sap netweaver sso ve kimlik yönetimi ile Üst düzeyde güvenlik.b.koray Çelik
TRANSCRIPT
SAP Analitik & İnovasyon Forum
İstanbulOyun Devam Ediyor
SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik
B.Koray ÇELİK / Technology Senior Consultant
SAP Türkiye
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 2
Gündem
• Şifrelerin hayatımıza maliyeti
• Çözüme genel bakış
• Kullanılan senaryolar
• Genel görünüm
• Sorular?
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 3
Şifrelerin Hayatımıza Maliyeti
• Şifreler hayatımızın her noktasında: Banka hesapları, bilgisayar hesapları, iş
sistemleri, e-posta hesapları, web siteleri, akıllı cihazlar vb.
• Karmaşıklık zorunluluğu, yenileme periyotları
• Şifre yorgunluğu ???
• Giriş yaparken ve şifre değiştirirken kaybedilen zaman
• Şifre ile ilgili yardım masası çağrıları
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 4
Problemin kaynağı nedir?
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 5
Zayıf şifrelerin sonuçları çok yıkıcı olabilir...
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 6
Çözüm?
SAP NetWeaver Single Sign-On
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 7
Compliant Identity Management and Single Sign-On
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 8
SAP NetWeaver Identity Management and Single Sign-On
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 9
SAP NetWeaver Single Sign-On
Amaç?
Sadece bir defa kimlik doğrulama
SAP kullanıcı kontrolü için Windows kimlik doğrulamasını tekrar
kullanmak, X.509 sertifikaları ve/veya Kerberos teknolojisi aracılığıyla
Single Sign-On ve Güvenli Ağ İletişimi:
SAP GUI (SAP Logon)
SAP NetWeaver Business Client
SAP Business Explorer (BEx)
Web GUI (Browser)
Java Uygulamaları
vb…
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 10
SAP NetWeaver Single Sign-On
Çözüm Bileşenleri
•Legacy sistemler için single sign-on (E-SSO)
(ftp, databases, terminal, telnet)
•Kullanıcı adı ve şifreyle güvenli ve otomatik
giriş
•Endüstri standartlarında SAPGUI’ye single sign-
on (Kerberos, X.509)
•Web tabanlı uygulamalar için single sign-on
•Kritik uygulamalar için dijital imza ve kimlik
doğrulama
SA
P N
etW
ea
ver
Sin
gle
Sig
n-O
n
Secure Login
Enterprise Single Sign-On
Cross-domain ortamlar için SAML teknolojisi ile
Single Sign-On ve Identity FederationIdentity Federation
SA
P
NW SNC Client Encryption
•SAP Windows istemcileri ve SAP uygulama
sunucuları arasında temel kriptolama
•Single Sign-On olarak kullanılamaz
Senaryolar
Secure Login Senaryoları
Senaryo 1Secure Login bileşeniyle SSO (Kerberos aracılığıyla)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 13
Microsoft
Active
Directory
AS ABAP 1
SAP NetWeaver Single Sign-On
Secure Login bileşeniyle SSO (Kerberos aracılığıyla)
NW AS JAVA
3
DIAG, RFC (SNC)
HTTP/HTTPS
Single Sign-On ve
Güvenli Bağlantı
SAP GUI
SAP GUI ya da Web GUI
başlatılır2
1
Kullanıcı Windows
oturumunu açar
UME
Secure Login Client
Secure Login Library
SPNEGO
Kerberos
keyTab
keyTab
AS ABAP 2
Secure Login Library
Güvenli
RFC (SNC)
bağlantısı (X.509
sertifikaları ile)
Secure Login Library X.509 Sertifikasını ve Kerberos’u destekler
Senaryo 2Windows Kullanıcı Doğrulamasını Tekrar Kullanma
(Secure Login Server - X.509 Sertifikası Aracılığıyla)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 15
Microsoft
Active
Directory
NW AS ABAP
SPNEGO
SAP NetWeaver Single Sign-On
Secure Login – SLS & X.509 Sertifikası
NW AS JAVA
NW AS JAVA
Secure Login Client
Secure Login Server
6
DIAG, RFC (SNC)
HTTPS
Single Sign-On ve
Güvenli Bağlantı
HTTPSSAPCRYPTOLIB
Secure Login Library
SAPCRYPTOLIB
SAP GUI
X.509 sertifikası
sağlanır4
2
Kullanıcı bilgileri
gönderilir3
Kullanıcı
kontrol edilir
keyTab
1
Kullanıcı Windows
oturumunu açar
SAP GUI ya da Web GUI
başlatılır5
UME
(SSL)
(SNC)
(SSL)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 16
SAP NetWeaver Single Sign-On
Diğer Kullanım Senaryoları
Varolan X.509 Public Key Infrastructure(PKI) yapısının tekrar kullanılması: Secure Login
Server olmadan varolan PKI kullanılabilir. (Software Sertifikaları)
X.509 Sertifikaları aracılığıyla RSA SecurID Token Kullanıcı Doğrulaması: RSA SecurID
Token’ları SAP AS ABAP ve ASP AS JAVA sistemlerine erişim için kullanılabilir. Oluşturulan
X.509 sertifikaları diğer 3. parti yazılımlarda da kullanılabilir.
