CIM Infotag: Single Sign-On Projekt bei SAP

540 Aufrufe

Veröffentlicht am

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
540
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
39
Aktionen
Geteilt
0
Downloads
5
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

CIM Infotag: Single Sign-On Projekt bei SAP

  1. 1. Single Sign-On Projekt bei SAP Christian Lechner | Technical Service Owner PKI/SSO | SAP Global IT März 2013
  2. 2. © 2012 SAP AG. All rights reserved. 2  Anwendungsszenarien  Historie  Neukonzeption  Single Sign-on Client  Public Key Infrastructure / X.509 Zertifikate  Architekturüberblick  Projektergebnisse  Fragen und Antworten Agenda
  3. 3. © 2012 SAP AG. All rights reserved. 3 • Anmeldung an Systeme über die SAP GUI • Anmeldung an interne webbasierte Anwendungen • Anmeldung an Cloud Services • Über 20.000 Backendsysteme • Verpflichtend für viele Businesssysteme • Hauptfokus auf Microsoft Windows Clientbetriebssysteme Anwendungsszenarien
  4. 4. © 2012 SAP AG. All rights reserved. 4 • SAP führte 1999 zum ersten Mal eine zertifikatsbasierte Single Sign-on Lösung ein • Auf SECUDE Technologien basierte, zentrale Public Key Infrastructure (PKI) • Initialer Rollout an über 30.000 Anwender • Getrennte Anmeldung am Single Sign-on Client • Die verwendeten Zertifikate wurden temporär im lokalen Zertifikatspeicher abgelegt • Resultierende Probleme: • Starke Abhängigkeit von der Verfügbarkeit der PKI • Hoher Supportaufwand durch getrennte Anmeldung am Single Sign-on Client • Lange Anmeldezeiten an Remotestandorten • Keine Offlineverfügbarkeit der Zertifikate Historie
  5. 5. © 2012 SAP AG. All rights reserved. 5 • SAP IT begann 2008 mit der Neukonzeption der internen Single Sign-on Lösung • Ziele des Projektes: • Aktualisierung des Root Zertifikats der alten CA welches im Mai 2010 auslief. • Implementierung eines „echten“ Single Sign-On welches nach der Windows Anmeldung keine weitere Anmeldung benötigt • Reduzierung des Supportaufwands • Eliminierung des Backends als Single Point of Failure • Support für Microsoft Windows 7 und zukünftige Windows Betriebssysteme • Verringerung der Anmeldezeiten • Update aller vorhandener Clientinstallationen Neukonzeption
  6. 6. © 2012 SAP AG. All rights reserved. 6 • Rollout des zu diesem Zeitpunkt aktuellen SECUDE Sign-On Secure 4.2.x Client • Migration aller Anwender und Clientcomputer innerhalb von drei Monaten • 90.000 Endanwender (interne und externe Mitarbeiter) • 80.000 Client Computer • 900 Citrix Terminal Server • Mit Windows 8 erfolgt das Upgrade auf den neuen SAP NetWeaver® Secure Login Client Single-Sign-On Client
  7. 7. © 2012 SAP AG. All rights reserved. 7 • Public Key Infrastructure • Microsoft Enterprise CA auf Basis von Active Directory Certificate Services • Microsoft Windows Server 2008 R2 als Plattform • Weiterhin als zentrale Infrastruktur in Walldorf • X.509 Zertifikate • Die Benutzerzertifikate werden über betriebssysteminterne Mechanismen ausgestellt und erneuert (Autoenrollment) • Die Zertifikate werden über das Active Directory synchronisiert um die Verfügbarkeit der Zertifikate auf allen Windows Clients zu gewährleisten (Credential Roaming) • Der gesamte Prozess wird über Gruppenrichtlinien gesteuert • Projekt zur Erneuerung der PKI Infrastructure gestartet 2012 • Aktualisierung der Sicherheitsstandards • Erweiterung der Hochverfügbarkeit Public Key Infrastructure / X.509 Zertifikate
  8. 8. © 2012 SAP AG. All rights reserved. 8 1. Benutzerdaten werden durch das IDM System provisioniert 2. Der Benutzer meldet sich am Active Directory an 3. Das X.509 Zertifikat wird durch die Microsoft Windows Enterprise CA signiert und im Zertifikatsspeicher des Betriebssystems abgelegt 4. Single Sign-on ist über den SAP NW SSO Login Client in SAP GUI Sitzungen verfügbar 5. Single Sign-on ist im Browser direkt für Web basierte Anwendungen verfügbar Architektur SAP GUI R3 Active Directory Browser Web Certification Authority Windows Local Store SAP NW IDM 1. 1. 2. 3. 4. 5. 3.
  9. 9. © 2012 SAP AG. All rights reserved. 9 • Alle Projektziele wurden durch die gewählte Architektur erreicht • Sehr hohe Anwenderzufriedenheit • Reduktion der Single Sign-on bezogenen Supporttickets um 75% von durchschnittlich 950 auf 240 pro Monat reduziert • Die Single Sign-on Zertifikate werden allen Betriebssystem Plattformen verwendet. • Das Projektteam war eines der Recognized IT Teams 2010 • Die Projekterfahrungen gingen in das Buch „Single Sign-on mit SAP“ (SAP Press) ein • Automatisierte Zertifikatsverteilung auf Mobiledevices in Zusammenhang mit SAP Afaria in Planung • Evaluierung der Integration der Zertifikate in Windows Credential Manager Projektergebnisse
  10. 10. © 2012 SAP AG. All rights reserved. 10 ..Questions….
  11. 11. © 2012 SAP AG. All rights reserved. 11 Kontaktdaten: Christian Lechner Technical Service Owner PKI/SSO / SAP Global IT c.lechner@sap.com Vielen Dank für ihre Aufmerksamkeit!

×