Webinar // Single Sign-On: Überblick und Lösungen

www.ibsolution.de © IBSolution GmbH

Single Sign-on:Überblick und Lösungen

27. Juni 2011

Andreas Zickner

Martin Nussbaumer

IBSolution GmbH

Webinar-Reihe 2011


IBSolution GmbH - Webinar-Reihe 2011

Willkommen zum Webinar„ Single Sign-on: Überblick und Lösungen“

Die Unterlagen finden Sie nach dem Webinar unter: http://www.slideshare.net/IBSolutionGmbHhttp://www.youtube.com/IBSolution

Weitere Webinar-Termine:

11.07.2011 // Mobile SAP-Anwendungen auf iPad, iPhone, Blackberry & Co.

22.08.2011 // Architekturen für mobile Anwendungen

12.09.2011 // Stammdatenmanagement mit SAP MDM & SAP BPM

19.09.2011 // SAP NetWeaver Identity Management

07.11.2011 // Reporting mit SAP BW7.3 und SAP BO4.0

Infos und Anmeldung über www.ibsolution.de/veranstaltungen

http://www.slideshare.net/IBSolutionGmbH


http://www.ibsolution.de/veranstaltungen


Ihre Moderatoren

Martin Nußbaumer Chat-Moderatorin:Linda Vogt

Andreas Zickner


Über IBSolution

Gründung 2003 / Mitarbeiter: über 100

Heilbronn Berlin Neuss München Zürich Sofia

Klare und konsequente Fokussierung auf unsere zwei Geschäftsfelder Unternehmensteuerung und Geschäftsprozessoptimierung

Wir vereinigen umfassendes Geschäftsprozess- mit tiefen Technologie KnowHow

Enge Partnerschaft mit der SAP (SAP Special Expertise Partner in allen Beratungsfeldern)

Enge Zusammenarbeit mit unserem Strategiepartner Horváth & Partners

Trendsetter durch eigene Forschungs-und Entwicklungsabteilung


Chat-Funktion für Fragen / Einstellungen

Teilnehmer sind während der Präsentation stumm geschaltet

Bitte nutzen Sie für Fragen die Chat-Funktion (siehe Bild rechts unten)

Zum Ende des Webinars wird gesammelt auf die Fragen eingegangen

Panel ein-/ ausblenden

Chat

Fenstergröße anpassen:


AGENDA

1. Begrüßung und Einführung

2. Themen Einordnung

3. SSO im Überblick

4. Kundenbeispiel

5. SAP NetWeaver Single Sign On (SECUDE)

6. Q & A


IT Sicherheit

Ihre Einordung

07.06.11


IT Sicherheit

Ihre Einordung – Bewertung der einzelnen Sicherheitsmaßnahmen im Gesamtkontext

SAP

Prozesse

OS DB

Infrastruktur

Gesamte Sicherheit


IT Sicherheit

Ihre Einordung – ausgewogene gesamte Sicherheit

SAP

Prozesse

OS DB

Infrastruktur

Gesamte Sicherheit


Problemstellung

Historisch gewachsen

http://eroonkang.com/16x16/?tag=everything


Problemstellung

Änderungen in den IT Organisationen

http://www.mbcomms.com/images/mergers_acquisitions.jpghttp://wallpaper.1000webgames.com/wallpapers/nature_landscape_wallpaper_73-1600x1200.jpghttp://vistawallpapers.files.wordpress.com/2007/03/vista-wallpaper-desert-landscape.jpg?w=510


Problemstellung

Kontokennungen, Passwörter, Support

http://test.ical.ly/wp-content/uploads/2010/10/being-different-f-200x300.jpghttp://androidsoftwaredownload.com/upload/androidapp/Password_Safe/Password_Safe_0.1.0.pnghttp://escapefromindia.files.wordpress.com/2009/01/microsoft_tech_support.jpg?w=400&h=593


SSO Überblick

07.06.11wir stellen uns vor


Übersicht SAP SSO & Begriffe

Benutzer / Passwort

SAP Logon Tickets

Cookies im Webbrowser

Kerberos

Zum Beispiel Anbindung an den AD Kerberos Service

SNC (Secure Network Communication)

SAP GUI Logon

Zertifikate (auch smartcards)

Zum Beispiel vom AD ausgestellte Zertifikate im Browser

SAML (Security Assertion Markup Language)

Identity und Service Provider

OpenID

Vgl. mit SAML ‚nur„ in übergreifenden Szenarien.

