MARKUS NÜSSELER-POLKE SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON FÜR SAP UND NON-SAP UMGEBUNGEN WIE MELDEN SIE SICH AN SAP AN? 1
Alltägliche Situation beim Kunden! Nüsseler Pa$$w0rd Nüsseler R2-D2 Nüsseler Null-8/15 Nüsseler 2Secret;-) Regeln für sichere Passworte: Buchstaben, Ziffern und Sonderzeichen HR System:! Pa$$w0rd! Keine Einträge aus Wörterbuch Mindestlänge: 8 Zeichen Ablaufperiode: 90 Tage Nach Systemen getrennt Password Black-List SAP Help Portal By using a one-way hash routine, the system converts a user s plain-text password to a corresponding hash value... http://help.sap.com/erp2005_ehp_04/helpdata/en/3e/cdacc5edc411d3a6510000e835363f/frameset.htm 2
Situation SAP Standard: Unverschlüsselte Kommunikation Benutzername und Passwort werden unverschlüsselt übertragen Alle Daten bzw. Informationen werden unverschlüsselt übertragen Es ist einfach das Passwort auszuspionieren Single Sign-On über Windows Anmeldung! Kundenwunsch nach Single Sign-On Meine Anwender sind an Windows angemeldet und sollen nun direkt auf die SAP Anwendung zugreifen können. Die Lösung ist schnell umgesetzt. Die Anwender müssen keine neuen Abläufe lernen. Kerberos Ticket SAP NW SSO Client SAP NW SSO Library? Kerberos Ticket 3
Single Sign-On über Smartcard! Kundenwunsch nach sicherem Single Sign-On Mein Anwender verwenden eine Smartcard mit PIN um sich zu authentisieren. Die sogenannte 2-Faktor Authentisierung. Authentisierung mit Smartcard und PIN ist deutlich sicherer als ein Paßwort. Zertifikat SAP NW SSO Client SAP NW SSO Library? + PIN Authentisierung über RSA SecurID Token! Kundenwunsch nach Authentisierung über one time password Ein Teil meiner Anwender arbeitet mit extrem sensiblen Daten. Die Anwender benutzen RSA SecurID Token den VPN Zugang. Für jede Anmeldung an die entsprechenden SAP Anwendungen muss das RSA SecurID Token verwendet werden. Meine übrigen SAP Anwendungen enthalten keine extrem sensiblen Daten. Für diese Systeme sollte eine Single Sign-On basierend auf der Windows Anmeldung möglich sein. Umgang mit sensiblen Daten Starke Authentisierung Kein Single Sign-On Kerberos Ticket Umgang mit Standard-Daten Windows Anmeldung Single Sign-On 4
Starke Authentisierung Sichere Authentisierung der SAP Anwender Smartcard mit Anwender Zertifikat Microsoft CA mit Anwender Zertifikat im Windows Profile RSA SecurID Token Windows Benutzername und Passwort SAP Benutzername und Passwort Zufriedenheit steigt Die Anwender freuen sich über: Weniger Anmeldevorgänge pro Arbeitstag Weniger Paßwortwechsel Weniger Paßwortrecherchen Wegfall der Paßwortverwaltung Das Anwender Helpdesk freut sich über: Deutliche Reduzierung der Tickets Kannst Du bitte mein Passwort freischalten! 5
WAS PASSIERT MIT DEN NICHT-SAP ANWENDUNGEN? SAP Enterprise Single Sign-On Enterprise SSO Client Passworte Secure Login Client 6
ZUSAMMENFASSUNG Zusammenfassung SAP NetWeaver Single Sign-On Trennung von Benutzer Authentisierung und Single Sign-On Wahl der Authentisierung X.509 Zertifikate auf Smartcard oder Microsoft Certificate Store Kerberos / Microsoft Active Directory LDAP, RADIUS, RSA SecurID Single Sign-On SAP NetWeaver ABAP inkl. WebGUI SAP NetWeaver Java Systeme Drittanbieter: Windows Programme, Web-Seiten, Terminal Emulationen Verschlüsselte Kommunikation über die Standard Protokolle SNC / Secure Network Communications SSL / Secure Socket Layer 7
Fakten SAP NetWeaver Single Sign-On Single Sign-On Zufriedenere Anwender mit erhöhter Produktivität Verringerung von Password-Reset-Calls Erhöhung der Sicherheit auch für die Passwort Authentisierung Optional: Kompletter Verzicht auf Passworte im SAP System Starke Authentisierung und Verschlüsselung Einhaltung von unternehmensinternen und gesetzlichen Vorgaben Unternehmensweite Authentisierung auch für die SAP Systeme Datenintegrität Vertraulichkeit Ursprungsnachweis it-sa 2012 Sie wollen mehr über das Thema erfahren? Besuchen Sie uns an unserem Messestand Halle 12 Standnummer 326 8
Markus Nüsseler-Polke Senior Consultant SECUDE GmbH Rheinstrasse 97 64295 Darmstadt, Germany T +49 (6151) 828 9716 M +49 (170 572 94 54 nuesseler@secude.com www.secude.com Copyright! SECUDE GmbH 2012. All rights reserved. All other product and service names mentioned are the trademarks of their respective companies. No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SECUDE IT Security. The information contained herein may be changed without prior notice. SAP and other named SAP products and associated logos are brand names or registered trademarks of SAP AG in Germany and other countries in the world. Microsoft, Windows and Active Directory are brand names or registered trademarks of Microsoft Corporation in the United States. ACE/Server, RSA and SecurID are brand names or registered trade-marks of RSA Security Inc. 9