sap netweaver sso ve kimlik yönetimi ile Üst düzeyde güvenlik.b.koray Çelik

SAP Analitik & İnovasyon Forum

İstanbulOyun Devam Ediyor

SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik

B.Koray ÇELİK / Technology Senior Consultant

SAP Türkiye

© 2013 SAP AG or an SAP affiliate company. All rights reserved. 2

Gündem

• Şifrelerin hayatımıza maliyeti

• Çözüme genel bakış

• Kullanılan senaryolar

• Genel görünüm

• Sorular?


Şifrelerin Hayatımıza Maliyeti

• Şifreler hayatımızın her noktasında: Banka hesapları, bilgisayar hesapları, iş

sistemleri, e-posta hesapları, web siteleri, akıllı cihazlar vb.

• Karmaşıklık zorunluluğu, yenileme periyotları

• Şifre yorgunluğu ???

• Giriş yaparken ve şifre değiştirirken kaybedilen zaman

• Şifre ile ilgili yardım masası çağrıları


Problemin kaynağı nedir?


Zayıf şifrelerin sonuçları çok yıkıcı olabilir...


Çözüm?

SAP NetWeaver Single Sign-On


Compliant Identity Management and Single Sign-On


SAP NetWeaver Identity Management and Single Sign-On



Amaç?

Sadece bir defa kimlik doğrulama

SAP kullanıcı kontrolü için Windows kimlik doğrulamasını tekrar

kullanmak, X.509 sertifikaları ve/veya Kerberos teknolojisi aracılığıyla

Single Sign-On ve Güvenli Ağ İletişimi:

SAP GUI (SAP Logon)

SAP NetWeaver Business Client

SAP Business Explorer (BEx)

Web GUI (Browser)

Java Uygulamaları

vb…



Çözüm Bileşenleri

•Legacy sistemler için single sign-on (E-SSO)

(ftp, databases, terminal, telnet)

•Kullanıcı adı ve şifreyle güvenli ve otomatik

giriş

•Endüstri standartlarında SAPGUI’ye single sign-

on (Kerberos, X.509)

•Web tabanlı uygulamalar için single sign-on

•Kritik uygulamalar için dijital imza ve kimlik

doğrulama

SA

P N

etW

ea

ver

Sin

gle

Sig

n-O

n

Secure Login

Enterprise Single Sign-On

Cross-domain ortamlar için SAML teknolojisi ile

Single Sign-On ve Identity FederationIdentity Federation

SA

P

NW SNC Client Encryption

•SAP Windows istemcileri ve SAP uygulama

sunucuları arasında temel kriptolama

•Single Sign-On olarak kullanılamaz

Senaryolar

Secure Login Senaryoları

Senaryo 1Secure Login bileşeniyle SSO (Kerberos aracılığıyla)


Microsoft

Active

Directory

AS ABAP 1


Secure Login bileşeniyle SSO (Kerberos aracılığıyla)

NW AS JAVA

3

DIAG, RFC (SNC)

HTTP/HTTPS

Single Sign-On ve

Güvenli Bağlantı

SAP GUI

SAP GUI ya da Web GUI

başlatılır2

1

Kullanıcı Windows

oturumunu açar

UME

Secure Login Client

Secure Login Library

SPNEGO

Kerberos

keyTab

keyTab

AS ABAP 2


Güvenli

RFC (SNC)

bağlantısı (X.509

sertifikaları ile)

Secure Login Library X.509 Sertifikasını ve Kerberos’u destekler

Senaryo 2Windows Kullanıcı Doğrulamasını Tekrar Kullanma

(Secure Login Server - X.509 Sertifikası Aracılığıyla)


Microsoft

Active

Directory

NW AS ABAP

SPNEGO


Secure Login – SLS & X.509 Sertifikası

NW AS JAVA

NW AS JAVA

Secure Login Client

Secure Login Server

6

DIAG, RFC (SNC)

