Johannes Behrndt
 - 2. Oktober 2019

SAP Fiori | Single-Sign-On-Möglichkeiten

Fiori Launchpad 2.0

In der realen Welt wird die Identität eines Menschen durch seinen Personalausweis repräsentiert. In der digitalen Welt hingegen besteht für einen Benutzer nicht die Möglichkeit, sich durch seinen Personalausweis an einem Konto oder einem System anzumelden. Besonders der Zugriff über mobile Applikationen wie zum Beispiel den SAP-Fiori-Apps auf sensible Geschäftsdaten muss abgesichert erfolgen.

Innerhalb der Identitätssicherheit im Internet existieren verschiedene Möglichkeiten, welche die Grundlagen für die sichere elektronische Kommunikation bereitstellen. Eine Möglichkeit ist der Einsatz von Single-Sign-On (SSO) Technologien. Single-Sign-On bietet dem Nutzer die Möglichkeit, sich durch eine einmalige Authentifizierung mittels Namen und Passwort, auf allen ihm zugewiesenen Ressourcen zuzugreifen.

E-Book: SAP Fiori

Wir erklären Ihnen, wie SAP Fiori in die SAP-Systemlandschaft einzuordnen ist und was die Technologie auszeichnet.

Innerhalb eines SAP Systems wird durch die einmalige Anmeldung am ABAP-Frontend Server, die automatische Authentifizierung für alle Anfragen zu den Backend Systemen ermöglicht. Es gibt verschiedene Empfehlungen SSO in Zusammenhang mit Ihren SAP-Fiori-Apps im Unternehmen einzusetzen die im Folgenden vorgestellt werden:

SAML 2.0

SAML steht für Security Assertion Markup Language. Aufgrund dessen, dass SAML auf XML basiert und damit auf einem weit verbreiteten Standard aufsetzt, bietet es einem Unternehmen verschiedene Anwendungsfälle durch die Plattformunabhängigkeit.

Der grobe Ablauf einer Authentifizierung mittels SAML 2.0 beginnt mit der Anfrage des Nutzers an einen Service. Der Service antwortet mit der Erstellung eines SAML-Anfrage (XML-Datei) und der Weiterleitung an einen Identity-Provider. Der Identity Provider liest die Anfrage ein, Authentifiziert den Nutzer und erstellt eine SAML-Antwort (XML-Datei).

Im nächsten Schritt wird die SAML-Antwort als XML-Datei an den ursprünglich angefragten Service zur Verifizierung geschickt. Sollte die Verifizierung erfolgreich sein, wird der Nutzer für den Service angemeldet und kann alle im zugeteilten Ressourcen nutzen.

Es wird empfohlen SAML einzusetzen, wenn noch keine Public-Key-Infrastruktur im Unternehmen eingerichtet ist.

X.509

Eine weitere Möglichkeit SSO einzusetzen ist die der zertifikatsbasierten Anmeldung. Diese Art der Anmeldung fällt unter die Two-Factor-Authentifizierung, da der Nutzer zur Anmeldung im Besitz eines Passworts und eines Zertifikats sein muss.

Das Zertifikat ist eine digitale Signatur welche von Zertifizierungsstellen herausgegeben wird und zusätzlich die Identität eines Besitzers des öffentlichen Schlüssels beglaubigt.

Das Zertifikat enthält verschiedene Informationen zum Inhaber wie bspw. den Namen des Besitzers, den Zeitraum für den das Zertifikat gültig ist oder den öffentlichen Schlüssel, der mittels des Zertifikats verifiziert wird. In diesem Zusammenhang ist X.509 der meist genutzte Standard für digitale Zertifikate. Er enthält unteranderem den Personen- und Servernamen, das benutzte Public-Key-Verfahren und den öffentlichen Schlüssel der Person und des Servers.

Eine zertifikatsbasierte Anmeldung mittels des X.509-Standards wird empfohlen, wenn eine Public-Key-Infrastruktur eingerichtet ist und eine Lösung für die Verwaltung von Client-Zertifikaten.

Kerberos

Die nächste Möglichkeit SSO im Unternehmen einzusetzen, stellt Kerberos dar. Bei Kerberos sind drei Parteien zur Authentifizierung beteiligt:

  • Der Client
  • Der Server, den der Client nutzen will
  • Der Kerberos-Server

Der Prozess basiert im Groben auf einem Ticketsystem. Möchte ein Client auf einen Server zugreifen, muss dieser sich erst ein Ticket für den entsprechenden Dienst besorgen. Dazu muss sich der Client zunächst auf dem Kerberos-Server anmelden und ein Ticket Granting Ticket (TGT) anfordern. Hierfür muss der Client ein Passwort auf dem Kerberos-Server abgeben.

Mit dem TGT wird es dem Client ermöglicht, weitere Tickets anzufordern, um auf die Dienste des Servers zuzugreifen ohne nochmal ein Passwort einzugeben. Zusätzlich wird auch ein Session Key zur Kommunikation zwischen dem Client und dem Kerberos Server vereinbart, welcher zur Verschlüsselung des Datenverkehrs dient.

Empfohlen wird Kerberos, wenn eine Kerberos/SPNego-Infrastruktur mit Microsoft Active Directory besteht.

In der nachfolgenden Tabelle werden die Eigenschaften der vorgestellten SSO-Methoden dargestellt:

Single Sign-on unter Fiori

Weitere Informationen zu diesem Thema hat SAP hier zusammengetragen.

Johannes Behrndt

Johannes Behrndt

Seit über 10 Jahren berate ich große und mittelständische Unternehmen rund um mobile Lösungen, insbesondere im SAP-Umfeld. Ich habe den Überblick über die relevanten SAP-Prozesse und kenne die neuesten Technologien für mobile Lösungen.

Sie haben Fragen? Kontaktieren Sie mich!



Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support