Aprende en Comunidad
Avalados por :
Cómo implementar inicio de sesión único (SSO) en SAPGUI sin productos de terceros
- Creado 01/03/2024
- Modificado 01/03/2024
- 53 Vistas
0
Cargando...
En el mundo actual, es difícil recordar el nombre de usuario y la contraseña para cada entorno en el que iniciamos sesión. También lleva mucho tiempo y costos restablecer las contraseñas desde un equipo de TI. Con el fin de reducir el proceso de inicio de sesión manual, se ha introducido el inicio de sesión único (SSO). Sin embargo, existen algunas limitaciones y costos asociados con el uso de productos de inicio de sesión único.
¿Existe alguna forma de iniciar sesión único sin ningún tercero o productos SSO para la sesión de SAP desde SAPGUI? Sí, si tiene Microsoft Active Directory con soporte Kerberos, entonces es posible. Este método le permite reducir su TCO.
En este blog vamos a utilizar el mecanismo de inicio de sesión único propietario de Microsoft para SAPGUI.
Microsoft ha implementado autenticación e inicio de sesión único en sus plataformas Win32 en una variante propietaria de GSS-API llamada Microsoft "SSPI" (Interfaz de Proveedor de Servicio de Seguridad), e incluye dos Proveedores de Servicio de Seguridad para autenticación de usuario en Windows de Microsoft:
(1) Proveedor de Servicio de Seguridad de NT Lan Manager (NTLM SSP) con autenticación solo de cliente basada en un protocolo de desafío-respuesta y sin protección para los datos de la aplicación.
(2) Proveedor de Servicio de Seguridad de Kerberos de Microsoft con autenticación mutua, cifrado y protección de integridad para toda la comunicación.
Las DLL adjuntas a esta Nota solo "envuelven" un SSP genuino de Microsoft, y traducen las llamadas de API y la semántica de la API entre el GSS-API de IETF utilizado por la interfaz BC-SNC de SAP y el SSP subyacente de Microsoft. gssntlm.dll/gx64ntlm.dll envuelve el SSP de NTLM de Microsoft (1), y gsskrb5.dll/gx64krb5.dll envuelve el SSP de Kerberos de Microsoft
El SSP de Kerberos de Microsoft debería ser compatible con el estándar Kerberos 5 GSS-API (rfc1964 y rfc4121) en la red, e interoperable con las implementaciones de Kerberos 5 de varios proveedores para otras plataformas. En entornos puramente de Microsoft, la autenticación de Kerberos solo está disponible para Cuentas de Dominio gestionadas por un Active Directory de Microsoft, pero NO para cuentas locales de computadora.
La solución de Inicio de Sesión Único para SAP se utiliza con clientes SAP GUI que se ejecutan en sistemas Windows que están unidos a un dominio de Active Directory. El Inicio de Sesión Único para SAP instala y configura el módulo gsskrb5.dll que proporciona una Interfaz de Programación de Aplicaciones de Seguridad Genérica (GSS-API) compatible con SAP Secure Network Communications (SNC) a una capa de traducción de Interfaz de Proveedor de Servicio de Seguridad de Microsoft (SSPI). No es necesario instalar ningún software adicional en el cliente.
¿Existe alguna forma de iniciar sesión único sin ningún tercero o productos SSO para la sesión de SAP desde SAPGUI? Sí, si tiene Microsoft Active Directory con soporte Kerberos, entonces es posible. Este método le permite reducir su TCO.
En este blog vamos a utilizar el mecanismo de inicio de sesión único propietario de Microsoft para SAPGUI.
Microsoft ha implementado autenticación e inicio de sesión único en sus plataformas Win32 en una variante propietaria de GSS-API llamada Microsoft "SSPI" (Interfaz de Proveedor de Servicio de Seguridad), e incluye dos Proveedores de Servicio de Seguridad para autenticación de usuario en Windows de Microsoft:
(1) Proveedor de Servicio de Seguridad de NT Lan Manager (NTLM SSP) con autenticación solo de cliente basada en un protocolo de desafío-respuesta y sin protección para los datos de la aplicación.
(2) Proveedor de Servicio de Seguridad de Kerberos de Microsoft con autenticación mutua, cifrado y protección de integridad para toda la comunicación.
Las DLL adjuntas a esta Nota solo "envuelven" un SSP genuino de Microsoft, y traducen las llamadas de API y la semántica de la API entre el GSS-API de IETF utilizado por la interfaz BC-SNC de SAP y el SSP subyacente de Microsoft. gssntlm.dll/gx64ntlm.dll envuelve el SSP de NTLM de Microsoft (1), y gsskrb5.dll/gx64krb5.dll envuelve el SSP de Kerberos de Microsoft
El SSP de Kerberos de Microsoft debería ser compatible con el estándar Kerberos 5 GSS-API (rfc1964 y rfc4121) en la red, e interoperable con las implementaciones de Kerberos 5 de varios proveedores para otras plataformas. En entornos puramente de Microsoft, la autenticación de Kerberos solo está disponible para Cuentas de Dominio gestionadas por un Active Directory de Microsoft, pero NO para cuentas locales de computadora.
La solución de Inicio de Sesión Único para SAP se utiliza con clientes SAP GUI que se ejecutan en sistemas Windows que están unidos a un dominio de Active Directory. El Inicio de Sesión Único para SAP instala y configura el módulo gsskrb5.dll que proporciona una Interfaz de Programación de Aplicaciones de Seguridad Genérica (GSS-API) compatible con SAP Secure Network Communications (SNC) a una capa de traducción de Interfaz de Proveedor de Servicio de Seguridad de Microsoft (SSPI). No es necesario instalar ningún software adicional en el cliente.
Descargo de responsabilidad de SAP sobre GSSKrb5.DLL *Importante:
-
Reutilizamos la autenticación de Kerberos de Windows o NTLM de Microsoft para el inicio de sesión único en sistemas SAP R/3
Los sistemas ABAP de SAP ofrecen la interfaz de software BC-SNC para realizar la autenticación a través de una solución externa de inicio de sesión único. Esta interfaz se basa en el estándar GSS-API v2, que fue desarrollado en el IETF (Internet Engineering Task Force) y publicado como RFCs 2743+2744.
/*Con el producto SAP Single Sign-On, SAP ofrece su propia solución completa de inicio de sesión único basada en esta interfaz, que cubre múltiples escenarios, incluida la reutilización de la autenticación de Windows de Microsoft. Más información sobre este producto se puede encontrar en http://scn.sap.com/community/sso . */
Versiones anteriores de la nota 352295 contenían la descarga de las GSSKRB5.dlls. El desarrollo adicional para esta solución se ha interrumpido y SAP ofrece soporte solo para el envoltorio de SAP, pero no para los mecanismos de autenticación subyacentes, que son tecnología genuina de Microsoft y están fuera del control de SAP (consulte la nota 150380). Los archivos siguen estando disponibles en la nota 2115486. El acceso a la nota 2115486 se puede solicitar a través de un mensaje de cliente en el componente BC-SEC-SNC.
-
Nota SAP 150
Pedro Pascal
Se unió el 07/03/2018
Facebook
Twitter
Pinterest
Telegram
Linkedin
Whatsapp
Sin respuestas
No hay respuestas para mostrar
Se el primero en responder
contacto@primeinstitute.com
(+51) 1641 9379
(+57) 1489 6964
© 2024 Copyright. Todos los derechos reservados.
Desarrollado por Prime Institute
Hola ¿Puedo ayudarte?