Martijn de Boer, Mathias Essenpreis, Stefanie García Laule, Martin Raepple Single Sign-on mit SAP Lösungen für die Praxis Bonn Boston
Auf einen Blick TEIL I Grundlagen 1 Grundlegende Begriffe und Konzepte... 21 2 Single-Sign-on-Technologien und -Standards... 35 TEIL II Single Sign-on für Benutzerschnittstellen 3 Workshop: Single Sign-on mit Kerberos für SAP GUI... 89 4 Workshops: Browser-Single-Sign-on mit Zertifikaten... 93 5 Workshop: Single Sign-on mit SPNEGO... 139 6 Workshops: Single Sign-on für Webanwendungen mit SAML 2.0... 159 7 Workshop: OpenID mit einem externen Portal... 215 TEIL III Single Sign-on mit Webservices 8 Workshops: Single Sign-on zum AS ABAP als WS-Provider... 237 9 Workshop: Single Sign-on in SAP NetWeaver BPM... 321 Anhang A Fehleranalyse für die SAML- und X.509-Authentifizierung... 365 B Literatur und weiterführende Websites... 367 C Die Autoren... 369
Inhalt Vorwort... 13 Einleitung... 15 TEIL I Grundlagen 1 Grundlegende Begriffe und Konzepte... 21 1.1 SSO und verwandte Konzepte... 21 1.2 Chancen und Risiken... 22 1.3 Terminologie... 23 1.3.1 Security Assertion... 23 1.3.2 Identity Provider... 23 1.3.3 Security Token Service... 24 1.3.4 Service Provider... 24 1.4 Technische und organisatorische Anforderungen... 25 1.4.1 SSO im Unternehmen... 26 1.4.2 SSO zwischen Unternehmen... 27 1.5 Identitätsverwaltung... 30 2 Single-Sign-on-Technologien und -Standards... 35 2.1 Konzepte im SAP-Umfeld... 36 2.1.1 Digitale Signatur und Zertifikate... 36 2.1.2 SAP Logon Ticket... 41 2.1.3 SAML für Web-Single-Sign-on... 44 2.1.4 SAML für Webservices... 60 2.1.5 Kerberos... 70 2.1.6 OpenID... 76 2.1.7 Vergleich der SSO-Technologien... 81 2.2 Single-Sign-on-Szenarien mit SAP NetWeaver... 83 TEIL II Single-Sign-on für Benutzerschnittstellen 3 Workshop: Single Sign-on mit Kerberos für SAP GUI... 89 3.1 Einführung in das Szenario... 90 3.2 Systemvoraussetzungen... 91 3.3 Konfiguration und Test des Szenarios... 91 7
Inhalt 3.4 Wichtige SAP-Hinweise... 92 3.5 Zusammenfassung... 92 4 Workshops: Browser-Single-Sign-on mit Zertifikaten... 93 4.1 Workshop: Active Directory Certificate Services... 94 4.1.1 Einführung in das Szenario... 95 4.1.2 Systemvoraussetzungen... 96 4.1.3 Konfigurationsschritte... 97 4.1.4 Szenario testen... 114 4.1.5 Fehleranalyse und -behebung... 115 4.1.6 Wichtige SAP-Hinweise... 117 4.1.7 Zusammenfassung... 117 4.2 Workshop: SAP Trust Center Service... 118 4.2.1 Einführung in das Szenario... 118 4.2.2 Systemvoraussetzungen... 120 4.2.3 Konfigurationsschritte... 120 4.2.4 Zusammenfassung... 137 5 Workshop: Single Sign-on mit SPNEGO... 139 5.1 Einführung in das Szenario... 139 5.2 Systemvoraussetzungen... 142 5.3 Konfigurationsschritte... 142 5.3.1 Servicebenutzer in der Domäne erstellen... 143 5.3.2 SPN zuordnen... 144 5.3.3 Benutzerspezifisches UME-Attribut für den Kerberos Prinicpal Name hinzufügen... 144 5.3.4 Kerberos-Konfiguration für neuen Realm im Portal anlegen... 145 5.3.5 Authentication Stack im Portal für SPNEGO konfigurieren... 148 5.3.6 Domänen- und Portalbenutzer anlegen... 149 5.4 Szenario testen... 150 5.5 Fehleranalyse und -behebung... 152 5.6 Wichtige SAP-Hinweise... 156 5.7 Zusammenfassung... 157 6 Workshops: Single Sign-on für Webanwendungen mit SAML 2.0... 159 6.1 Workshop: Web-SSO zwischen Unternehmen... 159 6.1.1 Einführung in das Szenario... 160 8
Inhalt 6.1.2 Systemvoraussetzungen... 162 6.1.3 Konfigurationsschritte... 163 6.1.4 Szenario testen... 183 6.1.5 Fehleranalyse und -behebung... 184 6.1.6 Wichtige SAP-Hinweise... 186 6.1.7 Zusammenfassung... 186 6.2 Workshop: Web-SSO in einer heterogenen Systemlandschaft... 187 6.2.1 Einführung in das Szenario... 187 6.2.2 Systemvoraussetzungen... 190 6.2.3 Konfigurationsschritte... 190 6.2.4 Szenario testen... 205 6.2.5 Fehleranalyse und -behebung... 211 6.2.6 Wichtige SAP-Hinweise... 213 6.2.7 Zusammenfassung... 213 7 Workshop: OpenID mit einem externen Portal... 215 7.1 Einführung in das Szenario... 215 7.2 Systemvoraussetzungen... 219 7.3 Konfigurationsschritte... 220 7.3.1 OpenID-URL registrieren... 220 7.3.2 OpenID-Komponenten im Portal installieren... 220 7.3.3 Neue OpenID-Anmeldeanwendung aktivieren... 223 7.3.4 UME-Attribut für OpenID-URL anlegen... 225 7.3.5 Authentication Stack für OpenID konfigurieren... 225 7.4 Szenario testen... 227 7.5 Fehleranalyse und -behebung... 230 7.6 Wichtige SAP-Hinweise... 232 7.7 Zusammenfassung... 233 TEIL III Single-Sign-on mit Webservices 8 Workshops: Single Sign-on zum AS ABAP als WS-Provider 237 8.1 Einführung... 238 8.2 Single Sign-on zwischen einer Serveranwendung und AS ABAP mit SAML-Sender-Vouches... 241 8.2.1 Konfiguration des WS-Providers für SAML-Sender- Vouches... 242 8.2.2 Konfiguration des WS-Providers... 244 9
