Integracja usługi Active Directory z logowaniem jednokrotnym SAP (Kerberos-SPNEGO)

  • 5 min

Usługę Active Directory można zintegrować z logowaniem jednokrotnym SAP, konfigurując system SAP przy użyciu protokołu SNC (Secure Network Communication). Głównym celem SNC jest zabezpieczenie połączeń między serwerem aplikacji NetWeaver ABAP i aplikacjami zewnętrznymi, w tym interfejsem UŻYTKOWNIKA SAP. SNC udostępnia interfejs dla zewnętrznych produktów zabezpieczeń, których można użyć do włączenia logowania jednokrotnego.

Integrowanie logowania jednokrotnego SAP z usługą Active Directory

  1. Skonfiguruj system SAP: począwszy od programu NetWeaver ABAP w wersji 7.31, użyj kreatorów konfiguracji (transakcji SNCWIZARD i SPNEGO) w systemie SAP, aby skonfigurować logowanie jednokrotne. W przypadku wcześniejszych wersji programu NetWeaver ABAP lub jeśli nie masz dostępu do kreatorów konfiguracji, możesz skonfigurować logowanie jednokrotne ręcznie:

    1. Utwórz nowego użytkownika usługi AD, który ma być używany jako konto usługi dla systemu NetWeaver ABAP (najlepiej z brakiem hasła).
    2. Użyj programu SETSPN, aby zarejestrować główną nazwę usługi (SPN) użytkownika utworzonego w poprzednim kroku.
    3. Zainstaluj bibliotekę CommonCryptoLib w systemie SAP.
    4. Ustaw katalog SECUDIR (katalog SECUDIR to katalog, w którym znajduje się plik biletu licencji CommonCryptoLib i pliki PSE). Aby ustawić katalog jako SECUDIR. utwórz nową zmienną środowiskową o nazwie SECUDIR i wskaż ją katalogowi. Na przykład: \usr\sap[SID]\DVEBMGS00\sec
    5. W wystąpieniu sap ustaw parametry profilu odwołujące się do lokalizacji sapcrypto.dll i nowo utworzonej nazwy SPN.
    6. Uruchom ponownie wystąpienie SAP.
    7. Utwórz plik tab protokołu Kerberos i odpowiedni plik PSE sap Cryptolib dla protokołu SNC opartego na protokole Kerberos.

  2. Konfigurowanie mapowania użytkownika:

    1. Zaloguj się do wystąpienia SAP za pośrednictwem protokołu SAPGUI i uruchom transakcję SU01.
    2. Wprowadź użytkownika SAP (lub użytkownika, który chcesz mapować na logowanie jednokrotne) w polu nazwy, a następnie wybierz pozycję Edytuj.
    3. Wybierz kartę SNC i wpisz nazwę SNC skonfigurowaną w poprzednim zadaniu w formacie p:CN=UserPrincipalName@domain.

  3. Zainstaluj bezpieczne oprogramowanie logowania na komputerach klienckich.

  4. Konfigurowanie graficznego interfejsu użytkownika systemu SAP na potrzeby komunikacji SNC.

    1. W interfejsie Secure Network Settings (Bezpieczne ustawienia sieci) wpisz nazwę SNC w formacie p:CN=ServicePrincipalName@domain.
    2. Zainicjuj połączenie. Powinno nastąpić zalogowanie bez monitu o wprowadzenie hasła.