Centrify for SAP News:

Active Directory-Basiertes Single Sign-On für SAP NetWeaver auf UNIX und Linux

Reduzieren Sie Helpdesk Anrufe, verbessern Sie die Zufriedenheit der Endbenutzer und erhöhen Sie die Sicherheit mit zentral verwalteten, Active Directory-basierten Single Sign-On für SAP Netweaver

Centrify DirectControl für SAP NetWeaver AS und AS Java auf UNIX und Linux liefert sicheres Single Sign-On für SAP und zentrales Identity Management durch nahtlose Integration von SAP in Active Directory. DirectControl für SAP auf UNIX und Linux greift nicht in das System ein, ist leicht zu installieren und zu verwalten und von SAP zertifiziert. Der Nutzen für Endbenutzer ist, dass sie sich an die heterogenen Systeme, Applikatrionen und Datenbanken anmelden können, ohne nochmals aufgefordet zu werden wieder eine Bneutzer-ID und ein Passwort einzutippen. Der Nutzen für IT-Manager ist, dass Administratoren und Helpdesk-Mitarbeiter nun ein einziges Administrationstool benutzen können — Microsoft Active Directory — um konsistente Zugriffsregeln zu definieren und den Zugriff zu einer Mischung von unterschiedlichen Datenbanken, heterogenen Plattformen und web-basierten Applikationen in ihrer Organisation zu kontrollieren.

 

» Eigenschaften und Vorteile

» Wie es funktioniert

» SAP-zertifiziert

 

 

Eigenschaften und Vorteile

 

  • Erhöht die Produktivität: Benutzer müssen sich nicht länger ihren speziellen SAP Benutzernamen und ihr Passwort merken, da sie nicht mehr aufgefordert werden, ihren Benutzernamen und ihr Passwort einzugeben. Sie melden sich unter Einbindung von Kerberos einmalig an ihrem Windows oder Mac Desktop an und greifen mit von Active Directory gelieferten Kerberos Tickets auf SAP zu. So können Benutzer auf ihre kritischen Betriebsinformationen zuverlässiger und schneller zugreifen als ohne Centrify DirectControl für SAP Single Sign-On.
  • Reduziert die Helpdesk-Belastung: Nach IDC und anderen anerkannten Industrieanalysten basieren mehr als 40% der Helpdesk-Anfragen auf Passwort oder Account Resets. Dies führt zu Produktivitätsverlust für Benutzer und Frustration und unnötigen Aufwendungen für Helpdesk-Personal. Centrify DirectControl für SAP gibt diesen Wert zurück und macht sich durch verbesserte Produktivität und bis zu 95% weniger SAP Account Resets schnell bezahlt. 
  • Zentrales Management für SSO: DirectControl für SAP kommuniziert direkt mit Active Directory; daher werden alle Active Directory Einrichtungen unterstützt. Dies beinhaltet die Unterstützung einer zentral verwalteten Passwort Policy und flexible Konventionen der Benutzernamen in Active Directory. Aus diesem Grund können diese leichter konfiguriert und gepflegt werden. Administratoren haben mit der Centrify Adminstratorkonsole zentrale Kontrolle über Zugriffrechte von Benutzern und Gruppen.
  • Wartungsfreie Lösung: DirectControl kann schnell installiert und für den Endbenutzer eingesetzt werden. Mit 7 einfachen Schritten kann sich der erste Benutzer bereits mit von Active Directory gelieferten Kerberos Zugangsdaten an SAP anmelden:
  1. Centrify DirectControl auf dem UNIX oder Linux SAP Server installieren und mit Active Directory verbinden
  2. SAP für die Benutzung von Secure Network Communications (SNC) konfigurieren
  3. Centrify's Gold Standard MIT Kerberos für den SAP Server konfigurieren
  4. Centrify DirectControl SAP Server Agent installieren
  5. Die SAP Benutzer als Active Directory Benutzer in der SAP SNC Tab abbilden
  6. Centrify DirectControl for SAP Client Agent installieren
  7. Den SAPgui Client für die Benutzung von SNC konfigurieren.

Das ist alles - eine schnelle einmalige Konfiguration undeine weitere Pflege ist nicht erforderlich. Da Centrify Ihre UNIX/Linux SAP Server in eine kerberesierte Applikation verwandelt, muss kein Agent auf jedem individuellen Client Computer installiert werden. 