Inhalt 8.2.3 Selbst signierten Signaturschlüssel für den WS-Consumer erzeugen... 246 8.2.4 Vertrauensbeziehung einrichten... 248 8.3 Workshop: Single Sign-on mit Apache Axis2 und Apache Rampart... 255 8.3.1 Single Sign-on mit SAML 1.1-Sender-Vouches... 256 8.3.2 Konfiguration des WS-Providers... 256 8.3.3 WS-Consumer erstellen... 257 8.3.4 WS-Consumer konfigurieren... 262 8.3.5 Webservice aufrufen... 266 8.3.6 Vertrauensbeziehung einrichten... 267 8.3.7 Szenario testen... 268 8.3.8 Fehleranalyse und -behebung... 269 8.4 Workshop: Single Sign-on mit Sun Metro 2.0... 270 8.4.1 Single Sign-on mit SAML 1.1-Sender-Vouches... 271 8.4.2 WS-Provider konfigurieren... 271 8.4.3 WS-Consumer erstellen... 272 8.4.4 WS-Consumer konfigurieren... 275 8.4.5 Webservice aufrufen... 277 8.4.6 Vertrauensbeziehung einrichten... 278 8.4.7 Szenario testen... 279 8.4.8 Fehleranalyse und -behebung... 279 8.5 Workshop: Single Sign-on mit anderen EE5-Plattformen... 280 8.5.1 Single Sign-on mit SAML 1.1-Sender-Vouches... 281 8.5.2 WS-Provider konfigurieren... 282 8.5.3 WS-Consumer erstellen... 282 8.5.4 WS-Consumer konfigurieren... 282 8.5.5 Vertrauensbeziehung einrichten... 283 8.5.6 Szenario testen... 283 8.5.7 Fehleranalyse und -behebung... 283 8.6 Workshop: Single Sign-on mit einer.net-serveranwendung... 283 8.6.1 Single Sign-on mit SAML 1.1-Sender-Vouches... 284 8.6.2 WS-Provider konfigurieren... 285 8.6.3 WS-Consumer erstellen... 285 8.6.4 WS-Consumer konfigurieren... 285 8.6.5 Vertrauensbeziehung einrichten... 286 8.6.6 Szenario testen... 287 8.6.7 Fehleranalyse und -behebung... 287 8.7 Single Sign-on zwischen Desktop-Anwendungen und dem AS ABAP... 287 8.7.1 Authentifizierung mit SAML-Holder-of-Key... 288 10
Inhalt 8.7.2 Einführung in das Szenario... 289 8.7.3 Authentifizierung mit X.509-Zertifikaten... 290 8.8 Workshop: Single Sign-on mit X.509-Zertifikaten zwischen einer Java-Desktop-Anwendung mit Sun Metro und AS ABAP 7.00... 290 8.8.1 Provider-Konfiguration anlegen... 291 8.8.2 Vertrauensbeziehung einrichten... 292 8.8.3 Benutzerabbildung über den Report RSUSREXT... 292 8.8.4 WS-Consumer erstellen... 293 8.8.5 WS-Consumer konfigurieren... 293 8.8.6 Szenario testen... 293 8.8.7 Fehleranalyse und -behebung... 294 8.9 Workshop: Single Sign-on zwischen Microsoft Office und dem AS ABAP... 294 8.9.1 Single Sign-on mit SAML 1.1-Holder-of-Key... 295 8.9.2 Systemvoraussetzungen... 297 8.9.3 ADFS-Security-Token-Service konfigurieren... 298 8.9.4 Relying Partys mit AS ABAP 7.02 und 7.30 konfigurieren... 299 8.9.5 Relying Partys mit AS ABAP 7.01 und 7.11 konfigurieren... 302 8.9.6 Auszustellende Claims konfigurieren... 304 8.9.7 Vertrauensbeziehung im SAP-WS-Provider-System einrichten... 305 8.9.8 WS-Provider konfigurieren... 311 8.9.9 WS-Consumer erstellen... 313 8.9.10 WS-Consumer konfigurieren... 313 8.9.11 Szenario testen... 316 8.9.12 Fehleranalyse und -behebung... 317 8.10 Zusammenfassung... 320 9 Workshop: Single Sign-on in SAP NetWeaver BPM... 321 9.1 Einführung in das Szenario... 321 9.2 Systemvoraussetzungen... 326 9.3 Konfigurationsschritte... 327 9.3.1 Voraussetzungen für die Konfiguration des Szenarios... 327 9.3.2 Benutzer für das Szenario anlegen... 328 9.3.3 SAP NetWeaver Developer Studio vorbereiten... 330 9.3.4 BPM-Prozess für Single Sign-on konfigurieren... 334 9.3.5 Nachrichtenbasierte Authentifizierung einrichten... 335 11
Inhalt 9.3.6 Vertrauensbeziehung zwischen WS-Provider und WS-Consumer einrichten... 338 9.3.7 WS-Provider für Single Sign-on konfigurieren... 346 9.3.8 WS-Consumer für Single Sign-on konfigurieren... 349 9.3.9 Abbildungsinformationen des Benutzernamens auf dem SAP ERP-System pflegen... 352 9.4 Szenario testen... 354 9.5 Fehleranalyse und -behebung... 359 9.5.1 Fehlersuche im AS Java... 359 9.5.2 Fehlersuche im AS ABAP... 359 9.6 Wichtige SAP-Hinweise... 362 9.7 Zusammenfassung... 362 Anhang... 363 A Fehleranalyse für die SAML- und X.509-Authentifizierung... 365 B Literatur und weiterführende Websites... 367 C Die Autoren... 369 Index... 371 12
