Prime Institute

Avalados por :

Configurações de SSO entre Domínio A e Domínio B: Como garantir uma autenticação segura?

Crear
  • Creado 01/03/2024
  • Modificado 01/03/2024
  • 3 Vistas
0
Cargando...

Olá Especialistas,

Considere este cenário.

Caso 1:

Existem 2 domínios (florestas), Domínio A e Domínio B.

Os usuários do SAP estão no Domínio A, enquanto o servidor AS-JAVA está no Domínio B.

Existe uma Confiança Unidirecional entre o Domínio A e o Domínio B, em que o Domínio A é o domínio confiante, enquanto o Domínio B é o domínio confiável.

AS-JAVA está usando o Active Directory (Domínio B) como fonte de dados UME.

Executamos 'setspn' no Domínio B para o recurso AS-JAVA.

Criamos o Reino Kerberos em AS-JAVA para o Domínio B.

Esta configuração de SSO funcionaria?

Neste cenário, qual seria o KPN (principal@REALM) do usuário? Seria principal@DomínioA ou principal@DomínioB?



Outra pergunta que tenho:

ao configurar a autenticação SPNEGO, há um passo em que precisamos conectar de AS-JAVA ao servidor LDAP (AD)?

Esta conexão pode ser segura usando LDAPS na porta 636/tcp?



Agradeço antecipadamente.


Cumprimentos.

SAP BASIS
Pedro Pascal
Se unió el 07/03/2018
Responder
Pinterest
Telegram
Linkedin
Whatsapp

4 Respuestas

0
Cargando...

Obrigado, Tim.

Espero que este cenário realmente funcione em nossa implementação posterior, já que não temos controle sobre o Domínio A, definitivamente não podemos executar 'setspn' no Domínio A.

Alguém tem alguma resposta sobre o ktab?

Estou confuso, já que o documento da SAP diz que o ktab é usado para criptografar/descriptografar o ticket do Kerberos.

O ktab é gerado usando o certificado do Controlador de Domínio ou algo assim?

Obrigado.

Atenciosamente.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

Em relação à confiança, o domínio utilizado pelo sistema SAP precisa confiar no domínio que os usuários estão utilizando para autenticar, portanto, a confiança não é necessária na outra direção.

Não consigo responder à sua pergunta sobre o arquivo ktab. Não estou muito familiarizado com o módulo de login SAP SPNEGO, já que temos nossa própria implementação do mesmo protocolo que nossos clientes usam em Java ou ABAP, e nossa gestão de tabelas de chaves não é a mesma oferecida pela SAP. Talvez alguém da SAP possa responder à sua pergunta sobre ktab.

Obrigado

Tim

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

Olá Tim,

Obrigado por responder à parte da KPN.

Será que o SSO funcionará nesse cenário (Caso 1), considerando que executamos 'setspn' no Domínio B e há apenas uma Confiança de Floresta de Sentido Único?

Há outra coisa com a qual não estou muito familiarizado, que é o arquivo ktab.

Precisamos gerá-lo no Controlador de Domínio (KDC)?

Agradeço antecipadamente pela resposta.

Cumprimentos.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

O nome principal do usuário seria <usuário>@DOMINIOA, já que você mencionou que os usuários estão no Domínio A. Se um usuário estiver no Domínio C, então o nome principal dele seria <usuário>@DOMINIOC ...

O servidor não se conecta ao AD, pois apenas recebe um token do navegador e o decifra, portanto não é necessário que nenhum servidor se conecte ao AD.

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar

Partners:

Libro de reclamaciones Libro de reclamaciones

contacto@primeinstitute.com

(+51) 1641 9379
(+57) 1489 6964

© 2024 Copyright. Todos los derechos reservados.

Desarrollado por Prime Institute

¡Hola! Soy Diana, asesora académica de Prime Institute, indícame en que curso estas interesado, saludos!
Hola ¿Puedo ayudarte?