Prime Institute

Avalados por :

Configuración de SSO entre Dominio A y Dominio B: ¿Cómo lograr una autenticación segura?

Crear
  • Creado 01/03/2024
  • Modificado 01/03/2024
  • 2 Vistas
0
Cargando...

Hi Experts,

Consider this scenario.

Caso 1:

Hay 2 dominios (forests), Dominio A y Dominio B.

Los usuarios de SAP se encuentran en el Dominio A, mientras que el servidor AS-JAVA está en el Dominio B.

Existe una Confianza Unidireccional entre el Dominio A y el Dominio B, en la cual el Dominio A es el dominio de confianza, mientras que el Dominio B es el dominio confiable.

AS-JAVA está utilizando Active Directory (Dominio B) como origen de datos UME.

Ejecutamos 'setspn' en el Dominio B para el recurso AS-JAVA.

Creamos el Reino Kerberos en AS-JAVA para el Dominio B.

¿Funcionaría esta configuración de SSO?

En este escenario, ¿cuál sería el KPN (principal@REALM) del usuario? ¿Es principal@DominioA o principal@DominioB?



Otra pregunta que tengo:

al configurar la autenticación SPNEGO, ¿hay un paso en el que necesitamos conectar desde AS-JAVA al servidor LDAP (AD)?

¿Puede esta conexión estar segura utilizando LDAPS en el puerto 636/tcp?



Gracias de antemano.


Saludos cordiales.

SAP BASIS
Pedro Pascal
Se unió el 07/03/2018
Responder
Pinterest
Telegram
Linkedin
Whatsapp

4 Respuestas

0
Cargando...

Gracias, Tim.

Espero que este escenario realmente funcione en nuestra implementación posterior, ya que no tenemos ningún control sobre el Dominio A, definitivamente no podemos ejecutar 'setspn' en el Dominio A.

¿Alguien tiene respuesta sobre el ktab?

Estoy confundido, ya que el documento de SAP dice que el ktab se utiliza para cifrar/descifrar el ticket de Kerberos.

¿Se produce el ktab utilizando el certificado del Controlador de Dominio o algo así?

Gracias.

Saludos cordiales.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

En cuanto a la confianza, el dominio utilizado por el sistema SAP necesita confiar en el dominio que los usuarios están utilizando para autenticarse, por lo que la confianza no es necesaria en la otra dirección.

No puedo responder a tu pregunta sobre el archivo ktab. No estoy muy familiarizado con el módulo de inicio de sesión SAP SPNEGO, ya que tenemos nuestra propia implementación del mismo protocolo que nuestros clientes utilizan en Java o ABAP, y nuestra gestión de tablas de claves no es la misma que la ofrecida por SAP. Quizás alguien de SAP responderá a tu pregunta sobre ktab.

Gracias

Tim

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

Hola Tim,

Gracias por responder la parte de KPN.

¿Pero funcionará el SSO en ese escenario (Caso 1), considerando que ejecutamos 'setspn' en el Dominio B y solo hay una Confianza de Bosque de un Solo Sentido?

Hay otra cosa con la que no estoy muy familiarizado, se trata del archivo ktab.

¿Necesitamos generarlo en el Controlador de Dominio (KDC)?

Gracias de antemano por la respuesta.

Saludos cordiales.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

El nombre principal del usuario sería <usuario>@DOMINIOA ya que mencionaste que los usuarios están en el Dominio A. Si un usuario está en el Dominio C, entonces su nombre principal sería <usuario>@DOMINIOC ...

El servidor no se conecta a AD, ya que solo recibe un token del navegador y lo descifra, por lo que no es necesario que ningún servidor se conecte a AD.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar

Partners:

Libro de reclamaciones Libro de reclamaciones

contacto@primeinstitute.com

(+51) 1641 9379
(+57) 1489 6964

© 2024 Copyright. Todos los derechos reservados.

Desarrollado por Prime Institute

¡Hola! Soy Diana, asesora académica de Prime Institute, indícame en que curso estas interesado, saludos!
Hola ¿Puedo ayudarte?