Ein wenig Theorie muss sein: Kurz und bündig erfahren Sie in diesem Kapitel, welche Technologien für Single Sign-on mit SAP eine wichtige Rolle spielen und welche Standards unterstützt werden, um auch Fremdsysteme zu integrieren. 2 Single-Sign-on-Technologien und -Standards Mit der Kommerzialisierung des World Wide Webs (WWW) Mitte der neunziger Jahre und dem damit einhergehenden Anstieg zugangsgeschützter Websites wurde der Ruf nach Lösungen laut, die der Flut von Benutzernamen und Passwörtern Einhalt gebieten können. Schnell wurde mit ersten Lösungsvorschlägen wie mit dem 1999 eingeführten.net Passport reagiert, mit dem sein Betreiber Microsoft leidgeprüften Internetanwendern einen zentralen Anmeldedienst zur Verfügung stellte. Einmal auf der Passport-Seite registriert, erfolgte die Anmeldung bei Microsofts eigenen Online-Diensten wie Hotmail oder dem Messenger automatisch und ohne erneute Passworteingabe. Dieses Single-Sign-on-System konnte jedoch nie eine nennenswerte Verbreitung unter Anwendern und Anbietern von geschützten Internetdiensten verzeichnen. Konkurrenz bekam.net Passport etwas später durch die Liberty Alliance: Der im Jahr 2001 von Sun Microsystems gegründete Verbund machte sich die Entwicklung offener Standards für ein dezentral organisiertes Single-Sign-on-System zur Aufgabe und bot damit aus organisatorischer und technologischer Sicht einen Gegenvorschlag zu.net Passport. Obwohl die von der Liberty Alliance verabschiedeten Konzepte nicht für einen weltweiten Anmeldedienst im Internet eingesetzt wurden, beeinflussten viele der dort entstandenen Ideen die Entwicklung eines wichtigen Standards für SSO in Unternehmen und zwischen Geschäftspartnern: die Security Assertion Markup Language (SAML). SAML gesellt sich zu einer Reihe weiterer Technologien wie digitale Zertifikate, Kerberos und OpenID, die ebenfalls im SAP-Umfeld für SSO von Bedeutung sind und im folgenden Abschnitt genauer betrachtet werden. 35
2 Single-Sign-on-Technologien und -Standards 2.1 Konzepte im SAP-Umfeld Den von SAP unterstützten Technologien und Standards für Single Sign-on liegen unterschiedliche Ansätze zugrunde. 2.1.1 Digitale Signatur und Zertifikate Betrachten wir zunächst die digitale Signatur, die in vielen nationalen und internationalen Gesetzesregelungen grundsätzlich mit der klassischen papiergebundenen Unterschrift juristisch gleichgestellt wird. Zur Erstellung einer digitalen Signatur kann die asymmetrische Verschlüsselung eingesetzt werden. Dabei kommen zwei komplementäre, aber miteinander in Beziehung stehende Schlüssel zum Einsatz. Das Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel (Private und Public Key), ist so entworfen, dass mit dem öffentlichen Schlüssel verschlüsselte Daten nur mit dem passenden privaten Schlüssel entschlüsselt werden können (und umgekehrt: nur mit dem richtigen privaten Schlüssel chiffrierte Informationen können auch von Empfängern, die im Besitz des zugehörigen öffentlichen Schlüssels sind, dechiffriert werden). Abbildung 2.1 zeigt, dass der Sender zur Erstellung einer digitalen Signatur auf die betreffende Nachricht zunächst eine Hash-Funktion anwendet 1, deren Ergebnis er mit seinem, nur ihm bekannten privaten Schlüssel chiffriert 2. Zur Überprüfung der Signatur liegen dem Empfänger sowohl die Nachricht als auch die Signatur vor, deren verschlüsselten Hash-Wert er zunächst mit dem öffentlichen Schlüssel des Senders dechiffriert 3. Anschließend wird, wie beim Sender, noch einmal der Hash mit der gleichen Hash- Funktion erzeugt, den der Empfänger mit dem entschlüsselten Ergebnis des vorangegangenen Schritts vergleicht 4. Nur wenn beide Werte übereinstimmen 5, wurde die Nachricht offensichtlich nicht manipuliert. Darüber hinaus kann die Nachricht nur vom Sender unterschrieben worden sein, da nur er im Besitz des privaten Signaturschlüssels ist und nur der dazu passende öffentliche Schlüssel den chiffrierten Hash-Wert entschlüsseln kann. Der Message Authentication Code (MAC) erweitert das Funktionsprinzip der Hash-Funktion, indem er zur Berechnung des digitalen Fingerabdrucks noch einen geheimen, nur dem Sender und Empfänger bekannten symmetrischen Schlüssel (Secret Key) verwendet. Berechnet der Empfänger nach dem Erhalt einer Nachricht den gleichen MAC wie der Sender, so kann er von folgenden Annahmen ausgehen: 36