Mögliche SAP SSO Technologien


Übersicht SAP SSO & Begriffe

Relevante Authentifizierungsmechanismen für SAP Netweaver 7.0 EP1

SAP SSO Support

Funktionalität Authentifi-

zierung

AS ABAP AS Java

Benutzer/Passwort X X X

SAP Logon Ticket X X

SPNEGO (Kerberos) X X

SNC (SAP GUI, Kerberos) X X

Zertifikate (X.509) X X X

SAML1) SP SP

1) IDP mit NW 7.2 auf Basis vom Identity Center

https://cw.sdn.sap.com/cw/docs/DOC-43528


Kundenbeispiel



Kundenbeispiel für SSO

Mittelständisches Unternehmen

Der Kunde

• 450 SAP Benutzer• MS Active Directory• SAP Netweaver

Ausgangslage

• Einführung IdM & Portal• Verschiedene Benutzerkennungenin verschiedenen SAP Systemen

Architektur

• Verwendung von Zertifikaten fürSingle Sign On

• Eigene „einfache‟ CertificateAuthority (CA) auf Basis Windows 2003

Nutzen

• Kein Passwort Rollout• Verwendung der Zertifikaten auchin exsitierenden SAP Systemen

• Stufenweise Einführung von SSO


Das erweiterte Portfolio

SAP NetWeaver Single Sign On (Secude)




Secure Login

Enterprise SSO

Einbindung in Windows Anmeldeprozess

Plugins für Browser

Angekündigt: Enterprise Single Sign-On Management Console

Identity Federation (SAML 2.0)

Identity Provider

Secure Token Service (X.509 Zertifikate)

Frei verfügbar

Verschlüsselung (Kommunikationsebene)

Authentizität und Integrität der Daten

Basiert auf SNC und Kerberos

Geplante Verfügbarkeit Ende 2011 als Teil der SAP GUI Installation

Web Access Management (WAM)

Integration mit CA SiteMinder, Web Single Sign On

Inhalt



Szenarien (SAP)

für SAP GUI Windows mit Kerberos

für SAP GUI Windows mit Smart Card und bestehender PKI

für SAP GUI Windows und/oder Web Applikationen mit Zertifikaten

installationsfreie Client-Option für Browser und SAP GUI

Bestandteile

Secure Login Libraries (Bibliotheken für SAP NW Platform)

Secure Login Client (Desktop Anwendung für SAP GUI SSO)

Secure Login Server

• Secure Login Web Client (vgl. Secure Login Client)

• Eigenständige Server Komponente für eine zentrale Login Verwaltung

Secure Login


1. SAP NetWeaver Single Sign On (Secude)

Kerberos und SAP GUI für Windows

SAP Business

Suite

MicrosoftActive

Directory

Anwender meldet sich am Betriebssystem an

Startet SAP GUI

Anfrage SSO-Token

Anmeldung über Token

verschlüsselteVerbindung

1

2 3

4

SAP

SAP NW SSO

SAP

NW

SSO


Neu mit SAP NetWeaver Single Sign On (Secude)

Weiter Unterstützung von AS ABAP Plattformen (AIX, HP-UX, Linux, SUN, Windows)

Verschlüsselte Kommunikation zwischen GUI und AS

1. Single Sign-On für die SAP GUI in Windows mit Kerberos


zierung

AS ABAP AS Java






SAML1) SP SP


SAP Business

Suite

MicrosoftCertificate

Store

Anwender meldet sich am Betriebssystem per Smart Card an

Startet SAP GUI

SSO-Anfrage

SSO-Ticket

Anmeldung über Ticket

verschlüsselteVerbindung

1

2 3

4

SAP

2. SAP SAP NetWeaver Single Sign On (Secude)

Smart Card, PKI und SAP GUI für Windows

PKI

SAP NW SSO

SAP

NW

SSO

This presentation and SAP„s strategy and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This document is provided

without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.