X.509 Sertifikası Aracılığıyla Windows Kullanıcı Doğrulamasını Tekrar Kullanma (Web
Client ile): Web Client sayesinde SAP GUI ve web uygulamalarına sıfır ayakizi bırakarak
şifresiz ve güvenli erişim.
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 17
SAP NetWeaver Single Sign-On
Enterprise Single Sign-on – Password Manager
E-SSO Legacy sistemlere ve SSO desteği olmayan ortamlara şifresiz erişim
Erişim sağlanan yerler:
Web Uygulamaları
Windows Uygulamaları
Java Uygulamaları
Veritabanları
Terminal Arayüzleri
Önemli noktalar:
Wizard tabanlı
Otomatik ve/veya
sürükle bırak doğrulama
Smart card uyumlu
En Uygun Çözüm Hangisi?
SAP farklı yöntemlerle farklı SSO çözümleri
sunuyor.
Peki hangisi sizin için en uygun?
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 19
SAP NetWeaver Single Sign-On
Kerberos Tabanlı Çözümün Avantajları
Canlıya geçirilmesi en kolay çözüm
SSO odaklı çözüm
Daha az güvenlik gereksinimi
Microsoft ortamıyla tam entegrasyon
Active Directory Sistemiyle sırtsırta bir çözüm
Ekstra Sunucu ya da Servis ihtiyacı yok
Hızlı İmplementasyon (Rapid Deployment)
SSO Odaklı
Kerberos Teknolojisi
MicrosoftIntegration
Rapid Deployment
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 20
SAP NetWeaver Single Sign-On
X.509 Sertifikalarıyla Çözümün Avantajları
Farkı seviyedeki güvenlik gereksinimlerini
karşılayabilme, birleşik çözümlere uygunluk
(Software Token, Smartcard, USB
Smart Token, OTP Token, etc…)
Out of the box PKI: Hazır PKI yapısıyla
entegre edilebilir ya da sıfır PKI imkanı
Endüstri standartlarında çözüm sunarak birçok
uygulamada kullanım olanağı(SAP olmayan
uygulamalar için)
RSA SecurID Desteği
X.509 dijital imzaların SAP AS ABAP içinde kullanılması
(SSF – Re-Authentication)
Secure Login Web Client (Son kullanıcılarda hiçbir kurulum
gerektirmeme özelliği)
Ölçeklenebilir Güvenlik
Esnek Entegrasy
on
Endüstri Standartı
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 21
SAP NetWeaver
SNC Client Encryption
NW AS ABAP
SAP ERPSAP GUI / Web GUI / NWBC
RFC / DIAG
Network
Sniffer•SAP Kullanıcı Adı / Şifre
•Veri
Kriptolama yok!!
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 22
SAP NetWeaver
SNC Client Encryption
Secure Network Communications: SAP NW mimarisinde bir güvenlik katmanı.
Daha güçlü kullanıcı doğrulama, şifreleme ve SSO imkanı sağlar.
SAP NetWeaver lisansı
dahilinde
Son kullanıcılar ve
uygulama sunucuları
arasında kriptolama
SSO’ya destek veren
mekanizma
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 23
SAP NetWeaver
SNC Client Encryption
Kullanıcı adı ve şifre ile
giriş (SSO yok)
Veri trafiğinin
şifrelenmesi
Kullanıcı bilgisi içinde
SNC name bakımına
gerek yok