Konzepte im SAP-Umfeld 2.1 Sender Empfänger Nachricht Hash A3d641 Nachricht und Signatur A3d641 A3d641 privater Schlüssel des Senders A3d641 öffentlicher Schlüssel des Senders Nachricht Abbildung 2.1 Digitale Signatur Die Nachricht wurde auf dem Weg vom Sender zum Empfänger nicht verändert. Eine Manipulation der Daten durch Dritte hätte zu einer Abweichung zwischen dem neu berechneten MAC und dem MAC des Senders geführt. Weiterhin kann ausgeschlossen werden, dass ein Angreifer einen neuen gültigen MAC für von ihm geänderte Daten in die Kommunikation eingeschleust hat, da er nicht in Besitz des geheimen Schlüssels ist. Die Nachricht wurde vom Sender erstellt, da nur er im Besitz des geheimen Schlüssels ist, mit dem sich ein gültiger MAC berechnen lässt. Somit erfüllen die digitale Signatur und der MAC die gleichen Sicherheitsziele: Schutz der Integrität und Authentizität elektronischer Daten und Nachrichten. Unterschiede existieren nur hinsichtlich der Authentifizierung: Während der Sender für den MAC nur einen Wissensnachweis über einen geheimen Schlüssel erbringen muss, muss er bei der digitalen Signatur zusätzlich noch im Besitz des digitalen Zertifikats sein. Weiterhin setzt der MAC voraus, dass der geheime Schlüssel zuvor über einen sicheren Kanal an die Kommunikationspartner verteilt wurde. Technisch betrachtet wird durch die Verwendung einer digitalen Signatur oder eines MACs allerdings nur nachgewiesen, dass der Sender der Nachricht 37
2 Single-Sign-on-Technologien und -Standards in Besitz des geheimen bzw. privaten Schlüssels gewesen sein muss. Ein direkter Bezug zur Identität des Senders existiert nicht, weil der Schlüssel keinerlei Zusatzinformationen beinhaltet, die dem Empfänger weitere Auskünfte über den Inhaber liefern. Offensichtlich reicht der öffentliche Schlüssel nicht alleinig dazu aus, um einen sicheren und vertrauenswürdigen Kanal zwischen den Kommunikationspartnern zu etablieren. An dieser Stelle kommen die digitalen Zertifikate ins Spiel, mit denen die Identität des Besitzers eines öffentlichen Schlüssels beglaubigt wird. Auf diese Weise können die Empfänger einer Nachricht feststellen, ob die Daten tatsächlich vom angegebenen Absender signiert worden sind. Herausgegeben werden die digitalen Zertifikate von sogenannten Zertifizierungsstellen (Certificate Authority, CA). Ein digitales Zertifikat enthält in der Regel die folgenden Angaben: den Namen oder eine andere eindeutige Bezeichnung des Inhabers des öffentlichen Schlüssels den Namen oder eine andere eindeutige Bezeichnung der Zertifizierungsstelle den öffentliche Schlüssel, der mit dem Zertifikat beglaubigt wird den Gültigkeitszeitraum des Zertifikats die von der Zertifizierungsstelle vergebene Seriennummer des Zertifikats den von der Zertifizierungsstelle eingeräumten Verwendungszweck des öffentlichen Schlüssels im Zertifikat (z. B. Datenverschlüsselung, Signaturprüfung) Zu all diesen Informationen berechnet die Zertifizierungsstelle eine digitale Signatur, die sie dem Zertifikat ebenfalls hinzufügt und damit ihrerseits bestätigt, alle aufgeführten Angaben zur Identität des Inhabers sorgfältig geprüft zu haben. Am weitesten verbreitet sind heute Zertifikate nach dem X.509- Standard der International Telecommunication Union (ITU), deren Struktur und Inhalt weitestgehend den oben aufgeführten Angaben entsprechen. In der aktuellen Version 3 (X.509v3) lassen sich noch zusätzliche, vom Standard vorgegebene sowie benutzerspezifische Attribute in Form von sogenannten Zertifikaterweiterungen (Extensions) angeben, um z. B. die Verwaltung von Identitäten in bestimmten Anwendungsbereichen zu vereinfachen. Da grundsätzlich jeder Besitzer eines Schlüsselpaars Zertifikate ausstellen kann, spielt die Zertifizierungsstelle eine entscheidende Rolle. 38
