SAP Single Sign-OnDatabase & Technology

SAP Single Sign-On

© 2

015

SAP

SE o

der e

in S

AP-K

onze

rnun

tern

ehm

en. A

lle R

echt

e vo

rbeh

alte

n.

2 / 12© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.

Inhalt

3 SAP Single Sign-On

4 Management Summary

5 Lösungsbeschreibung

11 Systemvoraussetzungen und Funktionalitäten

12 Referenzkunden und Weiterführende Informationen

3 / 12© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.

Auf einen BlickBranche(n): Cross

Lösungseigenschaften: Systemanmeldungen beschleunigen

Hauptnutzen: • Erhöhung der IT-Sicherheit nach Vorgaben des BSI-Grundschutzes

• Weniger vergessene Passwörter und entsprechende Helpdesk-Anfragen

• Verschlüsselte Client-Server-Kommunikation

SAP Single Sign-On reduziert Zeitaufwände und Risiken bei den täglichen Systemanmeldungen aller Mitarbeiter.

SAP Single Sign-On

4 / 12© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.

SAP Single Sign-On führt die Login-Prozesse für alle Unternehmensanwendungen und IT-Dienste zentral zusammen. Mitarbeiter benötigen nur noch ein Passwort für die Anmeldung an allen Systemen. Das erleichtert die Verwaltung von Zugangsdaten, reduziert Sicher-heitsrisiken und erhöht die Produktivität durch ein unter-brechungsfreies Arbeiten. Weiterhin wird die IT Sicher- heit nach Vorgaben des BSI Grundschutzes erhöht.

Die IT-Abteilung profitiert von einer zentralen Adminis-tration sowie weniger Helpdesk-Anfragen in Bezug auf vergessene Passwörter: Bei einer SAP-internen Migration auf die Single-Sign-On-Lösung ließ sich so beispielsweise die Anzahl der entsprechenden Tickets um 75 Prozent reduzieren.

Gleichzeitig wird die gesamte Kommunikation zwischen SAP-Client und SAP-Server verschlüsselt: Hacker können Daten auf Netzwerkebene nicht mehr abfangen und dabei User-IDs und Passwörter ausspähen.

Management Summary

5 / 12© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.

SAP Single Sign-On ist eine zentrale Login-Plattform für die gesamte IT-Landschaft. Anwender melden sich ein-malig am SSO-System an und erhalten danach Zugriff auf alle angeschlossenen Systeme ohne nochmalige Anmeldung.

Die Identitätsprüfung kann in beliebige Authentifizier-ungs-Mechanismen eingebettet werden, darunter:

• Kombination aus User-ID und Passwort • Windows-Authentifizierung (Kerberos/SPNEGO) • X.509 Client-Zertifikat • SAML (Security Assertion Markup Language) • Smart Card • Token-Abfrage (beispielsweise RSA SecurID)

• RFID-basierte User-Identifizierung (Radio Frequency Identification)

• Zwei-Faktor-Authentifizierung mit Hilfe von Einmalpasswörtern unter Verwendung der mobilen Applikation SAP Authenticator

Zudem lassen sich Regeln definieren, die etwa beim Zugang zu besonders sensiblen Systemen einen ergänzenden Authentisierungsnachweis verlangen (Zwei-Faktor-Authentifizierung mit Hilfe von Einmalpass-wörtern unter Verwendung der mobilen Applikation SAP Authenticator). Wahlweise lässt sich die Kommuni-kation zwischen Client (Webbrowser, SAP GUI, etc.) und Server (SAP NetWeaver Application Server, SAP Business Suite, etc.) verschlüsseln.

Lösungsbeschreibung

6 / 12© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.

SAP Single Sign-On besteht aus drei Komponenten:

1. Single Sign-On für die SAP Business SuiteDie SAP-Single-Sign-On-Komponente Secure Login ermöglicht eine gesicherte Anbindung der SAP Business Suite an das Single-Sign-On-System. Die Komponente verwendet die Windows-Domain-Authentisierung und sog. Kerberos-Tickets, welche durch ein Microsoft Active Directory (AD) erzeugt werden. Anwender werden automatisch über das SAP GUI oder den Webbrowser bei den jeweiligen SAP-Systemen angemeldet. Single Sign-On für SAP Business Suite

7 / 12© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.

Single Sign-On für SAP- und Nicht-SAP-Anwendungen

2. Single Sign-On für SAP- und Nicht-SAP-Anwendungen:Daneben unterstützt SAP Single Sign-On X.509-Zertifi-kate. Die Technologie lässt sich sowohl zur Anbindung von SAP-Systemen als auch von Legacy-Anwendungen einsetzen. Die SAP-Single-Sign-On-Komponente Secure Login enthält bereits die notwendige X.509-Implementierung: Eine zusätzliche Public-Key- Infrastructure-(PKI-)Lösung ist nicht erforderlich, lässt sich auf Wunsch aber integrieren. Für die Verschlüsse-lung kommen SSL- bzw. SNC-Verfahren zum Einsatz.

Voraussetzung für Secure Login ist, dass die Benutzer-konten der verwendeten Systeme zuvor in einem User Mapping abgeglichen wurden. Diese Harmonisierung muss auch anschließend im laufenden Betrieb

gewährleistet sein. Sie lässt sich mit einer Identitäts- verwaltung automatisieren, und beispielsweise mit der Lösung SAP Identity Management umsetzen. Durch die mitgelieferten Komponenten bleibt die Implementier-ungsdauer der Lösung niedrig.

8 / 12© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.

