CyberSafe TrustBroker als Lösung für Single Sign-On und Mehr-Faktor-Authentifzierung im SAP-Umfeld

(Last Updated On: 14. November 2016)

Mit SAP SSO 3.0 wird es Ihnen möglich sein, den zweiten Faktor einer Mehrfaktorauthentifzierung an Ihren SAP-Systemenauf mobilen Geräten unter Android und Windows Phone zu implementieren. War unter SAP SSO 2.0 bereits iOS möglich, können Sie nun auch auf Apple-fremden Geräten den notwendigen Authentifizerungscode darstellen, den Sie zusätzlich zu Benutzername und Kennwort eingeben müssen.

Egal wie Sie sich drehen und wenden: Von den alten SAP Logon Tickets sollten Sie zügigst abweichen. Auch die SAP selbst empfiehlt aktuell schon verbreitete Standards wie Kerberos, SAML, X.509 und SPNEGO.

Dabei stellt sich vor allen Dingen im Hintergrund von SAP HANA die Frage, ob es nicht auch andere Lösungen gibt, auf einfache Art und Weise Single-Sign On mit Mehrfaktorauthentifiizierung zu kombinieren. Gerade wenn Sie ein Microsoft Active Directory betreiben und nach einer einfachen Lösung suchen, um Kerberos-Authentifizierung auch unter NIX-Systemen zu implementieren, bietet sich vielleicht das Produkt TrustBroker von CyberSafe an.

Das Produkt setzt auf einer preexistierenden User Authentication Infrastructure, also beispielsweise einem Microsoft Active Directory, auf. Dabei ist das Tool dazu in der Lage, eine Mehrfaktorauthentifizierung zu implementieren und diese sogar nur rollenbasiert zu enforcieren. So können sich beispielsweise Benutzer mit geringen Berechtigungen immer noch ohne MFA authentifizieren, während Administratoren zwingend eine MFA durchlaufen müssen.

Viele SAP Business Applications werden derzeit schon unterstützt. Dabei spielt es keine Rolle, ob diese on-Premise oder in der Cloud angesiedelt sind. Auch werden Webanwendungen auf NetWeaver Java Stack sowie Fiori unterstützt und neben Windows auch Mac OS X als Client-System.

Konkret unterstützt das Tool derzeit verschiedene implementierungsszenarien:

  • Single Sign-On. Der User loggt sich erst in das Windows Active directory mit seinem Account ein und kann dann sich dann über Frontend-Software wie SAP Logon oder SAP Business Explorer anmelden, ohne zusätzliche Credentials angeben zu müssen.Wurde sich nicht mit einem Active directory Konto, sondern mit einem lokalen Konto am Windows-Client angemeldet, bekommt der User einen extra TrustBroker Sing-On Screen, in welchem man dann die Credentials des AD-Kontos eingeben kann, um sich die Abfrage bei den SAP Business Systemen zu sparen. Das ist dann de fakto ein Multiple Sign-On Prozess.

    Der Administrator eines SAP-Sytsems kann die Policy based Secondary Authentication (PBSA) aktivieren und somit festlegen, welche Benutzer einen zweiten Logon-Faktor benötigen und welche Authentifizierungsmethode genutzt werden muss, um sich am SAP-System anzumelden. So könnte man beispielsweise festlegen, dass ein Administrator oder Manager mit weitreichenden Rechten im Sytsem einen RSA SecurID Passocde eingeben muss, während alle anderen nur über ihren AD-Benutzer rein kommen.

  • Multiple Sing-On. Der Benutzer meldet sich über sein AD-konto an der Domäne oder über ein lokales Benutzerkonto am Windows- oder Mac OS X-Client an. Wenn Sie sich an einem SAP System einloggen wollen bekommen Sie einen TrustBroker Sign-On Bildschirm auf welchem Sie (ggf. nochmals) dazu augfefordert werden Ihr AD-Benuzterkennwort einzugeben. Alternativ kann ein X.509 Zertifikat auf einer smartcard bzw. im Microsoft Certificate Store genutzt werden. Wie schon im vorigen Szenario kann definiert werden, welche Benutzer zusätzlich einen zweiten Faktor angeben müssen.
  • Single Sign-On oder Multiple Sign-On über HTTP Negotiate. Dieses Feature wird aktiviert, wenn sich die User über Single Sign-ON an ICF services wie dem Fiori Launchpad, der Web GUI (SAP GUI for HTML), der CRM WebClient UI, einer Business Server Page (BSP) oder an einer WebDynpro ABAP Application anmelden wollen.

    Hier loggt sich der Benutzer erst ganz normal über sein AD-Benutzerkonto an seinem Windows Client ein. Wurde sich stattdessen mit einem lokalen Benutzer angemeldet, bekommt der bneutzer stattdessen eine TrustBroker Sign-On Page und wird dort dann nach den Active Directory Credentials gefragt. Das wäre dann wieder Multiple Sign-On. Die Multi Sign-On Variante mit der TrustBroker Sign-On Page funktioniert damit auch auf Mac OS X Clients und auf Mobile Devices wie Smartphones oder Tablets. Wie zuvor kann auch hier wieder festgelegt werden, welche Benutzer zusätzlich einen zweiten Faktor angeben müssen.

Als Fazit kann man also sagen, dass es mit dieser Lösung möglich ist, Multi Factor Authentication sowie Multiple bzw. Single Sign-On über alle SAP-Anwendungen hinweg über Kerberos abzubilden. Sofern Sie Single Sign-On über Kerberos für jegliche SAP Frontend-Technologie abbilden wollen, ist dieses Produkt durchaus einen Blick wert.

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

DaFRK

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.