HTTPS

Single Sign-On ve

Güvenli Bağlantı

HTTPSSAPCRYPTOLIB


SAPCRYPTOLIB

SAP GUI

X.509 sertifikası

sağlanır4

2

Kullanıcı bilgileri

gönderilir3

Kullanıcı

kontrol edilir

keyTab

1

Kullanıcı Windows

oturumunu açar

SAP GUI ya da Web GUI

başlatılır5

UME

(SSL)

(SNC)

(SSL)



Diğer Kullanım Senaryoları

Varolan X.509 Public Key Infrastructure(PKI) yapısının tekrar kullanılması: Secure Login

Server olmadan varolan PKI kullanılabilir. (Software Sertifikaları)

X.509 Sertifikaları aracılığıyla RSA SecurID Token Kullanıcı Doğrulaması: RSA SecurID

Token’ları SAP AS ABAP ve ASP AS JAVA sistemlerine erişim için kullanılabilir. Oluşturulan

X.509 sertifikaları diğer 3. parti yazılımlarda da kullanılabilir.

X.509 Sertifikası Aracılığıyla Windows Kullanıcı Doğrulamasını Tekrar Kullanma (Web

Client ile): Web Client sayesinde SAP GUI ve web uygulamalarına sıfır ayakizi bırakarak

şifresiz ve güvenli erişim.



Enterprise Single Sign-on – Password Manager

E-SSO Legacy sistemlere ve SSO desteği olmayan ortamlara şifresiz erişim

Erişim sağlanan yerler:

Web Uygulamaları

Windows Uygulamaları

Java Uygulamaları

Veritabanları

Terminal Arayüzleri

Önemli noktalar:

Wizard tabanlı

Otomatik ve/veya

sürükle bırak doğrulama

Smart card uyumlu

En Uygun Çözüm Hangisi?

SAP farklı yöntemlerle farklı SSO çözümleri

sunuyor.

Peki hangisi sizin için en uygun?



Kerberos Tabanlı Çözümün Avantajları

Canlıya geçirilmesi en kolay çözüm

SSO odaklı çözüm

Daha az güvenlik gereksinimi

Microsoft ortamıyla tam entegrasyon

Active Directory Sistemiyle sırtsırta bir çözüm

Ekstra Sunucu ya da Servis ihtiyacı yok

Hızlı İmplementasyon (Rapid Deployment)

SSO Odaklı

Kerberos Teknolojisi

MicrosoftIntegration

Rapid Deployment



X.509 Sertifikalarıyla Çözümün Avantajları

Farkı seviyedeki güvenlik gereksinimlerini

karşılayabilme, birleşik çözümlere uygunluk

(Software Token, Smartcard, USB

Smart Token, OTP Token, etc…)

Out of the box PKI: Hazır PKI yapısıyla

entegre edilebilir ya da sıfır PKI imkanı

Endüstri standartlarında çözüm sunarak birçok

uygulamada kullanım olanağı(SAP olmayan

uygulamalar için)

RSA SecurID Desteği

X.509 dijital imzaların SAP AS ABAP içinde kullanılması

(SSF – Re-Authentication)

Secure Login Web Client (Son kullanıcılarda hiçbir kurulum

gerektirmeme özelliği)

Ölçeklenebilir Güvenlik

Esnek Entegrasy

on

Endüstri Standartı


SAP NetWeaver

SNC Client Encryption

NW AS ABAP

SAP ERPSAP GUI / Web GUI / NWBC

RFC / DIAG

Network

Sniffer•SAP Kullanıcı Adı / Şifre

•Veri

Kriptolama yok!!


SAP NetWeaver


Secure Network Communications: SAP NW mimarisinde bir güvenlik katmanı.

Daha güçlü kullanıcı doğrulama, şifreleme ve SSO imkanı sağlar.

SAP NetWeaver lisansı

dahilinde

Son kullanıcılar ve

uygulama sunucuları

arasında kriptolama

SSO’ya destek veren

mekanizma


SAP NetWeaver


Kullanıcı adı ve şifre ile

giriş (SSO yok)

Veri trafiğinin

şifrelenmesi

Kullanıcı bilgisi içinde

SNC name bakımına

gerek yok

sap netweaver sso ve kimlik yönetimi ile Üst düzeyde güvenlik.b.koray Çelik

Documents