3. Single Sign-On für die Cloud und über Unternehmensgrenzen hinweg:Daneben enthält SAP Single Sign-On einen sog. Identity Provider, der dafür zuständig ist, unternehmens- und domänenübergreifende Dienste einzubinden. Der zugrundeliegende Standard ist die Security Assertion Markup Language (SAML) 2.0. Darüber lassen sich Authentisierungsdaten zwischen Diensten vertrauen-swürdig austauschen. Partnerapplikationen müssen nicht mehr mit System-Usern operieren sondern können direkt personenbezogene Zugriffe und Berechtigungen verteilen.

Single Sign-On für die Cloud und über Unternehmensgrenzen hinweg

9 / 12© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.

Password Manager

Darüber hinaus bietet SAP Single Sign-On einen sog. Passwort Manager, welcher es ermöglicht, Systeme für das Single Sign-On zu öffnen, die nicht über entsprech-ende Integrationsstandards verfügen – darunter auch Lösungen von Drittherstellern. Eine auf den Clients hin-terlegte Anwendung speichert dabei die Zuordnung von User-IDs und Passwörtern zu den entsprechenden Systemen. Darin kann die IT-Abteilung beispielsweise festlegen, dass einer Web-Anwendung oder einer Terminal-Emula-tion die erforderlichen Anmeldedaten automatisch zugewiesen werden. Beim erstmaligen Einsatz wird die Software mit einem einmaligen Login „antrainiert“.

10 / 12© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.

Mit SAP Single Sign-On lassen sich erstmalig alle Daten, die Anwender zwischen dem SAP GUI bzw. dem Browser und den SAP-Servern austauschen, standardisiert ver-schlüsseln. Für die Verschlüsselung kommen SSL- bzw. SNC-Verfahren zum Einsatz.

Die mit SAP Single Sign-On erzielten Zeit- und Koste-neinsparungen für Mitarbeiter und Helpdesk können in Kombination mit der Lösung SAP Identity Management noch gesteigert werden. Mit dieser Software lassen sich

Nutzerkonten und Systemberechtigungen in hetero-genen Landschaften zentral verwalten. Wird ein neuer Nutzer in SAP Identity Management angelegt, erstellt die Single-Sign-On-Lösung automatisch einen einzelnen Zugang zu allen berechtigten Systemen.

SAP empfiehlt Schulungen für Administratoren – vorrangig, um die IT-Mitarbeiter zu befähigen, alle sicherheitsrelevanten Aspekte der Berechtigungsver-gabe zu berücksichtigen.

11 / 12© 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.

Systemvoraussetzungen und Funktionalitäten

Systemvoraussetzungen:Die Einrichtung der Single-Sign-On-Architektur geht häufig mit Projekten im Umfeld des Identitätsmanage-ment einher. SAP empfiehlt dabei die Lösung SAP Identi-ty Management. SAP Single Sign-On lässt sich aber auch ohne eine zusätzliche Identitätsmanagement-Lösung einsetzen.

Funktionalitäten: • Single Sign-On für SAP-Applikationen und Anwendungen anderer Anbieter

• Single Sign-On für Cloud-basierte Applikationen • Unterstützung von proprietären Clients (SAP GUI) • Verschlüsselung der Kommunikation über SNC • Basierend auf Standards (Kerberos/SPNEGO, X.509-Zertifikate, SAML)

• Password Manager für Legacy-Systeme

12 / 12

Referenzkunden und weiterführende Informationen

Referenzkunden: • Berufsgenossenschaft Holz und Metall • Bundesinstitut für Berufsbildung • FUB Führungsunterstützungsbasis • Messe Frankfurt GmbH • Ministerium der Finanzen Brandenburg • MDK Sachsen • ProSiebenSat.1 • SAP • Siemens AG • Südzucker • Wasserverband Eifel-Rur • Zedach

Weiterführende Informationen: • SAP Community Network • Produktübersicht

Verwandte Produkte: SAP Identity Management, SAP Access Control, SAP NetWeaver Application Server, Add-on for Code Vulnerability Analysis, SAP Enterprise Threat Detection, SAP Cloud Identity

Ihr Ansprechpartner:Martin Müller Solution Senior Expert Securitymart.mueller@sap.com

Studio SAP | 39447deDE (15/07) © 2015 SAP SE oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten.

© 2015 SAP SE or an SAP affi liate company. All rights reserved.

No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP SE or an SAP affi liate company.

SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE (or an SAP affi liate company) in Germany and other countries. Please see http://www.sap.com/corporate-en/legal/copyright/index.epx#trademark for additional trademark information and notices. Some software products marketed by SAP SE and its distributors contain proprietary software components of other software vendors.

National product specifi cations may vary.

These materials are provided by SAP SE or an SAP affi liate company for informational purposes only, without representation or warranty of any kind, and SAP SE or its affi liated companies shall not be liable for errors or omissions with respect to the materials. The only warranties for SAP SE or SAP affi liate company products and services are those that are set forth in the express warranty statements accompanying such products and services, if any. Nothing herein should be construed as constituting an additional warranty.

In particular, SAP SE or its affi liated companies have no obligation to pursue any course of business outlined in this document or any related presentation, or to develop or release any functionality mentioned therein. This document, or any related presentation, and SAP SE’s or its affi liated companies’ strategy and possible future developments, products, and/or platform directions and functionality are all subject to change and may be changed by SAP SE or its affi liated companies at any time for any reason without notice. The information in this document is not a commitment, promise, or legal obligation to deliver any material, code, or functionality. All forward-looking statements are subject to various risks and uncertainties that could cause actual results to diff er materially from expectations. Readers are cautioned not to place undue reliance on these forward-looking statements, which speak only as of their dates, and they should not be relied upon in making purchasing decisions.