Integrar o Ative Directory com o logon único do SAP (Kerberos-SPNEGO)

  • 5 minutos

O Ative Directory pode ser integrado ao logon único SAP configurando seu sistema SAP com SNC (Secure Network Communication). O principal objetivo do SNC é proteger as conexões entre o servidor de aplicativos NetWeaver ABAP e aplicativos externos, incluindo SAP GUI. O SNC fornece uma interface para produtos de segurança externos que podem ser usados para habilitar o logon único.

Integre o SAP SSO ao Ative Directory

  1. Configurar o sistema SAP: A partir do NetWeaver ABAP versão 7.31, use os assistentes de configuração (transações SNCWIZARD e SPNEGO) em seu sistema SAP para configurar o SSO. Para versões anteriores do NetWeaver ABAP, ou se você não tiver acesso aos assistentes de configuração, poderá configurar o SSO manualmente:

    1. Crie um novo usuário do AD para ser usado como a conta de serviço para o sistema NetWeaver ABAP (de preferência com uma senha que não expira).
    2. Use SETSPN para registrar o SPN (Nome da Entidade de Serviço) do usuário criado na etapa anterior.
    3. Instale o CommonCryptoLib no seu sistema SAP.
    4. Defina o diretório SECUDIR (o diretório SECUDIR é o diretório onde residem o arquivo de tíquete de licença CommonCryptoLib e os arquivos PSE). Para definir um diretório como seu SECUDIR. , crie uma nova variável de ambiente chamada SECUDIR e aponte-a para um diretório. Por exemplo: \usr\sap[SID]\DVEBMGS00\sec
    5. Em sua instância SAP, defina os parâmetros de perfil fazendo referência ao local do sapcrypto.dll e do SPN recém-criado.
    6. Reinicie a instância SAP.
    7. Crie o arquivo Kerberos Keytab e o arquivo SAP Cryptolib PSE correspondente para SNC baseado em Kerberos.

  2. Configure o mapeamento do usuário:

    1. Faça login na sua instância SAP via SAPGUI e execute a transação SU01.
    2. Insira seu usuário SAP (ou o usuário que você deseja mapear para SSO) no campo de nome e selecione Editar.
    3. Selecione a guia SNC e digite o nome SNC que você configurou na tarefa anterior no formato p:CN=UserPrincipalName@domain.

  3. Instale o software de login seguro nos computadores clientes.

  4. Configure o SAP GUI para comunicação SNC.

    1. Na interface Configurações de Rede Segura, digite o nome SNC no formato p:CN=ServicePrincipalName@domain.
    2. Inicie uma conexão. Você deve estar conectado sem ser solicitado a inserir uma senha.