En el nuevo mundo moderno de SSO donde la mayoría de las empresas eligen el inicio de sesión basado en SSO para sus estaciones de trabajo/aplicaciones de diversas formas.
Hay ciertas grandes empresas en todo el mundo que enfrentan un desafío común donde desean integrar el inicio de sesión basado en Active Directory al sistema SAP ERP, pero el ID de usuario en AD tiene más de 12 caracteres, lo cual no puede ser aceptado por SAP. También en muy pocos escenarios industriales, los usuarios finales comparten una estación de trabajo común con un inicio de sesión basado en AD de Windows único pero utilizan un ID de inicio de sesión individual para el inicio de sesión en la aplicación. En este caso, a continuación se presentan las soluciones estándar que se pueden utilizar para mitigar estos escenarios.
-
La solución más sencilla es mantener diferentes el ID de SAP y AD y utilizar un mecanismo de inicio de sesión SSO basado en Kerberos donde se mapea el UPN como dirección de correo electrónico para el usuario en SAP con el SAMACCOUNTNAME de AD.
-
Introducir un sistema portal JAVA de SAP donde acepta tanto la integración de AD basada en SSO como no basada en SSO donde no existe la restricción de 12 caracteres para el ID de usuario. Sin embargo, necesitamos habilitar el mapeo de usuario entre el sistema JAVA y ABAP ya que el ID de usuario de ambos sistemas es diferente. Otro desafío es que cada vez que el usuario tiene que descargar el acceso directo de SAP GUI desde el portal JAVA y necesita hacer doble clic para iniciar sesión (es un proceso tedioso y una mala experiencia para el usuario).
-
También podemos introducir SAP IDM aquí, pero enfrentaremos la misma dificultad ya que el sistema ABAP final no acepta más de 12 caracteres.
Sin embargo, todos estos escenarios no funcionarán en un inicio de sesión de estación de trabajo común (excepto basado en portal JAVA: mala experiencia para el usuario).
Solución
Afortunadamente, tenemos una solución estándar de SAP para este problema utilizando SAP Secure Login Server.
El Secure Login Server es un servicio central que proporciona certificados X.509v3 (PKI listo para usar) a usuarios y servidores de aplicaciones. Podemos utilizar el software de cliente de inicio de sesión seguro instalado en las estaciones de trabajo para crear un enlace entre SAP y el servidor de autenticación.
Usando el Secure Login Server, incluso podemos crear múltiples escenarios de inicio de sesión como con y sin SSO utilizando la misma infraestructura y diferentes servidores de autenticación en el backend (¿interesante, verdad?).
En este blog no voy a explicar cómo instalar y configurar SAP SLS (Secure Login Server).
Tenemos muchos blogs de SAP que ya explican los pasos de instalación y configuración de SAP Secure Login Server.
Una breve introducción a SAP Single Sign On 3.0 | Blogs de SAP
SAP Secure Login Server: tu propia CA a mano... | Blogs de SAP
Voy a cubrir los pasos involucrados después de configurar el servidor SLS y cómo integrar un sistema SAP ABAP con SLS que debería proporcionar un mecanismo de inicio de sesión tanto SSO como no SSO.
Echemos un vistazo rápido a cómo funciona el Entorno Utilizando Secure Login Client y Secure Login Server.
Entorno del Sistema de Inicio de Sesión Seguro
El Cliente de Inicio de Sesión Seguro es responsable de la autenticación basada en certificados y la autenticación basada en Kerberos al servidor de aplicaciones SAP.
El Servidor de Inicio de Sesión Seguro es el componente central del servidor que conecta todas las partes del sistema. Permite la autenticación contra un servidor de autenticación y proporciona al Cliente de Inicio de Sesión Seguro un certificado a corto plazo. Puede configurar la configuración inicial y la administración en la Consola de Administración de Inicio de Sesión Seguro. Los datos de configuración se almacenan en la base de datos y se pueden mostrar utilizando la Herramienta de Configuración GUI del Motor J2EE en la ruta Secure Login Server.
El Servidor de Inicio de Sesión Seguro proporciona perfiles de autenticación al Cliente de Inicio de Sesión Seguro, al Cliente Web de Inicio de Sesión Seguro o al servidor de aplicaciones. Permite configuraciones flexibles de autenticación de usuarios (por ejemplo, qué tipo de autenticación se debe usar para qué servidor de aplicaciones SAP).
Los siguientes métodos de autenticación son compatibles con el Servidor de Inicio de Sesión Seguro de SAP:
-
Servicio de Directorio Activo de Microsoft (ADS)
-
RADIUS
-
Token RSA SecurID (a través de RADIUS)
-
LDAP
-
Inicio de sesión basado en ABAP
Pedro Pascal
Se unió el 07/03/2018