btexx business technologies The Portal Experts Sichere Authentifizierung und Single Sign-On im SAP Portal

Transkript

1 btexx business technologies The Portal Experts Sichere Authentifizierung und Single Sign-On im SAP Portal Kontakt: - fon 0700-btexxfon ( ) slide 1

2 btexx - Short Facts btexx Portfolio! SAP Enterprise Portal Strategy & Technology Knowledge Management Collaboration Application Integration Security! SAP Application Development SAP Web Applications SAP Portal & xapps ehr, CRM, BW, SEM, R/3 ABAP/BSP, Java/JSP, J2EE! Mobile Solutions SAP Mobile Engine Online & Offline Scenarios! Business Integration ebusiness & ecommerce SAP Netweaver slide 2

3 Agenda! Authentifizierung Benutzername / Passwort Einmalpasswörter Digitale Zertifikate, Public Key Infrastruktur (PKI)! Single Sign-On SAP Logon Tickets Account Aggregation! Praxisbeispiel: Das IQ-Portal der LHI Leasing GmbH Anforderungen und Lösungen Live Demo slide 3

4 A User s Dream... ERP CRM E- Procurement Intranet Workflow Internet Access Groupware others... Portal Logon slide 4

5 Architektur im Überblick Authentication Secure Communication Portal Server Single Sign-On Authorization User Directory Third Party System User Management slide 5

6 Authentifizierung Authentifizierung slide 6

7 Authentifizierungsmechanismen Authentication Mechanisms SAP Enterprise Portal Anwendungen Digitale Benutzerzertifikate Benutzer / Passwort Externe Authentifizierung slide 7

8 Alternative 1: Benutzer/Passwort! HTTP Basic Authentication! Ohne SSL wird Benutzer/Passwort im Klartext an den Webserver übermittelt (im HHTP-Header)! Verifizierung der Anmeldung erfolgt über die LDAP-Schnittstelle des Portals mit Hilfe eines Verzeichnisdienstes (Benutzerspeicher)! Sicherheits-Risiken: Schlechte Passwörter Passwörter können durch Social Engineering herausgefunden werden Passwörter können durch einen Brute-Force-Angriff herausgefunden werden Ein Virus, eingeschleust in den Client oder den Portal-Server, kann das Passwort abgreifen bevor es ver- bzw. nachdem es entschlüsselt wurde Die Authentifizierungsdatenbank (CDS) enthält alle Kennungen und Passwörter und ist ein attraktives Ziel für Angriffe slide 8

9 Alternative 2: Zertifikate Digitale Ausweise z.b. SAP Trust Center Service Zertifikat als Nachweis der Identität Namedes Inhabers Namedes Ausstellers Gültigkeitszeitraum Öffentlicher Schlüssel CA certification authority stellt aus Privater Schlüssel (geheim!) slide 9

10 Alternativen für das Speichermedium des privaten Schlüssels! Hardware Lösung ( Hardware Tresor ) Smart Cards USB-Token SIM Card im Handy! Software Lösung ( Software Tresor ) Client Software muß auf PC installiert werden Ggf. bereits vom Betriebssystem unterstützt Zusätzlicher Schutz per PIN möglich slide 10

11 Aladdin etoken USB-basierte Smartcard! Kein separates Smartcard Lesegerät erforderlich! Einfache and starke Benutzer-Authentifizierung! Sehr sicherer Speicherort! Praktische Handhabung, kann am Schlüsselbund transportiert werden (Schlüssel zum Portal) slide 11

12 SAP Trust Center Service (TCS) 5 Web Browser Verifies naming conventions and issues certificate SAP Trust Center Service 4 Send approved certificate request 1 2 Log on using SAP user ID and password and initiate the SAP Passport request Specify naming convention and trigger key generation Portal Server 3 Web browser generates key pair and sends the SAP Passport request 6 Log on using the SAP Passport slide 12

13 Zertifikatsrequest im SAP EP 5.0 slide 13

14 Alternative 3: Externe Authentifizierung Erst-Authentifizierung erfolgt über eine vorgeschaltete Dritt-Software, nicht über das Portal: Möglichkeiten der externen Authentifizierung: " Windows 2000 Authentifizierung (NTLM, Kerberos) " SAP Web AS or R/3 System Authentifizierung " Netegrity SiteMinder Authentifizierung " Andere Methoden via COM-Schnittstelle (z.b. RSA SecureID) slide 14

