Hi,
ich habe gehört, daß ab WAS6.10 Single Sign On, also die Authentifizierung per Ticket eingerichtet werden kann. Da wir planen, den WAS für eine WebApplikation mit BSP einzusetzen und innerhalb dieser Anwendung auch in andere Systeme (evtl. Java oder andere Webapplikation aus einem anderen System) navigieren wollen bzw. müssen, wäre das natürlich ein sehr interessantes Feature. Kann der WAS Tickets nur empfangen oder auch ausstellen? Kann mal jemand grundlegend skizzieren, was im groben zu tun ist? Danke vorab.
Gruß,
Sandman
SingleSignOn
7 posts
• Page 1 of 1
SingleSignOn
by Matti4101 » Tue Dec 03, 2002 6:13 pm
- Matti4101
- .
- Posts: 8
- Joined: Mon Dec 02, 2002 2:43 pm
by Jolin2218 » Tue Dec 03, 2002 7:18 pm
Also ich weiß, dass sowohl WAS 6.10 und 6.20 Single-Sign On unterstützen, d.h. man kann das System so konfigurieren, daß Tickets angenommen und auch ausgestellt werden.
Relevant dafür sind eigentlich im wesentlichen 2 Systemparameter, die entsprechend gesetzt werden müssen.
login/create_sso2_ticket = 1 oder 2
login/accept_sso2_ticket = 1
Grundsätzlich ist es wohl so, daß wenn der accept Parameter gesetzt wird, erstmal nichts mehr getan werden muß, d.h. das System ist dann in der Lage, eigene Tickets zu akzeptieren.
Des weiteren muß aber noch eine Security Library von SAP installiert werden (ich glaube: 'SAP Cryptographic Library). Dazu müßte sich einiges in der Doku zum WAS finden lassen.
Nachdem das geschafft ist, muß entweder ein selbstzertifiziertes Zertifikat verwendet werden oder man kann sich als Kunde von SAP ein Zertifikat anfordern.
Über die Transaktion STRUSTSSO2 kann dann alles weitere eingerichtet und konfiguriert werden (Import des Zertifikats und Einträge in der ACL). Das ist aber in der Doku sehr gut beschrieben. Schau einfach mal nach unter dem Punkt 'Sicherheit beim SAP Web Application Server'. Ich hoffe, das hilft weiter.
Jens
Relevant dafür sind eigentlich im wesentlichen 2 Systemparameter, die entsprechend gesetzt werden müssen.
login/create_sso2_ticket = 1 oder 2
login/accept_sso2_ticket = 1
Grundsätzlich ist es wohl so, daß wenn der accept Parameter gesetzt wird, erstmal nichts mehr getan werden muß, d.h. das System ist dann in der Lage, eigene Tickets zu akzeptieren.
Des weiteren muß aber noch eine Security Library von SAP installiert werden (ich glaube: 'SAP Cryptographic Library). Dazu müßte sich einiges in der Doku zum WAS finden lassen.
Nachdem das geschafft ist, muß entweder ein selbstzertifiziertes Zertifikat verwendet werden oder man kann sich als Kunde von SAP ein Zertifikat anfordern.
Über die Transaktion STRUSTSSO2 kann dann alles weitere eingerichtet und konfiguriert werden (Import des Zertifikats und Einträge in der ACL). Das ist aber in der Doku sehr gut beschrieben. Schau einfach mal nach unter dem Punkt 'Sicherheit beim SAP Web Application Server'. Ich hoffe, das hilft weiter.
Jens
- Jolin2218
- ...
- Posts: 105
- Joined: Mon Dec 02, 2002 2:28 pm
by Matti4101 » Tue Dec 10, 2002 10:57 am
Hi,
noch was: Wie kann ich erkennen bzw. testen, ob ein System SSO-Tickets ausstellt? Gibt es da eine schnelle und verläßliche Möglichkeit das herauszufinden? Kann man übersichtsartig feststellen, ob man alles richtig konfiguriert hat? Vor allem würde mich in dem Zusammenhang interessieren, ob ich die Cryptographic Library richtig installiert habe. Ich bin mir bei alledem ziemlich unsicher. Please help. Danke
noch was: Wie kann ich erkennen bzw. testen, ob ein System SSO-Tickets ausstellt? Gibt es da eine schnelle und verläßliche Möglichkeit das herauszufinden? Kann man übersichtsartig feststellen, ob man alles richtig konfiguriert hat? Vor allem würde mich in dem Zusammenhang interessieren, ob ich die Cryptographic Library richtig installiert habe. Ich bin mir bei alledem ziemlich unsicher. Please help. Danke
- Matti4101
- .
- Posts: 8
- Joined: Mon Dec 02, 2002 2:43 pm
by Morten1122 » Thu Jul 29, 2004 5:11 pm
muss die cryptlibary drin sein ? ich habe die beiden Parameter eingestellt, doch kommt kein Ticket und ich kann mich auch nicht anmelden.
cu
cu
- Morten1122
- ..
- Posts: 91
- Joined: Tue Jun 17, 2003 12:56 pm
by Jolin2218 » Fri Jul 30, 2004 10:23 am
Hallo,
die Cryptlibrary muss auf jeden Fall installiert werden, sonst können keine SSO-Tickets ausgestellt werden. Das ist aber ein geringer Aufwand und ist in der Doku recht gut beschrieben. Installiert werden muss das auf dem Applikationsserver, d.h. i.d.R. wird das ein Sysadmin machen.
