SAP Solutions for NetWeaver

Single Sign-On in der SAP-Architektur

Die wachsende Flle von Passwort-Abfragen stellt viele IT-Benutzer vor erhebliche Probleme. Ursache dafr sind hohe Sicherheitsstandards. Sie bedingen komplexe Kennwrter, um Risiken des Missbrauchs zu minimieren. Anwender reagieren auf diese Entwicklung mit wachsender Hilflosigkeit. Sie verlieren Zeit mit HelpdeskAnfragen und schreiben Passwrter auf unsicheren Notizzetteln auf. Zudem spielt die Erhhung der Revisionssicherheit eine immer wichtigere Rolle. Vor diesem Hintergrund wird Single SignOn mehr und mehr zum Rettungsanker. Dafr hat SAP nunmehr ein passendes Produkt im Angebot: SAP NetWeaver Single Sign-On.

Was ist Single Sign-On? Single Sign-On ist ein Verfahren, bei dem sich ein Anwender nur einmal an einem System zum Beispiel seinem Arbeitsplatzrechner anmeldet und anschlieend vollen Zugang zu allen fr ihn freigeschalteten Anwendungen bekommt. Mehrfaches Einloggen gehrt damit der Vergangenheit an. Warum ist Single Sign-On sicherer als individuelle Passwort-Abfragen? Vorab: Theoretisch lsst sich weitgehende Sicherheit in einer IT-Landschaft schaffen, wenn man jedes System und jede Anwendung mit einem komplexen und individuellen Passwort absichert. Das Problem der IT-Sicherheit wird allerdings in einem solchen Szenario auf die Schultern der Anwender verteilt. Sie tragen die Last der Verantwortung fr die IT-Sicherheit und mssen an jedem System immer wieder neu glaubhaft ber ihr Passwort nachweisen, wer sie sind.

Weichenstellung fr eine sichere Anwenderauthentisierung

Ein solches Szenario fhrt schnell zur berforderung der Anwender, die mit einer Flle komplexer Passwrter konfrontiert werden. Der Aufwand fr die regelmige Passwort-Erneuerung in einer heterogenen IT-Landschaft macht den sicheren Zugriff zu Informationen und Anwendungen noch komplexer. Der Mensch wird zum schwchsten Glied der Kette: Er schreibt sich Passwrter auf, teilt sie anderen mit oder erstellt fr jedermann zugngliche Passwortlisten. Single Sign-On ist dagegen ein Authentisierungsprozess, der dem Anwender nur einmal am Tag den Nachweis seiner Identitt abfordert. ber diese standardisierte Authentifizierung erhlt er Zugang zu der fr ihn freigegebenen Systemlandschaft. Es liegt nun zentralisiert in der Hand und in der Kontrolle der IT-Administration, dass der Anwender sich einmalig und sicher anmeldet. Die Mitarbeiter werden entlastet, weil fr den Anmeldeprozess an viele Systeme nur noch ein Passwort erforderlich ist. Darber hinaus ffnet Single Sign-On die Tr zu einfacheren und sichereren Authentisierungsverfahren wie Smartcard oder RSA-Token. Single Sign-On folgt den Bedrfnissen der Mitarbeiter nach mehr Anwenderkomfort. Aufwand und Risiken der Verwaltung komplexer Passwrter auf Post-it-Stickern oder Passwortlisten werden minimiert, was der Unternehmenssicherheit zugutekommt. Mitarbeiter verlieren keine Zeit mehr mit Anfragen an den Helpdesk, der deutlich entlastet wird. So hat beispielsweise das Bundesinstitut fr Berufsbildung (BIB) mit dem Einsatz von SAP NetWeaver Single Sign-On das Volumen von Passwortbezogenen Helpdesk-Anrufen um 70 % reduziert. Wie kostenrelevant das ist, unterstreicht ein Blick auf eine Studie von Gartner1 . Danach belaufen sich die Kosten eines Help deskAnrufes auf 25 bis 50 US-Dollar, was die Optionen fr erhebliche Einsparungen im IT-Support verdeutlicht. SAP NetWeaver Single Sign-On Die von SAP im Jahr 2011 vorgenommene Integration des SECUDE-Produkts Single Sign-On in das Produktportfolio hatte zum Ziel, zu zwei sicherheitsrelevanten Themen eine Lsung anbieten zu knnen: Verschlsselung der Verbindung zwischen Anwender- und SAP-System und Reduktion von Passwrtern durch Single Sign-On (SSO). Bis zu diesem Zeitpunkt dominierten Lsungen von Drittanbietern den Markt, die auch bei unseren Kunden Eingang fanden. Rckmeldungen von Kunden, Partnern und Revisoren bestrkten uns allerdings darin, eine eigene Lsung als Bestandteil der Produktpalette zu schaffen. Mit dem SECUDEProdukt erwarb SAP die damals beste Lsung auf dem Markt. Sie wurde mit neuer Funktionalitt erweitert und unter dem Namen SAP NetWeaver Single Sign-On eingefhrt. Die Lsung integriert sich nahtlos in unser Portfolio und positioniert sich als das strategische Angebot von SAP fr Authentifikation und

