SAP Fiori | Single-Sign-On-Möglichkeiten

Fiori Launchpad 2.0

In der realen Welt wird die Identität eines Menschen durch seinen Personalausweis repräsentiert. In der digitalen Welt hingegen besteht für einen Benutzer nicht die Möglichkeit, sich durch seinen Personalausweis an einem Konto oder einem System anzumelden. Besonders der Zugriff über mobile Applikationen wie zum Beispiel den SAP-Fiori-Apps auf sensible Geschäftsdaten muss abgesichert erfolgen.

Innerhalb der Identitätssicherheit im Internet existieren verschiedene Möglichkeiten, welche die Grundlagen für die sichere elektronische Kommunikation bereitstellen. Eine Möglichkeit ist der Einsatz von Single-Sign-On (SSO) Technologien. Single-Sign-On bietet dem Nutzer die Möglichkeit, sich durch eine einmalige Authentifizierung mittels Namen und Passwort, auf allen ihm zugewiesenen Ressourcen zuzugreifen.

SAP Fiori

E-Book: SAP Fiori

Wir erklären Ihnen, wie SAP Fiori in die SAP-Systemlandschaft einzuordnen ist und was die Technologie auszeichnet.

Innerhalb eines SAP Systems wird durch die einmalige Anmeldung am ABAP-Frontend Server, die automatische Authentifizierung für alle Anfragen zu den Backend Systemen ermöglicht. Es gibt verschiedene Empfehlungen SSO in Zusammenhang mit Ihren SAP-Fiori-Apps im Unternehmen einzusetzen die im Folgenden vorgestellt werden:

SAML 2.0

SAML steht für Security Assertion Markup Language. Aufgrund dessen, dass SAML auf XML basiert und damit auf einem weit verbreiteten Standard aufsetzt, bietet es einem Unternehmen verschiedene Anwendungsfälle durch die Plattformunabhängigkeit.

Der grobe Ablauf einer Authentifizierung mittels SAML 2.0 beginnt mit der Anfrage des Nutzers an einen Service. Der Service antwortet mit der Erstellung eines SAML-Anfrage (XML-Datei) und der Weiterleitung an einen Identity-Provider. Der Identity Provider liest die Anfrage ein, Authentifiziert den Nutzer und erstellt eine SAML-Antwort (XML-Datei).

Im nächsten Schritt wird die SAML-Antwort als XML-Datei an den ursprünglich angefragten Service zur Verifizierung geschickt. Sollte die Verifizierung erfolgreich sein, wird der Nutzer für den Service angemeldet und kann alle im zugeteilten Ressourcen nutzen.

Es wird empfohlen SAML einzusetzen, wenn noch keine Public-Key-Infrastruktur im Unternehmen eingerichtet ist.

X.509

Eine weitere Möglichkeit SSO einzusetzen ist die der zertifikatsbasierten Anmeldung. Diese Art der Anmeldung fällt unter die Two-Factor-Authentifizierung, da der Nutzer zur Anmeldung im Besitz eines Passworts und eines Zertifikats sein muss.

Das Zertifikat ist eine digitale Signatur welche von Zertifizierungsstellen herausgegeben wird und zusätzlich die Identität eines Besitzers des öffentlichen Schlüssels beglaubigt.

Das Zertifikat enthält verschiedene Informationen zum Inhaber wie bspw. den Namen des Besitzers, den Zeitraum für den das Zertifikat gültig ist oder den öffentlichen Schlüssel, der mittels des Zertifikats verifiziert wird. In diesem Zusammenhang ist X.509 der meist genutzte Standard für digitale Zertifikate. Er enthält unteranderem den Personen- und Servernamen, das benutzte Public-Key-Verfahren und den öffentlichen Schlüssel der Person und des Servers.

Eine zertifikatsbasierte Anmeldung mittels des X.509-Standards wird empfohlen, wenn eine Public-Key-Infrastruktur eingerichtet ist und eine Lösung für die Verwaltung von Client-Zertifikaten.

Kerberos

Die nächste Möglichkeit SSO im Unternehmen einzusetzen, stellt Kerberos dar. Bei Kerberos sind drei Parteien zur Authentifizierung beteiligt:

  • Der Client
  • Der Server, den der Client nutzen will
  • Der Kerberos-Server

Der Prozess basiert im Groben auf einem Ticketsystem. Möchte ein Client auf einen Server zugreifen, muss dieser sich erst ein Ticket für den entsprechenden Dienst besorgen. Dazu muss sich der Client zunächst auf dem Kerberos-Server anmelden und ein Ticket Granting Ticket (TGT) anfordern. Hierfür muss der Client ein Passwort auf dem Kerberos-Server abgeben.

Mit dem TGT wird es dem Client ermöglicht, weitere Tickets anzufordern, um auf die Dienste des Servers zuzugreifen ohne nochmal ein Passwort einzugeben. Zusätzlich wird auch ein Session Key zur Kommunikation zwischen dem Client und dem Kerberos Server vereinbart, welcher zur Verschlüsselung des Datenverkehrs dient.

Empfohlen wird Kerberos, wenn eine Kerberos/SPNego-Infrastruktur mit Microsoft Active Directory besteht.

In der nachfolgenden Tabelle werden die Eigenschaften der vorgestellten SSO-Methoden dargestellt:

Single Sign-on unter Fiori

Weitere Informationen zu diesem Thema hat SAP hier zusammengetragen.

