In einigen Szenarien wird es erforderlich sein, einen personalisierten SAP-Zugriff zu verwenden.
Für den SAP-Zugriff wird mindestens der in den SAP-Datenquellen gepflegte Systembenutzer verwendet.
Es ist aber auch möglich, einen benutzerabhängigen SAP-Benutzer zu verwenden, um dann im SAP-System
die dort hinterlegten Berechtigungen zu beachten oder eine erneute Anmeldung am SAP zu vermeiden.
In diesem Abschnitt wird erläutert, wie solche Anforderungen wie:
Passwortprüfung durch SAP
Zugriff auf SAP mit dem realen SAP-Benutzer
Aufruf von SAP-Webseiten (WebDynpro, BSP-Anwendungen) mit Single-Sign-On (SSO)
Start von SAPGUI-Transaktionen mit Parameterübergabe
umgesetzt werden können.
1. Loginmodus
An vielen Stellen mit SAP-Zugriff spielt der Loginmodus eine Rolle. Folgende Loginmodi werden vom
Connector für SAP Business Suite verwendet:
Loginmode
Verwendung
system
Verwendung des an der SAP-Datenquelle hinterlegten Systembenutzers
user
Ausschließliche Verwendung der persönlichen Anmeldeinformationen
des eingeloggten Portalbenutzers. Zur Ermittlung dieser Informationen
werden keine Anmeldeinformationen ermittelt. Sind diese falsch,
ist kein Zugriff auf SAP möglich.
mixed
Es wird versucht, einen Zugriff im user-Mode durchzuführen. Misslingt dies,
wird der system-Modus verwendet.
Die Anmeldeinformationen zu jedem Portalbenutzer können in der Intrexx-Benutzerverwaltung
als Externes Login
hinterlegt werden.
Welches Externe Login für die Anmeldung am SAP-Systems verwendet wird, kann an der
SAP-Datenquelle angegeben werden.
Alternativ ist eine Portalanmeldung mit Passwortprüfung gegen ein
SAP-System möglich. Dabei wird das eingebende Passwort gegen das angegebene SAP-System geprüft.
In Intrexx muss ein gleichnamiger Benutzerstamm vorhanden sein. Eine parallele Passwortpflege bzw.
–replikation ist dann nicht notwendig. Zusätzlich ermöglicht diese Anmeldeart auch Single-Sign-On-Szenarien
über SAP-Logon-Tickets.
Über die Skript-API des Connectors für SAP Business Suite ist eine gezielte Einflussnahme
auf den personalisierten Zugriff möglich, um in Projekten
weitere Login-Szenarien zu ermöglichen.
2. SAP Login-Module
Intrexx Login-Module ermöglichen die Autorisierung am Portal über externe Stellen. Zu den im Standard ausgelieferten
Login-Modulen gehört beispielsweise die Prüfung gegen einen externen LDAP-Server.
Das Portallogin kann so konfiguriert werden, dass verschiedene Login-Module nacheinander ablaufen,
bis eines der Login-Module den Portalanwender autorisiert hat. Zu jedem möglichen Portalanwender
muss ein Benutzerstamm in Intrexx existieren, der jedoch keine Passwortprüfung enthalten muss
und über Intrexx-Bordwerkzeuge repliziert
werden kann.Der Connector für SAP Business Suite bringt eigene Login-Module mit, die z.B. die Passwortprüfungen
durch SAP für SAP-Benutzer, SU05-Internet-Benutzer oder SAP-Geschäftspartner implementieren.
Das Portallogin und die aufzurufenden Login-Module werden in der Konfigurationsdatei
LucyAuth.cfg des Portals gepflegt. Eine Login-Konfiguration, die
erst über den SAP-Benutzerstamm, dann die SU05-Internet-Benutzer des Kundenstammes und anschließend
das Intrexx Standardlogin-prüft, ist hier dargestellt:
Das hier verwendete SAP-Login-Module ist die Voraussetzung für die Erzeugung von
SAP-Logon-Tickets,
die in Single-Sign-On-Szenarien verwendet werden. Bei der erfolgreichen Anmeldung
des Portalanwenders am SAP-System wird automatisch ein solches Ticket generiert, das dann später
für die Einbindung von SAP-Internetseiten oder SAP-Shortcuts verwendet werden kann.
3. Single-Sign-On mit SAP-Logon-Tickets
Single-Sign-On (SSO) bzw. die Vermeidung einer unnötigen mehrfachen Anmeldung wird mit Intrexx
über SAP-Logon-Tickets erreicht. Informationen hierzu findet man beispielsweise im SAP-Hinweis
304450. Der SAP-Server muss dazu SSO-Tickets ausstellen und akzeptieren
(RZ10-Parameter login/accept* und login/create*).
Weiterhin muss die Transaktion TRUSTSSO2 initialisiert sein.
Das Portal erzeugt ein Ticket über den SAP-Funktionsbaustein
SUSR_CHECK_LOGON_DATA im angegebenen SAP-System, das später für
SSO-Szenarien zur Verfügung steht. Dieses Verfahren wird durch die
SAP-Login-Module zur Verfügung gestellt.
Das SAP-System muss für die Verwendung von Logon-Tickets konfiguriert werden (vgl. SAP Hinweis
612670). Derzeit wird nur die Autorisierung mit SAP-Benutzername bzw.
Alias und Passwort unterstützt (Funktionsbaustein SUSR_CHECK_LOGON_DATA: AUTH_METHOD = "P").
Weitere Prüfungen werden evtl. später zur Verfügung gestellt oder lassen sich in Projekten verwirklichen.