Reine Authentifizierung mittels Zertifikaten

Einbindung einer vorhandenen Public Key Infrastruktur

Weiter Unterstützung von AS ABAP Plattformen (AIX, HP-UX, Linux, SUN, Windows)


2. Single Sign-On für SAP GUI für Windows mit Smart Card und bestehender PKI


zierung

AS ABAP AS Java






SAML1) SP SP


Startet SAP GUI

Generiert“Ticket”

Auth-Anfrageam SAP NetWeaverSingle Sign-On

1

42

Anmeldung überTicket und verschlüsselteVerbindung

5

SAP Business

SuiteAnwender

SAP

Authentisierungs-Server

...


Zertifikate, SAP GUI für Windows, Web Applikationen

SAP NW SSO

SAP NW SSO

Login Server

SAP

NW

SSO

Validierungdes Benutzers

3





Heterogen Unterstützung von AS ABAP/Java Plattformen

Verwendung von temporären Zertifikaten (Login Server)

Einbindung von existierenden PKI Lösungen


3. Single Sign-On für SAP GUI für Windows und/oder Web Applications mit Zertifikaten


zierung

AS ABAP AS Java






SAML1) SP SP



Installationsfreie Client-Option für Browser und SAP GUI

Prüfung

SAP

12

3

4

SSO und Kommunikations-Verschlüsselung

Client

..

.

SAP NW SSO

SecureLogin Server

Web-Interface

SAP NW AppServ

SAPNetweaver Application

Server Java/ABAP

Authentisierungs-Server

...

SAP NW SSO

SAP NW SSO





Heterogen Unterstützung von AS ABAP/Java Plattformen

Verwendung von temporären Zertifikaten (Login Server)

Weiter Unterstützung von Client Betriebssystemen

Einbindung von existierenden PKI Lösungen


4. Single Sign-On Installationsfreie Client-Option für Browser und SAP GUI


zierung

AS ABAP AS Java






SAML1) SP SP



Identity Provider mit Secure Login Server (nicht nur mit IdM)

Security Token Service ermöglicht die Authentifizierung (X.509) und SAML 1.1 Anbindung

SSO für Web Services

Identity Federation


zierung

AS ABAP AS Java






SAML1) SP SP


IBSolution GmbH - Webinar-Reihe 2011

Vielen Dank für Ihre Teilnahme!

Die Unterlagen finden Sie in Kürze unter: http://www.slideshare.net/IBSolutionGmbHhttp://www.youtube.com/IBSolution

Weitere Webinar-Termine:

11.07.2011 // Mobile SAP-Anwendungen auf iPad, iPhone, Blackberry & Co.

22.08.2011 // Architekturen für mobile Anwendungen

12.09.2011 // Stammdatenmanagement mit SAP MDM & SAP BPM

19.09.2011 // SAP NetWeaver Identity Management

07.11.2011 // Reporting mit SAP BW7.3 und SAP BO4.0

Infos und Anmeldung über www.ibsolution.de/veranstaltungen




http://www.ibsolution.de/veranstaltungen


IBSolution GmbH

Salzstrasse 140

D - 74076 Heilbronn

www.ibsolution.de

MARTIN NUSSBAUMER

Webinar // Single Sign-On: Überblick und Lösungen

Business

Transcript of Webinar // Single Sign-On: Überblick und Lösungen