15 Vergleich der Alternativen! Benutzer / Passwort Sicherheitsniveau: gering Sehr einfache Implementierung Passwörter sind geräteunabhängig (können überall eingesetzt werden) Regeln zur Passwortvergabe erforderlich! Digitale Zertifikate Internet Standard Sicherheitsniveau: sehr hoch (starke Authentifizierung) Hohe Implementierungskosten (Public Key Infrastruktur nötig) Mobilität durch Smartcards gegeben, jedoch Treiber und Lesegerät nötig! Externe Authentifizierung Sicherheitsniveau: abhängig von der externen Lösung bei Einmalpasswörtern: hohes Sicherheitsniveau (starke Authent.) slide 15

16 SSO Single Sign-On slide 16

17 Alternative 1: SAP Logon Tickets (a) Initial Logon ~~~~ ~~~~ SAP System ~~~~ ~~~~ External System Intranet ~~~~ ~~~~ Logon Ticket ~~~~ ~~~~ Any other Web page Internet slide 17

18 SAP Logon-Tickets (b)! Cookie, das im Speicher des Browsers gespeichert wird! Inhalt des Cookies: SAP Benutzerkennung Gültigkeitszeitraum Ausstellendes System SID und Mandant Zertifikat Digitale Signatur des ausstellenden Systems vom Portalserver oder SAP-System SAP Logon Tickets enthalten KEINE Passwörter! slide 18

19 Alternative 2: Account Aggregation (User Mapping)! Wenn das externe System SAP Logon Tickets nicht unterstützt, muß dieses Verfahren angewendet werden! Portal-Komponenten werden mit den Benutzer-Credentials (Benutzerkennung und Kennwort) an das externe Systeme angebunden! Benutzerzuordnung und Credentials-Daten werden im Portal-LDAP- Verzeichnisdienst gespeichert! Werkzeug für den Administrator (für die Zuordnung von Gruppen und Rollen)! Benutzer kann die Zuordnung selbst durchführen, über den Menüpunkt Personalisierung im Portal Portal User: SAP User: Siebel UserID/Password: Michael_Schumacher d , {yu323ab} Anna_Kournikova i , {34u0nap} Tiger_Woods i , {wq9itxm1} Cathy Freeman i , {12onxc85} slide 19

20 Praxisbeispiel Praxisbeispiel: Das IQ-Portal der LHI Leasing GmbH slide 20

21 LHI-Portal: Business Case Internet Internet Zugang nur für ausgewählte LHI-Kunden RE/ CRE Projects IQ-Portal SAP Enterprise Portal Leasingverwaltung Optionenverwaltung Gesellschaftsverwaltung Honorarverwaltung Mietenverwaltung Darlehensverwaltung FI FI/AA SAP Standard LHI Eigenentwicklung HR ZGP slide 21

22 LHI-Portal: Anforderungen! Externes Kundenportal für ca Benutzer! Einfache + kostengünstige Lösung! Hohe Sicherheit, insbesondere starke Authentifizierung! Single Sign-On! Unbekannte Desktop-Situation, minimale Systemvoraussetzungen! Bestehende R/3-Applikationen sind klassisch auf Basis von ABAP und SAPGui realisiert, Investitionsschutz slide 22

23 LHI-Portal: Lösungen im Überblick! Portalanmeldung via X.509 Benutzer-Zertifikat (SSL)! Einsatz des SAP Trust Center Services zum Ausstellen der Benutzer- Zertifikate! Der private Schlüssel wird auf einer USB-Smartcard gespeichert (Aladdin etoken PRO)! Verschlüsselung aller Kommunikationswege mit https und SNC mit Hilfe der SAP Cryptographic Library! Vollständige IT-Sicherheitsarchitektur gemäß BSI-Grundschutz Handbuch (Bundesamt für Sicherheit in der Informationstechnik) slide 23

24 btexx Portal Live Demo slide 24

25 LHI Portal: Live Demo (1) - Logon Kein Logon mit User/Passwort # nur via etoken slide 25

26 LHI Portal: Live Demo (2) - Logon slide 26

27 LHI Portal: Live Demo (3) - Einstiegsseite slide 27

28 LHI Portal: Live Demo (4) - SAP GUI for HTML slide 28

29 Literatur Sichere Unternehmensportale mit SAP Guido Schneider / Florian Zwerger Verlag: SAP Press ISBN: Erschienen: April 2002 Themen aus dem Inhalt: Single Sign-On Benutzerauthentifizierung Kryptographie Lösungsbeispiele slide 29

30 btexx - Short Facts btexx - contact btexx - The Portal Experts More information & contact: info@btexx.de btexxfon slide 30