Abbildung 1: Individuelle und direkte Authentisierung eines Anwenders an jeder Applikation mithilfe eines inviduellen Passworts. Risiken liegen in der Flle der mitunter schwachen Passwrter.

Oracle
ID 1

SAP
ID 2

IBM
ID 3

Microsoft
ID 4

Lotos software
ID 5

Anwender ID 1: Passwort 1 ID 2: Passwort 2 ID 3: Passwort 3 ID 4: Passwort 4 ID 5: Passwort 5

1. Terrence Cosgrove, The Cost of Removing Administrative Rights for the Wrong Users, Gartner Inc., April 27, 2011.

Single Sign-On in alle unsere Produkte. Mit dieser Lsung werden die Client-Systeme SAP- und Nicht-SAP-Systeme nicht nur sicherer gemacht, sondern auch in eine bergeordnete SingleSign-On-Landschaft integriert. SAP NetWeaver Single Sign-On versus SAP Logon Ticket Zweifellos war lange Zeit das SAP Logon Ticket bei Portal integrationen die erste Wahl fr die Einbeziehung der SAPBackend-Systeme ber Single Sign-On. Auch heute noch ist es in zahlreichen Unternehmen im Einsatz. Wenn allerdings die Kommunikation zwischen Anwender und unserem BackendSystem unverschlsselt konfiguriert wurde, wird das Logon Ticket im Klartext bertragen und kann mittels eines Netsniffers belauscht und manipuliert werden. Auch ist bei unverschlsselter Leitung der Identittsdiebstahl mglich, wenn das Cookie-basierte Ticket gestohlen wird. Deshalb haben wir allen Kunden in smtlichen Sicherheitsleitfden immer dringend empfohlen, die Kommunikationsverbindungen zu verschlsseln. Das sollten Kunden auch heute unabhngig von der verwendeten SSOTechnik tun.

Das Logon Ticket hat darber hinaus den weiteren Nachteil, dass es nur in der Unternehmensdomne einsetzbar ist. Ein ber die Grenzen des unternehmenseigenen Netzwerks hinausgehendes Single Sign-On fr die Verbindung zwischen Partnern, Kunden und dem eigenen System ist hiermit nicht mglich. Zudem beschrnkt sich die Nutzung des Logon Tickets auf web- und browserbasierte Szenarien. Die Einrichtung als Authentifikationsmechanismus fr Nicht-SAP-Systeme setzt erheblichen Programmieraufwand voraus. SAP NetWeaver Single Sign-On bietet hier eine hervorragende Ergnzung zum Portal. Die Anwendung ersetzt das SAP Logon Ticket, was zahlreiche Vorteile mit sich bringt: erweitertes Sicherheitsspektrum mehr Reichweite durch domnenbergreifendes Single Sign-On und Single Sign-On zu Nicht-SAP-Systemen grerer Funktionsumfang mit Single Sign-On in den Standard Windows GUI und in webbasierte Systeme geringeres Risiko und reduzierter Aufwand

Abbildung 2: Trennung von Berechtigungs- und Authentisierungs-Management und Zentralisierung der einmaligen Authentisierung gem der von der IT festgelegten Verfahren