Johannes Behrndt

Johannes Behrndt

Seit über 10 Jahren berate ich große und mittelständische Unternehmen rund um mobile Lösungen, insbesondere im SAP-Umfeld. Ich habe den Überblick über die relevanten SAP-Prozesse und kenne die neuesten Technologien für mobile Lösungen.

Sie haben Fragen? Kontaktieren Sie mich!



Das könnte Sie auch interessieren

Je nach Anforderung des Nutzers einer Fiori-Applikation lassen sich drei verschiedenen Fiori App Typen unterscheiden. Wir unterscheiden diese in…

weiterlesen

Eines der erklärten Ziele von Fiori ist es, die Interaktion mit den Anwendungen für den Nutzer möglichst einfach zu gestalten. Ein Konzept, welches es hierfür im privaten Bereich schon länger […]

weiterlesen

Dass SAP mit Fiori noch so einiges in Planung hat, um die SAP-Oberflächen aller Endanwender auf ein neues Level zu heben und die User Experience noch weiter zu optimieren, war […]

weiterlesen

6 Kommentare zu "SAP Fiori | Single-Sign-On-Möglichkeiten"

Hallo Johannes,
Danke schön für die schöne Erklärung.

Benötigt SSO immer ein Active Directory ?

Danke

Antworten
Claudia Bolten - 4. Januar 2023 | 11:21

Hallo,

hier die Antwort unseres Experten:
Die klassische Anwendung von SSO funktioniert wie folgt: “Ich logge mich an meinem Windows-PC an und brauche dann kein Login mehr mit Username und PW am SAP System (z.B. Fiori).” Hierzu wird dann schon ein Windows Active Directory oder auch Azure benötigt.

Viele Grüße
Ihre mission-mobile.de-Redaktion

Antworten

Hallo Herr Behrndt
Welche SSO Protokol (SAML, x.509, Kerberos) ist am besten für eine S/4hana Systemlandschaft (wo Fiori, oData, Kataloge) genutzt werden, ebenso zugriff auf Cloud Systeme benötigt wird ?
Active DIrectory ist schon vorhanden.
Ich habe so verstanden, dass X.509 für so ein Szenario am besten geeignet ist, ist das richtig ?

Danke schön
Beste Grüße
Hening

Antworten
Claudia Bolten - 11. April 2023 | 09:08

Hallo und danke für die Frage!

Hier die Antwort unserer Expertin:

“Was am besten ist, hängt ein bisschen von den Anforderungen ab und ein bisschen von dem, was schon da ist bzw. was investiert werden soll. Diese Frage wird von uns normalerweise in einem Workshop mit einem Experten geklärt. In der Regel wird eine SSO-Lizenz für die SAP GUI Anmeldungen benötigt. SAML benötigt zusätzlich noch einen IDP und der SLS muss konfiguriert werden. Kerberos kann über SPNEGO auch für Fiori-Anwendungen genutzt werden. Für die X509-Technologie muss auch eine Zertifikats-Infrastruktur vorhanden sein – wer stellt die Client-Zertifikate aus und verteilt sie entsprechend? Es ist auch möglich mehrere Protokolle zu mischen. Z. B. Kerberos mit SSO und SLC für SAP GUI und SAML für Fiori. Für die Cloud-Systeme wird in der Regel SAML oder OpenID Connect verwendet – aber auch hier benötigt SAML natürlich einen IDP. In Richtung der On-Premise-Welt können auch verschiedene Protokolle (i. d. R. SAML oder Principal Propagation (X509)) genutzt werden, auch hier können Mischformen sinnvoll sein. Was die beste Lösung ist, ist entsprechend individuell.”

Viele Grüße
Ihre Redaktion von mission-mobile.de

Antworten

Hallo Johannes,
Wenn man z.b Kerberos mit SSO/SPnego implementiert und SAML für SAP BTP, zum Beispiel.
Muss man sich dann drei mal anmelden ?
Also ein mal bei einem SAP System. zweites Mal bei einer Fiori Anwendung/App und drittes mal im SAP BTP ?
Ist das korrekt ?
Vielen Dank
Viele Grüße

Antworten
Claudia Bolten - 16. Mai 2023 | 14:23

Hallo und danke für die Frage!

Hier die Antwort unserer Expertin:

“Wir gehen davon aus, dass der User bereits am AD angemeldet ist, wenn er die SAP GUI öffnet. Dort kann er mit Kerberos über SSO direkt authentifiziert werden (ohne Eingabe des Kennwortes). Wenn der User in das OnPrem FLP springt, wird er dort, sofern SPNego implementiert ist, ebenfalls direkt über Kerberos authentifiziert (es ist also wieder kein Passwort notwendig). Wenn für die BTP ebenfalls das AD als IDP konfiguriert ist, ist dort in der Regel ebenfalls keine weitere Anmeldung notwendig. Also eigentlich sollte es so sein, dass nur eine einzige Anmeldung notwendig ist: am Client Rechner. Das wäre das Idealbild. Unter welchen Umständen das so funktioniert und nicht funktioniert müsste man im Detail betrachten.”

Sollten Sie noch weitere Unterstützung benötigen, können Sie uns gerne eine Mail an info@mission-mobile.de schicken.

Viele Grüße aus der Mission-Mobile-Redaktion 🙂

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Kontaktieren Sie uns!
Sophie Weber
Sophie Weber Kundenservice