No mundo atual, é difícil lembrar o nome de usuário e senha para cada ambiente em que fazemos login. Também leva muito tempo e custos para redefinir as senhas a partir de uma equipe de TI. A fim de reduzir o processo de login manual, foi introduzido o login único (SSO). No entanto, existem algumas limitações e custos associados ao uso de produtos de login único.
Existe alguma maneira de fazer login único sem qualquer terceiro ou produtos SSO para a sessão SAP a partir do SAPGUI?
Sim, se você tiver o Microsoft Active Directory com suporte Kerberos, então é possível. Este método permite reduzir seu TCO.
Neste blog, vamos utilizar o mecanismo de login único proprietário da Microsoft para o SAPGUI.
A Microsoft implementou autenticação e login único em suas plataformas Win32 em uma variante proprietária do GSS-API chamada
Microsoft "SSPI" (Interface de Provedor de Serviços de Segurança),
e inclui dois Provedores de Serviços de Segurança para autenticação de usuário no Windows da Microsoft:
(1) Provedor de Serviços de Segurança NT Lan Manager (NTLM SSP) com autenticação apenas do cliente baseada em um protocolo de desafio-resposta e sem proteção para os dados da aplicação.
(2) Provedor de Serviços de Segurança Kerberos da Microsoft com autenticação mútua, criptografia e proteção de integridade para toda a comunicação.
As DLLs anexadas a esta Nota apenas "envolvem" um GSS genuíno da Microsoft e traduzem as chamadas de API e a semântica da API entre o GSS-API da IETF usado pela interface BC-SNC da SAP e o GSS subjacente da Microsoft. gssntlm.dll/gx64ntlm.dll envolve o GSS NTLM da Microsoft (1), e gsskrb5.dll/gx64krb5.dll envolve o GSS Kerberos da Microsoft
O GSS Kerberos da Microsoft deve ser compatível com o padrão Kerberos 5 GSS-API (rfc1964 e rfc4121) na rede e interoperável com as implementações do Kerberos 5 de vários fornecedores para outras plataformas. Em ambientes puramente da Microsoft, a autenticação do Kerberos está disponível apenas para Contas de Domínio gerenciadas por um Active Directory da Microsoft, mas NÃO para contas locais de computador.
A solução de Login Único para SAP é usada com clientes SAP GUI que são executados em sistemas Windows que estão vinculados a um domínio do Active Directory. O Login Único para SAP instala e configura o módulo
gsskrb5.dll
que fornece uma Interface de Programação de Aplicações de Segurança Genérica (GSS-API) compatível com Comunicações de Rede Segura SAP (SNC) a uma camada de tradução de Interface de Provedor de Serviços de Segurança da Microsoft (SSPI). Não é necessário instalar nenhum software adicional no cliente.
Aviso Legal da SAP sobre GSSKrb5.DLL *Importante:
-
Reutilizamos a autenticação do Kerberos do Windows ou NTLM da Microsoft para o login único nos sistemas SAP R/3
Os sistemas ABAP da SAP oferecem a interface de software BC-SNC para autenticar através de uma solução externa de login único. Esta interface é baseada no padrão GSS-API v2, que foi desenvolvido no IETF (Internet Engineering Task Force) e publicado como RFCs 2743+2744.
/*Com o produto SAP Single Sign-On, a SAP oferece sua própria solução completa de login único baseada nesta interface, que abrange vários cenários, incluindo a reutilização da autenticação do Windows da Microsoft. Mais informações sobre este produto podem ser encontradas em
http://scn.sap.com/community/sso
. */
Versões anteriores da nota
352295
continham o download dos GSSKRB5.dlls. O desenvolvimento adicional para esta solução foi interrompido e a SAP oferece suporte apenas para o wrapper da SAP, mas não para os mecanismos de autenticação subjacentes, que são tecnologia genuína da Microsoft e estão fora do controle da SAP (consulte a nota 150380). Os arquivos ainda estão disponíveis na nota 2115486. O acesso à nota 2115486 pode ser solicitado através de uma mensagem de cliente no componente BC-SEC-SNC.