Интеграция Active Directory с единым входом SAP (Kerberos-SPNEGO)

  • 5 мин

Active Directory можно интегрировать с единым входом SAP, настроив в системе SAP возможность SNC (безопасное сетевое взаимодействие). Основным назначением SNC является обеспечение безопасности подключений между сервером приложений NetWeaver ABAP и внешними приложениями, включая графический интерфейс SAP. SNC предоставляет интерфейс для внешних продуктов безопасности, которые можно использовать для включения единого входа.

Интеграция единого входа SAP с Active Directory

  1. Настройка системы SAP. Начиная с NetWeaver ABAP версии 7.31 для настройки единого входа в системе SAP следует использовать мастер настройки (транзакции SNCWIZARD и SPNEGO). В более ранних версиях NetWeaver ABAP или при отсутствии доступа к мастерам настройки единый вход можно настроить вручную, выполнив следующие действия.

    1. Создайте нового пользователя AD, который будет использоваться в качестве учетной записи службы для системы NETWeaver ABAP (желательно с неэкспирующим паролем).
    2. С помощью SETSPN зарегистрируйте имя субъекта-службы для пользователя, созданного на предыдущем шаге.
    3. Установите CommonCryptoLib в системе SAP.
    4. Задайте каталог SECUDIR (каталог SECUDIR — это каталог, в котором хранятся файл билета лицензирования CommonCryptoLib и файлы PSE). Чтобы задать каталог в качестве SECUDIR. каталог, создайте новую переменную среды с именем SECUDIR и укажите ее в каталог. Например: \usr\sap[SID]\DVEBMGS00\sec
    5. В экземпляре SAP задайте параметры профиля, которые указывают расположение файла sapcrypto.dll и только что созданного имени участника-службы.
    6. Перезапустите экземпляр SAP.
    7. Создайте файл keytab для Kerberos и соответствующий ему PSE-файл SAP Cryptolib для протокола SNC на основе Kerberos.

  2. Настройка сопоставления пользователей:

    1. Войдите в экземпляр SAP через SAPGUI и запустите транзакцию SU01.
    2. В поле имени введите имя пользователя SAP (или другого пользователя, для которого нужно настроить единый вход) и щелкните Edit (Изменить).
    3. Выберите вкладку SNC и введите имя SNC , настроенное в предыдущей задаче, в формате p:CN=UserPrincipalName@domain.

  3. Установите программное обеспечение для безопасного входа на клиентские компьютеры.

  4. Настройка ГРАФИЧЕСКОго интерфейса SAP для связи SNC.

    1. В интерфейсе параметров безопасной сети введите имя SNC в формате p:CN=ServicePrincipalName@domain.
    2. Создайте подключение. При входе не должно появляться запросов на ввод пароля.