Single Sign-On für SAP-Systeme
Single Sign-On kann heute auf vielfältige Weise eingerichtet werden. Die kostengünstigste Variante ist sicherlich die Nutzung des Kerberos Protokolls, das seit einiger Zeit auch in Windows-Systemen zur Authentifizierung eingesetzt wird. Zwar unterstützt SAP diese Lösung nur für ABAP-Systeme, die auf dem Windows-Betriebssystem installiert sind, trotzdem ist Kerberos auch unter diversen Unix-Derivaten einsetzbar. So haben wir diese Lösung bereits unter AIX, HP-UX und Linux, ja sogar im OS/400-Umfeld installiert. Auch für Java-Systeme ist das Kerberos-Protokoll verfügbar. Falls Sie ein SAP-Portal einsetzen, nutzen Sie bestimmt schon das Single Sign-On, um eine wiederholte Anmeldung zu vermeiden. Einziger Wermutstropfen: Diese Version des Single Sign-On ist nur nutzbar, wenn die Anmeldung über das SAP GUI erfolgt.
Schwieriger wird der Zugriff auf Web-Services wie BSPs oder WebDynpro-Oberflächen. Denn hier wird zur Anmeldung neben dem üblichen Benutzer/Kennwort-Verfahren nur das X.509-Zertifikat oder das SAP Logon-Ticket angeboten. Die Logon-Tickets werden beispielsweise von einem SAP-Portal ausgestellt. Für die X.509-Zertifikate ist eine PKI-Infrastruktur erforderlich.
Sichern Sie sich folgende Vorteile durch den Einsatz der Single Sign-On Technik:
- Kennworte können nicht mehr vergessen werden
- Kennwörter müssen folglich auch nicht mehr zurückgesetzt werden, dies entlastet also die IT-Abteilungen
- Das Sicherheitsrisiko von Kennwörtern, die unverschlüsselt über das Netz übertragen werden, entfällt
- Lästige regelmässige Kennwortänderungen entfallen
- Die Effizienz der Anwender wird gesteigert, weil Anmeldeprozeduren und Kenwortpflege entfallen.
