No novo mundo moderno de SSO, onde a maioria das empresas opta pelo login baseado em SSO para suas estações de trabalho/aplicativos de várias formas.
Existem grandes empresas em todo o mundo enfrentando um desafio comum, onde desejam integrar o login baseado no Active Directory ao sistema SAP ERP, mas o ID do usuário no AD tem mais de 12 caracteres, o que não pode ser aceito pelo SAP. Também em poucos cenários industriais, os usuários finais compartilham uma estação de trabalho comum com um login baseado no AD do Windows único, mas usam um ID de login individual para acessar o aplicativo. Abaixo estão as soluções padrão que podem ser usadas para mitigar esses cenários.
-
A solução mais simples é manter diferentes o ID do SAP e do AD e utilizar um mecanismo de login SSO baseado em Kerberos, onde o UPN é mapeado como endereço de e-mail para o usuário no SAP com o SAMACCOUNTNAME do AD.
-
Introduzir um sistema portal JAVA do SAP que aceita tanto a integração baseada em SSO do AD como não baseada em SSO, onde não há a restrição de 12 caracteres para o ID do usuário. No entanto, é necessário habilitar o mapeamento de usuários entre o sistema JAVA e ABAP, pois o ID do usuário de ambos os sistemas é diferente. Outro desafio é que o usuário precisa baixar o atalho do SAP GUI do portal JAVA e fazer login com um clique duplo (um processo tedioso e uma má experiência para o usuário).
-
Também podemos introduzir o SAP IDM aqui, mas enfrentaremos a mesma dificuldade, pois o sistema ABAP final não aceita mais de 12 caracteres.
Sem embargo, todos esses cenários não funcionarão em um login de estação de trabalho comum (exceto baseado no portal JAVA: má experiência para o usuário).
Solução
Felizmente, temos uma solução padrão da SAP para este problema utilizando o SAP Secure Login Server.
O Secure Login Server é um serviço central que fornece certificados X.509v3 (PKI pronto para uso) para usuários e servidores de aplicativos. Podemos usar o software de cliente de login seguro instalado nas estações de trabalho para criar uma conexão entre o SAP e o servidor de autenticação.
Usando o Secure Login Server, podemos até criar vários cenários de login, com e sem SSO, utilizando a mesma infraestrutura e diferentes servidores de autenticação nos bastidores (interessante, não é?).
Neste blog, não vou explicar como instalar e configurar o SAP SLS (Secure Login Server).
Temos muitos blogs da SAP que já explicam os passos de instalação e configuração do SAP Secure Login Server.
Uma breve introdução ao SAP Single Sign On 3.0 | Blogs da SAP
SAP Secure Login Server: sua própria CA à mão... | Blogs da SAP
Vou cobrir os passos envolvidos após configurar o servidor SLS e como integrar um sistema SAP ABAP com o SLS, que deve fornecer um mecanismo de login tanto SSO quanto não SSO.
Vamos dar uma olhada rápida em como o Ambiente Utiliza o Cliente de Login Seguro e o Servidor de Login Seguro.
Ambiente do Servidor de Login Seguro
O Cliente de Login Seguro é responsável pela autenticação baseada em certificados e autenticação baseada em Kerberos no servidor de aplicativos SAP.
O Servidor de Login Seguro é o componente central do servidor que conecta todas as partes do sistema. Ele permite a autenticação contra um servidor de autenticação e fornece ao Cliente de Login Seguro um certificado de curto prazo. Você pode configurar a configuração inicial e a administração na Console de Administração de Login Seguro. Os dados de configuração são armazenados no banco de dados e podem ser exibidos usando a Ferramenta de Configuração GUI do Motor J2EE no caminho do Servidor de Login Seguro.
O Servidor de Login Seguro fornece perfis de autenticação ao Cliente de Login Seguro, ao Cliente Web de Login Seguro ou ao servidor de aplicativos. Ele permite configurações flexíveis de autenticação de usuários (por exemplo, qual tipo de autenticação deve ser usado para qual servidor de aplicativos SAP).
Os seguintes métodos de autenticação são suportados pelo Servidor de Login Seguro da SAP:
-
Serviço de Diretório Ativo da Microsoft (ADS)
-
RADIUS
-
Token RSA SecurID (via RADIUS)
-
LDAP
-
Login baseado em ABAP