Konzepte im SAP-Umfeld 2.1 Als unabhängige Dritte beglaubigen Zertifizierungsstellen die Identität der Besitzer öffentlicher Schlüssel und übernehmen damit eine ähnliche Rolle wie ein Notar, dem beide Kommunikationspartner ihr Vertrauen schenken. Abhängig davon, welcher Aufwand für die Überprüfung der Identitäten erbracht wird, bezeichnen von den Zertifizierungsstellen definierte Qualitätsklassen die Vertrauenswürdigkeitsstufe des öffentlichen Schlüssels und schränken seinen Gebrauch entsprechend ein. Zertifikate für den privaten Gebrauch sind häufig nur an eine gültige E-Mail-Adresse gebunden und können über ein Online-Formular bestellt werden. Hingegen erfordert der kommerzielle Einsatz stärkere Identitätsnachweise, wie z. B. einen aktuellen Handelsregisterauszug oder sogar das persönliche Erscheinen des Schlüsselbesitzers. Zertifizierungsstellen unterscheiden zudem zwischen Zertifikaten für Endanwender (Benutzerzertifikate) und Serverzertifikaten. Bei der Verwendung von Benutzerzertifikaten ist der Benutzer aktiv und unmittelbar in den Signaturprozess eingebunden. Dass heißt, dass er nach der Prüfung (Inaugenscheinnahme) der Daten den Signaturprozess lokal auf einer ihm zugeordneten Anzeige- und Signaturanwendungskomponente, z. B. auf einem PC mit Kartenlesegerät und Signaturkarte, startet. Im Gegensatz dazu werden die Daten beim Einsatz eines Serverzertifikats mit einem benutzerunabhängigen Schlüsselpaar unterschrieben. Die zu signierenden Daten werden an den Server geschickt, der den Signaturprozess auch ohne vorherige Interaktion mit dem Anwender mit seinem eigenen Schlüsselpaar durchführt. Insbesondere der Einsatz von Benutzerzertifikaten setzt technische Komponenten und Prozesse voraus, die auch als Public Key Infrastructure (PKI) bezeichnet werden und entweder im Unternehmen selbst oder durch einen externen Dienstleister erbracht werden müssen. Um dem Zertifikat und damit dem Sender sein Vertrauen zu schenken, muss der Empfänger zunächst prüfen, ob das Zertifikat die Signatur einer von ihm als vertrauenswürdig eingestuften Zertifizierungsstelle trägt. Solche Zertifikate werden bei international anerkannten Herausgebern in der Regel von den Herstellern der Prüfkomponente (z. B. Browser, Anwendungsserver) beigelegt und müssen somit nicht noch zusätzlich installiert werden. Dennoch kann es vorkommen, dass auch diese Zertifikate in den Prüfkomponenten aktualisiert werden müssen. 39
2 Single-Sign-on-Technologien und -Standards Es stellt sich nun noch die Frage, wie die Echtheit der von der Zertifizierungsstelle geleisteten Unterschrift geprüft wird das Zertifikat der Certificate Authority (CA) müsste wiederum selbst von einer ihr übergeordneten Stelle beglaubigt worden sein usw. Für eine praktische Umsetzung dieses rekursiven Modells ohne Abbruchkriterium ist es erforderlich, dass an der Spitze einer solchen Zertifizierungshierarchie oder Zertifikatskette eine vertrauenswürdige Wurzelinstanz (Root-CA) stehen muss, die sich ihr Zertifikat selbst ausgestellt hat. Solche Zertifikate werden auch als selbst signierte Wurzelzertifikate (self-signed Root Certificates) bezeichnet. Die Benutzeranmeldung über X.509-Zertifikate wird in der Regel von allen gängigen Webbrowsern unterstützt. Diese richten beim Zugriff auf eine geschützte Ressource eine Secure-Sockets-Layer-Verbindung (SSL) zum Server mit bidirektionaler, d. h. beidseitiger (mutual) Authentifizierung, ein. Dabei überprüft der Webbrowser nicht nur die Identität des Webservers über das X.509-Zertifikat, sondern der Webserver fordert auch ein gültiges Zertifikat vom Benutzer an, bevor es zu einem erfolgreichen Verbindungsaufbau kommt. Secure Sockets Layer (SSL) und Transport Layer Security (TLS) Bereits 1994 entsprach die Firma Netscape Communications Corporation dem Wunsch nach einem einfachen, für den Benutzer weitestgehend transparenten Mechanismus zum Schutz vertraulicher Daten und zur sicheren Authentifizierung von Kommunikationspartnern im Internet mit der Veröffentlichung der Version 1.0 des SSL-Protokolls (Secure Sockets Layer). Die damalige Marktdominanz des Browsers Netscape Navigator verhalf SSL zu einer schnellen Verbreitung. SSL avancierte zum offiziellen Internetstandard und erhielt im Januar 1999 in der Version 3.0 den Rang eines RFC-Standards der Internet Engineering Task Force (IETF). RFC 2246 benannte SSL 3.0 in TLS (Transport Layer Security) 1.0 um, nahm aber sonst keine wesentlichen Änderungen an den ursprünglichen Protokollmechanismen vor. Seit April 2006 existiert eine aktualisierte Fassung in der Version 1.1 (RFC 4346). SSL/TLS ist im ISO-/OSI-Referenzmodell oberhalb der Transport- und unterhalb der Anwendungsschicht angesiedelt. In der Praxis kommt in der Regel die Sicherung von HTTP-Verbindungen über SSL zum Einsatz, die der Browser mit dem Protokollpräfix https://... einleitet. Da SSL/TLS an kein bestimmtes Anwendungsprotokoll gebunden ist, kann es aber ebenso gut in Verbindung mit FTP oder Telnet eingesetzt werden. Auf diese Weise baut SSL/TLS zwischen zwei Kommunikationspartnern eine sichere Punkt-zu-Punkt-Verbindung auf, über die alle zu übertragenden Informationen gleich behandelt werden. Zertifikate decken allerdings die Anforderungen an ein SSO-System nur bedingt ab. Grundsätzlich können sie natürlich als Anmeldeersatz verwendet 40