  • Erstklassige Unterstützung für Active Directory: Erstklassige Unterstützung für komplexe, reale Active Directory Umgebungen inklusive automatische Ermittlung des nächstliegenden Domain Controller, Unterstützung für den globalen Katalog, Ein/Zwei-Weg Trusts, Mehrplatzfähigkeit, DC-Failover und Trennung von AD-DNS Namespaces. Andere Hersteller inklusive Unix und Linux Distributoren mögen Unterstützung von Kerberos reklamieren, jedoch nur Centrify bietet nativen Support für die gesamte Komplexität und alle Nuancen von Active Directory.
  • Sichern des SAP Server Operating Systems: Genaus so wie ein Windows Desktop durch die Verbindung mit Active Directory eine gesicherte Netzwerkressource ist, so ist auch der Unix oder Linux Server, auf dem SAP läuft und DirectControl benutzt wird, um den Server mit Active Directory zu verbinden, gesichert. Administratoren können ihren Active Directory Zugang mit Group Policies konfigurieren und verwalten und sogar die Shell Sessions für spätere Audits und Reporting erfassen. Alle Vorteile von DirectControl für Systeme gelten auch für die Centrify für SAP Lösung.
  • Von SAP zertifiziert: Für SAPgui Benutzer benutzt Centrify die SAP Secure Network Communication; BC-SNC ist ein von SAP gelieferter und unterstützter Layer für die Integration von Security-Lösungen von Dritten. Die Centrify für SAP Lösung durchlief ein strenges von SAP vorgegebens Zertifizierungsprogram mit Hunderten von automatischen und manuellen Tests.

    Für Browser-Benutzer von NetWeaver AS Java Applikationen bietet Centrify Java Authentifizierungs- und Authorisierungsservices; BC_AUTH_JAAS ist das SAP-zertifizierte Interface für Authentifiuzierungs-Plug-ins zu NetWeaver AS Java.

 

Wie es funktioniert

 

Single Sign-On for SAP für UNIX oder Linux ist eine Add-on Komponente der Centrify Suite, die eine Active Directory-basierte Architektur für Zugriffskontrolle, Authentifizierung, Berechtigung und Auditing von UNIX oder Linux bietet.

Die Centrify DirectControl for SAP Single Sign-On Lösung besteht aus folgenden Hauptkomponenten:

 

  • SAP Secure Network Communications (SNC): SNC ist ein Software Layer in der SAP Systemarchitektur, der eine Schnittstelle zu externen Security Produkten bietet - in diesem Fall  Centrify DirectControl. Die Schnittstelle, die für die Integration benutzt wird, ist GSS-API V2 (Generic Security Services Application Programming Interface Version 2).

    Mit SNC kann die Sicherheit Ihres SAP Systems durch die Einbindung von zusätzlichen Sicherheitsfunktionen, die das SAP System nicht direkt bietet, verstärkt werden (z.B. die Nutzung von Active Directory für Benutzerauthentifizierung, die Sicherstellung der Integrität für die Kommunikation zwischen SAP Komponenten und für Datenschutz durch Verschlüsselung von Netzwerkverkehr).

 

  • Centrify DirectControl for SAP Modul: Ein SAP-zertifiziertes Modul wird auf jedem SAP Server installiert. Dieses Modul bietet einen robusten Kommunikationspfad zwischen dem SAP SNC Layer und der von DirectControl for Systems gelieferten Kerberos Umgebung.

 

  • Centrify DirectControl for Systems Agent: Das auf den SAP Servern installierte DirectControl bietet und verwaltet die Kerberos Umgebung, um SSO von SAP durch Active Directory zu unterstützen.  DirectControl bietet u.a.:
  • Automatischen Support von komplexen AD-Umgebungen (z.B.: Multi-site, Multi-Forest, Multi-Domain, Multi-DC, komplexe Trusts und sogar getrennte DNS/AD Namespaces).
  • Automatischen Setup von Kerberos: Wenn Sie mit DirectControl einen UNIX, Linux oder Mac Computer mit einer Active Directory Domain verbinden, wird der Setup von allen Kerberos-bezogenen Systemkonfigurationsdateien automatisch für Sie ausgeführt. Zum Beispiel wird die Datei /etc/krb5.conf konfiguriert, um den Active Directory Domain Controller als das Kerberos Key Distribution Center zu benutzen. Das automatische Setup dieser Konfigurationsdateien bedeutet für Sie, dass Kerberized UNIX Applikationen mittels Active Directory als Kerberos Authority arbeiten.
  • Automatische Zeitsynchtronisation mit AD: Dies ist nötig für dir Überprüfung von Kerberos Tokens und Prävention von ReplayAngriffen.

 

Ist die DirectControl for SAP Lösung installiert, sind die grundlegenden Schritte zur Authentifizierung wie folgt:



  1. Meldet ein Benutzer sich an einer Workstation an, wird ein Teilnehmerticket (Ticket granting Ticket - TGT) von Active Directory bezogen. Da DirectControl for SAP den SAP Service kerberized hat, wird keine Agent Software auf der Workstation vom Endbenutzer benötigt.
  2. Öffnet der Benutzer das SAPgui oder einen Browser, fordert Windows via SNC (für SAPgui) oder SPNEGO (für Browser) mit dem vorher erhaltenen TGT ein SAP Service Ticket von Active Directory an und übergibt den Service Request dem DirectControl Agent.
  3. Der DirectControl Agent prüft das Ticket mit Active Directory.
  4. Der Benutzer erhält Zugriffsberechtigung und eine sichere Benutzersession wird zum Benutzer zurückgegeben.