Gruss,
Jens
die Cryptlibrary muss auf jeden Fall installiert werden, sonst können keine SSO-Tickets ausgestellt werden. Das ist aber ein geringer Aufwand und ist in der Doku recht gut beschrieben. Installiert werden muss das auf dem Applikationsserver, d.h. i.d.R. wird das ein Sysadmin machen.
Gruss,
Jens
- Jolin2218
- ...
- Posts: 105
- Joined: Mon Dec 02, 2002 2:28 pm
by Morten1122 » Fri Jul 30, 2004 10:54 am
Note that the SAP Cryptographic Library is not needed. For SSO2 the SAP Security Library is sufficient. This delivered in the standard SAP Web AS System.
das habe ich gerade gefunden. Muss jetzt oder nicht ?
- Morten1122
- ..
- Posts: 91
- Joined: Tue Jun 17, 2003 12:56 pm
by Jolin2218 » Fri Jul 30, 2004 12:22 pm
Hallo,
das wundert mich ein bisschen. Wir haben die Cryptographic-Library installiert. Voraussetzung für das Erstellen von Tickets sind ja Algorithmen zur Ver- und Entschlüsselung (public-private-key Verfahren). Wo sollen denn diese Algorithmen enthalten sein, wenn nicht in der Cryptographic-Library.
In der Doku:
Das heisst das Installationspaket enthält sapgenpse was zum Erstellen der PSE erforderlich ist.
Wenn man nun in der Doku schaut, was erforderlich ist, um ein Anmeldeticket auszustellen findet man:
Das heisst zum Ausstellen brauche ich eine vorhandene PSE. Soweit ich es verstanden habe erstellt man die PSE mit der Crypt-Library.
So ist bei uns jedenfalls die Installation. Nach dem was Du gepostet hast, bin ich mir allerdings auch nicht mehr so sicher, ob man die Crypt-Library benötigt oder nicht. Im Zweifelsfall müsst Ihr eben ausprobieren, ob es ohne Crypt-Library geht.
Die Doku zu den Sicherheitseinstellungen, Anmeldetickets, etc. findet sich hier:
http://help.sap.com/saphelp_webas620/he ... ameset.htm
Gruss,
Jens
das wundert mich ein bisschen. Wir haben die Cryptographic-Library installiert. Voraussetzung für das Erstellen von Tickets sind ja Algorithmen zur Ver- und Entschlüsselung (public-private-key Verfahren). Wo sollen denn diese Algorithmen enthalten sein, wenn nicht in der Cryptographic-Library.
In der Doku:
Installationspaket der SAP Cryptographic Library
Definition
Installationspaket, das für die Verwendung der SAP Cryptographic Library zur Verfügung steht.
Das Installationspaket steht im SAP Service Marketplace unter http://service.sap.com/download autorisierten Kunden zur Verfügung.
Struktur
Das Installationspaket der SAP Cryptographic Library sapcrypto.car enthält folgende Dateien:
· die SAP Cryptographic Library (sapcrypto.dll für Windows NT oder libsapcrypto.<ext> für UNIX)
· ein entsprechendes Lizenzticket (ticket)
· das Konfigurationswerkzeug sapgenpse.exe
Das heisst das Installationspaket enthält sapgenpse was zum Erstellen der PSE erforderlich ist.
Wenn man nun in der Doku schaut, was erforderlich ist, um ein Anmeldeticket auszustellen findet man:
Falls Sie ein von der SAP CA signiertes Zertifikat verwenden, müssen Sie das Zertifikat anfordern und in die für Single Sign-On verwendete Persönliche Sicherheitsumgebung (PSE) des Servers importieren (die SSO-PSE). Beim SAP Web Application Server ist die SSO-PSE die System-PSE.
Falls Sie ein selbstsigniertes Zertifikat verwenden, ist schon ein Public-Key-Zertifikat vorhanden.
Weitere Informationen erhalten Sie unter
Von der SAP CA signiertes Zertifikat anfordern
Verwendung eines selbstsignierten Zertifikats
Setzen Sie auf dem SAP Web Application Server folgende Profilparameter:
Das heisst zum Ausstellen brauche ich eine vorhandene PSE. Soweit ich es verstanden habe erstellt man die PSE mit der Crypt-Library.
So ist bei uns jedenfalls die Installation. Nach dem was Du gepostet hast, bin ich mir allerdings auch nicht mehr so sicher, ob man die Crypt-Library benötigt oder nicht. Im Zweifelsfall müsst Ihr eben ausprobieren, ob es ohne Crypt-Library geht.
Die Doku zu den Sicherheitseinstellungen, Anmeldetickets, etc. findet sich hier:
http://help.sap.com/saphelp_webas620/he ... ameset.htm
Gruss,
Jens
- Jolin2218
- ...
- Posts: 105
- Joined: Mon Dec 02, 2002 2:28 pm
7 posts
• Page 1 of 1
Return to Web Application Server
Who is online
Users browsing this forum: No registered users and 20 guests
-
- Latest Topics