Konzepte im SAP-Umfeld 2.1 werden, sofern der Empfänger den von der Zertifizierungsstelle attestierten Identitätsdaten im Benutzerzertifikat sein Vertrauen schenkt. Dennoch fügen sich Benutzerzertifikate nur schwer als Pendant einer Anmeldebestätigung in das gängige Bild eines SSO-Systems ein. Zertifikate verfügen in der Regel über eine wesentlich längere Gültigkeit als eine durchschnittliche Benutzeranmeldung, die häufig nur einige Minuten oder maximal Stunden andauert. Diesem Unterschied trägt unter anderem der im Vergleich zur Systemanmeldung wesentlich aufwendigere Prozess der Benutzeridentifizierung bei der Registrierung und Herausgabe eines Zertifikats Rechnung. Außerdem zeigen Zertifikate sich vergleichsweise unflexibel bei der Aufnahme zusätzlicher Benutzerattribute, die z. B. für die Anmeldung an bestimmten Systemen erforderlich wären. Einmal ausgestellt kann das Zertifikat nicht mehr um zusätzliche Informationen ergänzt werden es würde seine Gültigkeit verlieren. Hingegen sind Zertifikate eine sehr sichere Option für die Primärauthentifizierung am IdP, um daraufhin eine leichtgewichtigere SSO-Technologie für die Anmeldung des Users an anderen Systemen zu verwenden. 2.1.2 SAP Logon Ticket Eine Alternative zu Zertifikaten sind die sogenannten Anmelde-Cookies. Ein Anmelde-Cookie wird dem Benutzer nur nach einer zuvor erfolgreich durchgeführten Anmeldung über herkömmliche Mechanismen, wie z. B. Benutzername und Passwort, oder stärkere Authentifizierungsverfahren, wie z. B. Zertifikate, durch eine zentrale Komponente im Netzwerk ausgestellt, die eine unternehmensweite Sicht über die Identitäten und die ihnen zugeordneten Benutzerkennungen liefert. Einmal im Besitz eines gültigen Anmelde-Cookies, wird es vom Webbrowser des Benutzers automatisch an die Zielanwendungen übermittelt. Diesen bleibt es nun überlassen, eine Authentifizierungsentscheidung auf der Grundlage der empfangenen Informationen zu fällen. Vertraut die jeweilige Anwendung der durch das Anmelde-Cookie getroffenen Aussage, dass sich sein Besitzer zuvor erfolgreich am Aussteller des Cookies angemeldet hat, wird dem Benutzer der Zugriff gewährt. Grundsätzliche Voraussetzung dafür ist eine Vertrauensbeziehung zwischen dem Aussteller und den Anwendungen, die mittels einer PKI und des Austauschs von Zertifikaten außerhalb des eigentlichen Single-Sign-on-Prozesses etabliert werden kann. Ob über den Besitz des Anmelde-Cookies hinaus noch weitere Informationen vonseiten des Benutzers für eine erneute Authentifizierung notwendig sind, bleibt den jeweiligen Anwendungen überlassen. 41
SSL mit X.509-Client-Zertifikaten diese Kombination wird fast von jedem System unterstützt. Sehen Sie, wie Sie auf der Grundlage bewährter Technologien Single Sign-on mit Ihrem SAP-System in Browserszenarien erreichen können. 4 Workshops: Browser-Single-Sign-on mit Zertifikaten Wie bereits in Abschnitt 2.1.1,»Digitale Signatur und Zertifikate«, erläutert, sind Zertifikate ein sehr weit verbreitetes Mittel zur Authentifizierung von Systemen und Benutzern und die Grundlage von SSL. Auch in SAP-Systemen hat der Browser als Schnittstelle zwischen Benutzer und SAP-System schon längst dieselbe Bedeutung wie das SAP GUI. Moderne Browser verfügen über eine Zertifikat- und Schlüsselverwaltung. In dieser können Zertifikate und ihre dazugehörigen privaten Schlüssel sicher im Arbeitsplatzcomputer des Benutzers abgelegt werden. So kann sich ein Benutzer beim Besuchen einer Webanwendung mithilfe seines Zertifikats, das ihm von seiner Zertifizierungsstelle ausgestellt wurde, authentifizieren. Die Authentifizierung mittels Benutzerzertifikat erfolgt auf der Basis der vorhergehenden Authentifizierung am Desktop, die den Zugriff auf die Schlüsselverwaltung des Browsers ermöglicht hat. Für diese Art von Single Sign-on müssen auf den beteiligten Systemen die folgenden Voraussetzungen erfüllt sein: Die von der Zertifizierungsstelle ausgestellten Benutzerzertifikate müssen auf die Arbeitsplätze der Benutzer verteilt werden. Falls an einem Arbeitsplatz mehrere Benutzer arbeiten können, muss sichergestellt werden, dass jeder Benutzer nur auf sein eigenes Zertifikat zugreifen darf. Zertifikate können ungültig werden. Abgelaufene oder zurückgerufene Zertifikate müssen durch neue ersetzt werden können. Die Server müssen so konfiguriert werden, dass sie den Zertifikaten vertrauen, die die Zertifizierungsstelle ausgestellt hat. Außerdem muss es möglich sein, den Benutzer anhand eines vorliegenden Zertifikats eindeutig zu identifizieren. 93