Berechtigungs-Management

Oracle
ID 1

SAP
ID 2

IBM
ID 3

Microsoft
ID 4

Lotos software
ID5

Authentisierungs-Management Anwender
ID 0

ID 0: Passwort 0

www.sap.de

www.sap.com/contactsap

50 xxx xxx (YY/MM) CMP22274 (12/09) 2012 2012 SAP SAP AG. AG. Alle Alle Rechte Rechte vorbehalten. vorbehalten.
SAP, R/3, SAP NetWeaver, Duet, PartnerEdge, ByDesign, SAP BusinessObjects Explorer, StreamWork, SAP HANA und weitere im Text erwhnte SAP-Produkte und Dienstleistungen sowie die entsprechenden Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und anderen Lndern. Business Objects und das Business-Objects-Logo, BusinessObjects, Crystal Reports, Crystal Decisions, Web Intelligence, Xcelsius und andere im Text erwhnte Business-Objects-Produkte und Dienstleistungen sowie die entsprechenden Logos sind Marken oder eingetragene Marken der Business Objects Software Ltd. Business Objects ist ein Unternehmen der SAP AG. Sybase und Adaptive Server, iAnywhere, Sybase 365, SQL Anywhere und weitere im Text erwhnte Sybase-Produkte und -Dienstleistungen sowie die entsprechenden Logos sind Marken oder eingetragene Marken der Sybase Inc. Sybase ist ein Unternehmen der SAP AG. Crossgate, m@gic EDDY, B2B 360, B2B 360 Services sind eingetragene Marken der Crossgate AG in Deutschland und anderen Lndern. Crossgate ist ein Unternehmen der SAP AG. Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken. Produkte knnen lnderspezifische Unterschiede aufweisen. In dieser Publikation enthaltene Informationen knnen ohne vorherige Ankndigung gendert werden. Die vorliegenden Angaben werden von SAP AG und ihren Konzernunternehmen (SAP-Konzern) bereitgestellt und dienen ausschlielich Informationszwecken. Der SAP-Konzern bernimmt keinerlei Haftung oder Garantie fr Fehler oder Unvollstndigkeiten in dieser Publikation. Der SAP-Konzern steht lediglich fr Produkte und Dienstleistungen nach der Magabe ein, die in der Vereinbarung ber die jeweiligen Produkte und Dienstleistungen ausdrcklich geregelt ist. Aus den in dieser Publikation enthaltenen Informationen ergibt sich keine weiterfhrende Haftung.

Fr SAP selbst sind Vorteile wie diese Grund fr die Entscheidung gewesen, statt der SAP-Logon-Ticket-Technologie die Anwendung SAP NetWeaver Single Sign-On unternehmensweit fr den Zugang zu ber 80.000 Clients einzusetzen. SAP NetWeaver Single Sign-On versus native Secure Network Communication Fr die Verbindung zwischen SAP GUI und Backend-Systemen nutzen viele Unternehmen klassische Secure Network Communication (SNC). Untersttzt wird diese Verbindung allerdings nur auf Windows-Betriebssystemen. Dafr bieten wir eine entsprechende Laufzeit-Bibliothek an. Die Kunden knnen von der Webseite laden und installieren. Wenn SAP-Server auf UNIX- oder Linux-Plattformen installiert sind, werden die Herausforderungen aber um ein Vielfaches grer. So muss fr die Untersttzung weiterer Server-Betriebssysteme die entsprechende Kerberos-

Implementierung der Webseite des MIT (Massachusetts Institute of Technology) im Quelltext geladen, angepasst und bersetzt werden. Dies ist in vielen Fllen eine nicht unerhebliche Herausforderung und wird von uns nicht empfohlen. Demgegenber bietet SAP NetWeaver Single Sign-On die direkte Integration ber Windows hinaus in die gngigen Server-Betriebssysteme als zukunftssichere Option. Zusammenfassung Wer heute ein modernes, skalierbares und verlssliches Anmeldeverfahren fr die SAP-Landschaft in die IT-Sicherheit einbezieht, kommt an einem standardisierten und vom Hersteller strategisch positionierten Produkt nicht vorbei. SAP NetWeaver Single Sign-On ist die Lsung fr eine anwenderfreundliche und sichere Authentisierung in die IT-Landschaft unter Erhhung der Revisionssicherheit fr das Unternehmen.