Integrar o Active Directory com o logon único do SAP (Kerberos-SPNEGO)

  • 5 minutos

O Active Directory pode ser integrado com o logon único do SAP, configurando seu sistema SAP com SNC (comunicação de rede segura). A principal finalidade do SNC é proteger as conexões entre o servidor de aplicativos ABAP NetWeaver e os aplicativos externos, incluindo a SAP GUI. O SNC fornece uma interface para produtos de segurança externos que podem ser usados para habilitar o logon único.

Integrar o SSO do SAP ao Active Directory

  1. Configure o sistema SAP: a partir do NetWeaver ABAP versão 7.31, use os assistentes de configuração (transações SNCWIZARD e SPNEGO) em seu sistema SAP para configurar o SSO. Para versões anteriores do NetWeaver ABAP, ou se você não tiver acesso aos assistentes de configuração, poderá configurar o SSO manualmente:

    1. Crie um usuário do AD para ser usado como a conta de serviço para o sistema do NetWeaver ABAP (preferencialmente com uma senha sem validade).
    2. Use SETSPN para registrar o SPN (nome da entidade de serviço) do usuário criado na etapa anterior.
    3. Instale o CommonCryptoLib em seu sistema SAP.
    4. Defina o diretório SECUDIR (aquele em que o arquivo de tíquete de licença CommonCryptoLib e os arquivos PSE se encontram). Para definir um diretório como seu SECUDIR. diretório, crie uma nova variável de ambiente chamada SECUDIR e aponte-a para um diretório. Por exemplo: \usr\sap[SID]\DVEBMGS00\sec
    5. Na sua instância do SAP, defina os parâmetros de perfil que fazem referência ao local do sapcrypto.dll e ao SPN recém-criado.
    6. Reinicie a instância do SAP.
    7. Crie o arquivo Keytab do Kerberos e o arquivo PSE Cryptolib do SAP para SNC baseado em Kerberos.

  2. Configure o mapeamento de usuário:

    1. Entre na sua instância do SAP via SAPGUI e execute a transação SU01.
    2. Insira seu usuário SAP (ou o usuário que você deseja mapear para SSO) no campo de nome e selecione Editar.
    3. Selecione a guia SNC e digite o nome do SNC configurado na tarefa anterior no formato p:CN=UserPrincipalName@domain.

  3. Instale o software de logon seguro em computadores cliente.

  4. Configure a GUI do SAP para comunicação SNC.

    1. Na interface Configurações de Rede Segura, digite o nome do SNC no formato p:CN=ServicePrincipalName@domain.
    2. Inicie uma conexão. Você deve ser conectado sem ser solicitado a inserir uma senha.