'interfaccia utente grafica di SAP per la comunicazione SNC.

    1. Nell'interfaccia Secure Network Settings digitare il nome SNC nel formato p:CN=ServicePrincipalName@domain.
    2. Avviare una connessione. Si dovrebbe accedere senza la richiesta di immissione di una password.