Los tickets de inicio de sesión de SAP representan las credenciales de usuario en los sistemas SAP . Cuando está habilitado, los usuarios pueden acceder a múltiples aplicaciones y servicios de SAP a través de la GUI de SAP y los navegadores web sin más entradas de nombre de usuario y contraseña por parte del usuario. Los tickets de inicio de sesión de SAP también pueden ser un vehículo para habilitar el inicio de sesión único a través de los límites de SAP; en algunos casos, los tickets de inicio de sesión se pueden utilizar para autenticarse en aplicaciones de terceros, como aplicaciones web basadas en Microsoft. [1]
Operación
- El usuario solicita acceso a un recurso en el servidor de aplicaciones SAP NetWeaver.
- El recurso requiere autenticación.
- El servidor de aplicaciones SAP NetWeaver autentica al usuario, con ID de usuario y contraseña, por ejemplo.
- El servidor de aplicaciones SAP NetWeaver emite un ticket de inicio de sesión de SAP para el usuario.
- El ticket de inicio de sesión de SAP se almacena en el navegador del usuario como una cookie HTTP no persistente .
- Cuando el usuario se autentica con otra aplicación, el cliente del usuario presenta el boleto de inicio de sesión de SAP.
Composición
- ID de usuario
- Fecha (s) de validez
- Sistema emisor
- Firma digital
- Método de autentificación
Propiedades notables
A continuación se muestra una breve lista de propiedades importantes de SAP NetWeaver Application Server Java para SAP Logon Tickets. [2]
- login.ticket_client: una cadena numérica de tres caracteres que se utiliza para indicar el cliente que está escrito en el ticket de inicio de sesión de SAP
- login.ticket_lifetime: indica el período de validez del boleto en términos de horas y minutos (es decir, HH: MM)
- login.ticket_portalid - yes / no / auto para escribir el ID del portal en el ticket
- ume.login.mdc.hosts: permite que SAP NetWeaver Application Server Java solicite tickets de inicio de sesión de hosts fuera del dominio del portal
- ume.logon.httponlycookie: verdadero / falso para seguridad contra código de script malicioso del lado del cliente, como JavaScript
- ume.logon.security.enforce_secure_cookie: refuerza la comunicación SSL
- ume.logon.security.relax_domain.level: relaja los subdominios para los que el ticket de inicio de sesión de SAP es válido
Inicio de sesión único
Los tickets de inicio de sesión de SAP se pueden utilizar para el inicio de sesión único a través de SAP Enterprise Portal. SAP proporciona un filtro de servidor web que se puede utilizar para una autenticación a través de la variable de encabezado http y una biblioteca de enlace dinámico para verificar los tickets SSO en software de terceros que se puede utilizar para proporcionar soporte nativo para los tickets de inicio de sesión de SAP en aplicaciones escritas en C o Java.
Filtro de servidor web
El filtro está disponible desde SAP Enterprise Portal 5.0 en adelante. Aprovechar el filtro para el inicio de sesión único requiere que la aplicación basada en web admita la autenticación de variable de encabezado http . El filtro autentica el ticket de inicio de sesión mediante el certificado digital del portal empresarial. Después de la autenticación, el nombre del usuario, del ticket de inicio de sesión, se extrae y se escribe en el encabezado http. Se puede realizar una configuración adicional a la variable de encabezado http en el archivo de configuración del filtro (es decir, remote_user_alias).
Integración con plataformas de gestión de identidad y acceso
- Tivoli Access Manager ha desarrollado un servicio de autenticación compatible con SAP Logon Tickets [3]
- Sun ONE Identity ha desarrollado una solución en la que las empresas pueden utilizar SAP Internet Transaction Server (ITS 2.0) y SAP Pluggable Authentication Service (PAS) para la integración con SAP para el inicio de sesión único. Este método utiliza tickets de inicio de sesión para el inicio de sesión único y SAPCRYPTOLIB (biblioteca de cifrado de SAP) para el cifrado de servidor a servidor de SAP. La solución de Sun utiliza el método de autenticación externa de bibliotecas dinámicas (DLL). [4]
- IBM Lotus Domino se puede utilizar como un componente técnico de verificación de tickets [5]
Disponibilidad
- Windows , servidor de información de Internet de Microsoft
- Servidor HTTP Apache
- Servidor web Oracle iPlanet
Biblioteca de enlaces dinámicos
SAP proporciona archivos de muestra de Java y C que pueden proporcionar algunas pistas sobre cómo se puede implementar la biblioteca en el código fuente de un lenguaje de programación de alto nivel como Visual Basic, C o Java.
Inicio de sesión único en aplicaciones web de Microsoft
Las aplicaciones basadas en web de Microsoft generalmente solo admiten los métodos de autenticación de autenticación básica o autenticación integrada de Windows (Kerberos) que proporciona Internet Information Server. Sin embargo, Kerberos no funciona bien en Internet debido a la configuración típica de los firewalls del lado del cliente. El inicio de sesión único en los sistemas backend de Microsoft en escenarios de extranet se limita al mecanismo de contraseña de identificación de usuario. SAP desarrolló el módulo SSO22KerbMap basándose en la nueva función denominada transición de protocolo mediante la delegación restringida. Este nuevo filtro ISAPI solicita un boleto Kerberos restringido para los usuarios identificados por un boleto de inicio de sesión de SAP válido que se puede usar para SSO en aplicaciones basadas en web de Microsoft en el back-end. [6]
Inicio de sesión único en entornos Java que no son de SAP
Es posible utilizar SAP Logon Tickets en un entorno Java que no sea de SAP con una codificación personalizada menor. [7] [8]
Integración en sistemas SAP
ABAP
Los tickets de inicio de sesión permiten el inicio de sesión único en los servidores de aplicaciones ABAP. [9] Sin embargo, existen requisitos previos:
- Los nombres de usuario deben ser los mismos para todos los sistemas SAP para los que el usuario desea un inicio de sesión único. Las contraseñas pueden ser diferentes.