4 Workshops: Browser-Single-Sign-on mit Zertifikaten Die folgenden beiden Workshopteile behandeln daher. 1. Die sichere Verteilung von Benutzerzertifikaten im Unternehmen. 2. Die Konfiguration von ABAP-Systemen zur Benutzer-authentifizierung mittels X.509-Zertifikaten über SSL-gesicherte Verbindungen. Der erste Teil befasst sich mit Realisierung des Szenarios mit Hilfe des Microsoft Active Directory und den Active Directory Certificate Services. Der zweite Teil beschreibt die Einbindung des SAP Trust Centers, einer SAP-eigenen Zertifizierungsstelle, speziell für SAP Kunden. 4.1 Workshop: Active Directory Certificate Services Um ein unternehmensweites Single Sign-on zu ermöglichen, wird häufig das Microsoft Active Directory verwendet. Benutzer und Netzwerkressourcen werden hier in sogenannten Domänen verwaltet. Die Endanwender melden sich an ihrem Desktop an und können so auf eine Vielzahl von Diensten im Netzwerk wie Drucker, File Shares oder Webserver zugreifen, ohne sich dabei erneut authentifizieren zu müssen. Mithilfe der Active Directory Certificate Services (AD CS) kann das Active Directory auch als Zertifizierungsstelle betrieben werden. So kann für jeden Benutzer in der Domäne ein Zertifikat ausgestellt werden, das für die Authentifizierung verwendet werden kann. Die Ausstellung sowie die Verteilung der Zertifikate wird ebenfalls vom Active Directory übernommen und kann voll automatisiert werden. Ein kostengünstiger Betrieb der Zertifizierungsstelle ist somit gewährleistet. Über die Active Directory Certificate Services Seit Windows Server 2008 sind die AD CS als eigene Serverrolle installierbar. In Windows Server 2003 ist dieselbe Funktion als die optionale Windows-Komponente mit dem Namen Certificate Services enthalten. ABAP-Systeme unterstützen die Anmeldung an Webanwendungen mit SSL und X.509-Zertifikaten. Jedem SAP-Benutzer im System kann ein Zertifikat zugeordnet werden, mit dem er identifiziert werden kann. Diese Art der Anmeldung wird schon seit dem SAP-Basisrelease 6.40 unterstützt und eignet sich daher auch sehr gut zur Integration von älteren SAP-Systemen. 94
Workshop: Active Directory Certificate Services 4.1 In diesem Workshop werden Sie lernen, wie Sie Ihr Active Directory als Zertifizierungsstelle betreiben können, um den Domänenbenutzern Single Signon zu ihren SAP-Systemen zu ermöglichen. 4.1.1 Einführung in das Szenario Ziel ist es, dass ein Domänenbenutzer nach der erfolgreichen Authentifizierung an seinem Desktop, der Teil der Domäne ist, ohne erneute Anmeldung auf den SAP NetWeaver Application Server ABAP zugreifen können. Der Zugriff erfolgt mit dem Browser, und die Verbindung ist mit SSL gesichert. Das Active Directory dient hierbei als Authentifizierungs- und Zertifizierungsstelle. Damit verwaltet es die Benutzer in der Domäne und deren Benutzerzertifikate. Die Benutzerzertifikate werden voll automatisch auf die Desktops der authentifizierten Benutzer verteilt. Eine Aktion vonseiten des Benutzers bzw. des Administrators der Domäne ist nicht erforderlich. Grundlage dieses Systemverhaltens ist eine Gruppenrichtlinie, die das sogenannte Certificate Autoenrollment in der Domäne freischaltet. Das SAP-System vertraut dem Active Directory als Zertifizierungsstelle. Damit gewährt es allen Domänenbenutzern mit einem gültigen Zertifikat von der Zertifizierungsstelle den Zugriff auf seine Daten. Des Weiteren wird in der Tabelle USREXTID die Zuordnung aller ausgestellten Zertifikate zu deren SAP-Benutzen gepflegt. So kann ein Domänenbenutzer anhand seines Benutzerzertifikats eindeutig als Benutzer im SAP-System identifiziert werden. Active Directory (AD) CSR Authentication Service (AS) Zertifizierungsstelle (AD CS) Principal Datenbank Zertifikat- Datenbank Zertifikat öffentlicher und privater Schlüssel AD CS Vertrauensbeziehung Desktop Browser öffentlicher und privater Schlüssel des Benutzers SAP NetWeaver AS ABAP Zer fikat CN=JOHND, O=ADCA, C=US CN=ALICEO, O=ADCA, C=US CN=BOBJ, O=ADCA, C=US SAP-Benutzer JOHND ALICEO BOBJ Abbildung 4.1 Ausstellung der Benutzerzertifikate und Anmeldung am SAP-System 95