- Los navegadores web deben configurarse para aceptar cookies.
- Todos los servidores web para servidores ABAP deben colocarse en el mismo DNS
- El servidor de emisión debe ser capaz de firmar digitalmente las entradas de inicio de sesión (es decir, en clave pública y la clave privada se requieren).
- Los sistemas que aceptan tickets de inicio de sesión deben tener acceso al certificado de clave pública del servidor emisor.
J2EE
Los servidores Java permiten el inicio de sesión único en servidores de aplicaciones Java. [10] Sin embargo, existen requisitos previos:
- Los nombres de usuario deben ser los mismos para todos los sistemas SAP para los que el usuario desea un inicio de sesión único. Las contraseñas pueden ser diferentes.
- Los navegadores web deben configurarse para aceptar cookies.
- Todos los servidores web para servidores ABAP deben colocarse en el mismo DNS
- Los relojes para aceptar boletos se sincronizan con el reloj del servidor emisor.
- El servidor de emisión debe ser capaz de firmar digitalmente las entradas de inicio de sesión (es decir, en clave pública y la clave privada se requieren).
- Los sistemas que aceptan tickets de inicio de sesión deben tener acceso al certificado de clave pública del servidor emisor.
Características de seguridad
- Firmado digitalmente por el servidor del portal de SAP
- Utiliza criptografía asimétrica para establecer una relación de confianza unidireccional entre los usuarios y los sistemas SAP
- Protegido en transporte vía SSL
- Período de validez que se puede configurar en la configuración de seguridad del SAP Enterprise Portal
Desafíos de seguridad
- Los tickets de inicio de sesión de SAP no utilizan comunicaciones de red seguras (SNC)
- Problemas típicos relacionados con la seguridad de las cookies almacenadas en un navegador web. Los ejemplos incluyen: [11]
- Copiar el boleto de inicio de sesión de SAP a través del rastreo de tráfico de red o la ingeniería social y almacenarlo en otra computadora para acceder al SAP Enterprise Portal
Alternativas a los tickets de inicio de sesión de SAP
- Agregación de cuentas a través de SAP NetWeaver
- Utilice la tecnología de inicio de sesión único basada en comunicaciones de red seguras de proveedores de seguridad de software independientes
Inicio de sesión único seguro basado en comunicaciones de red
Agregación de cuentas
Enterprise Portal Server mapea la información del usuario, es decir, la identificación del usuario y la contraseña, para permitir que los usuarios accedan a sistemas externos. Este enfoque requiere que se mantengan los cambios de nombre de usuario y / o contraseña de una aplicación de back-end al portal. Este enfoque no es viable para los sistemas backend basados en la web porque las actualizaciones de seguridad anteriores de Microsoft ya no admiten el manejo de nombres de usuario y contraseñas en HTTP, con o sin Secure Sockets Layer (SSL) y URL HTTPS en Internet Explorer
El uso de la agregación de cuentas tiene varios inconvenientes. En primer lugar, requiere que un usuario del portal de SAP tenga que mantener una identificación de usuario y una contraseña para cada aplicación que utilice la agregación de cuentas. Si la contraseña en una aplicación de backend cambia, el usuario del portal SAP también debe mantener las credenciales almacenadas. Aunque la agregación de cuentas se puede usar como una opción donde ninguna otra solución podría funcionar, causa una sobrecarga administrativa significativa.
El uso de la agregación de cuentas para acceder a un sistema backend basado en web que está configurado para usar autenticación básica da como resultado el envío de una URL que contiene el nombre de usuario y la contraseña. MS04-004, [12] una actualización de seguridad de Microsoft publicada en 2004, elimina el soporte para manejar nombres de usuario y contraseñas en HTTP y HTTP con Secure Sockets Layer (SSL) o URL HTTPS en Microsoft Internet Explorer. La siguiente sintaxis de URL ya no es compatible con Internet Explorer si se ha aplicado este parche de seguridad:
- http (s): // nombre de usuario: contraseña@servidor/resource.ext
Ver también
Referencias
- ^ Uso de tickets de inicio de sesión de SAP para inicio de sesión único en aplicaciones web basadas en Microsoft
- ^ Ticket de inicio de sesión
- ^ Autenticación de un ticket de inicio de sesión de SAP en Tivoli Access Manager e-business WebSEAL
- ^ Solución de inicio de sesión único para SAP Internet Transaction Server 2.0
- ^ Componentes técnicos del verificador de entradas
- ^ Uso de tickets de inicio de sesión de SAP para inicio de sesión único
- ^ Validación de tickets de inicio de sesión de SAP con Java
- ^ Soporte MySAP SSO
- ^ Uso de tickets de inicio de sesión
- ^ Uso de tickets de inicio de sesión para inicio de sesión único
- ^ Preguntas frecuentes de seguridad de W3 sobre cookies del navegador
- ^ MS04-004: Actualización de seguridad acumulativa para Internet Explorer
enlaces externos
- Configuración de tickets de inicio de sesión de SAP
- Ejemplos de pilas de módulos de inicio de sesión para usar tickets de inicio de sesión
- Prueba del uso de tickets de inicio de sesión
- Configuración de sistemas de componentes para SSO con tickets de inicio de sesión
- Administración al usar tickets de inicio de sesión