4 Workshops: Browser-Single-Sign-on mit Zertifikaten Abbildung 4.1 zeigt das Gesamtbild. 1 Möchte sich ein Benutzer an seinem Desktop anmelden, wird eine Anfrage an den Authentication Service des Active Directorys gestellt. Ist der eingegebene Benutzername mitsamt dem Passwort korrekt, wird dem Benutzer der Zugriff auf seinen Desktop gewährt. 2 Aufgrund der in der Domäne gültigen Gruppenrichtlinie für das Certificate Autoenrollment wird jetzt für den neu angemeldeten Benutzer ein Zertifikatantrag (Certificate Signing Request, CSR) an die Zertifizierungsstelle geschickt. Zu diesem Zweck wird ein asymmetrisches Schlüsselpaar generiert. Der private Schlüssel wird dazu verwendet, den Zertifikatantrag zu signieren, und der öffentliche Schlüssel wird dem Antrag beigelegt. Weiter ist der private Schlüssel in der Windows-Zertifikatsverwaltung abgespeichert; nur der Benutzer, für den der Schlüssel generiert wurde, kann ihn verwenden. Existiert für den jeweiligen Benutzer bereits ein Zertifikat mitsamt dem Schlüsselpaar, wird keine Zertifikatanfrage gestartet. 3 Die Zertifizierungsstelle im Active Directory prüft den Zertifikatantrag. Sie erstellt daraufhin ein Benutzerzertifikat, dem der im Zertifikatantrag mitgeschickte öffentliche Schlüssel beilegt wird. Schließlich wird das Benutzerzertifikat mit dem eigenen privaten Schlüssel signiert und der Antwort beigelegt. Sobald das Zertifikat am Desktop angekommen ist, wird es im Windows-Zertifikatspeicher abgespeichert. 4 Wenn der Domänenbenutzer eine mit SSL gesicherte Seite des AS ABAP öffnen möchte, übermittelt der Server die Liste der vertrauenswürdigen Zertifizierungsstellen. Der Browser findet im Windows-Zertifikatspeicher das im vorherigen Schritt ausgestellte Zertifikat mitsamt dem privaten Schlüssel und verwendet es zur Authentifizierung am Server. Der AS ABAP prüft nun, ob das Zertifikat vertrauenswürdig ist, dann wird der Benutzer anhand der Zuordnung des SAP-Benutzers zum Zertifikat in der Tabelle USREXTID authentifiziert. Er ist nun am SAP-System angemeldet. 4.1.2 Systemvoraussetzungen Für die Umsetzung des in diesem Workshop behandelten Szenarios werden die in Tabelle 4.1 aufgeführten Systeme mit den entsprechend installierten Softwarekomponenten benötigt. 96
Workshop: Active Directory Certificate Services 4.1 System Windows Active Directory/ Zertifizierungsstelle Desktops der Benutzer SAP-System Software Microsoft Windows Server 2008 Enterprise mit Active Directory Windows Server 2003 Enterprise mit Active Directory Services ab Schema Version 34 Microsoft-Desktop-Betriebssysteme wie Windows XP (ab Service Pack 2) Windows Vista Windows 7 SAP NetWeaver AS ABAP 6.40 oder höher Tabelle 4.1 Systemvoraussetzungen 4.1.3 Konfigurationsschritte Die Konfigurationsschritte dieses Workshops werden mit einem AS ABAP 7.00 und Windows Server 2008 bzw. Windows 7 dokumentiert. Als Browser wird der Microsoft Internet Explorer verwendet (es kann jeder Browser, der den Windows-Schlüsselspeicher verwendet, genutzt werden). Für jeden Domänenbenutzer, den Sie in diesem Szenario verwenden möchten, muss bereits ein passender SAP-Benutzer im SAP-System vorhanden sein, z. B. tdcwdf09\johnd in der Domäne und»johnd«im SAP-System. Zertifikat-Enrollment mit Genehmigungsprozess Im Workshop wird das Certificate Autoenrollment beschrieben. Dies bedeutet, dass zur Ausstellung bzw. Erneuerung eines Zertifikats keine Interaktion vonseiten des Administrators bzw. des Benutzers erforderlich ist. Diese Schritte können jedoch auch mit Genehmigungsprozessen, z. B. durch einen Administrator, versehen werden. Installation der Zertifizierungsstelle für Ihre Domäne Um das Active Directory als Zertifizierungsstelle zu betreiben, müssen die Active Directory Certificate Services installiert werden. Diese können unmittelbar auf dem Domänencontroller oder auf jedem anderen Server der Domäne installiert werden. 1. Starten Sie den Server Manager auf dem Desktop, der zu Ihrer Zertifizierungsstelle werden soll. Den Server Manager finden Sie im Startmenü unter Settings Control Panel Administrative Tools Server Manager. 97