Mit dem Trust Manager Modul des Connectors für SAP Business Suite lässt sich ein Single Sign On (SSO)
und damit eine automatische Authentifizierung von Intrexx-Benutzern in SAP realisieren.
Dazu generiert das Modul anhand kryptographischer Verfahren pro Benutzersession ein SSO-Ticket, mit dem
Intrexx die Portalbenutzer für den Zugriff auf SAP authentifiziert. Umgekehrt können SAP-Benutzer
ohne erneute Anmeldung von SAP auf Intrexx zugreifen. Im Folgenden wird die Einrichtung des
Trust Manager Moduls in Intrexx und SAP beschrieben.
2. Installation
Für die Trust Manager SSO Konfiguration wird mit Intrexx eine
Applikation ausgeliefert, die Sie ganz einfach in Ihr Portal
importieren können.
Sie finden die Import-Datei sap-business-suite-connector.zip
im Installationsverzeichnisadapter/sap.
Voraussetzung für den Einsatz der Applikation ist die
Installation und
Konfiguration
des Connectors für SAP Business Suite.
Hier sehen Sie die Startseite der Applikation im Browser. Um das Trust Manager Modul
zu starten, klicken Sie auf SAP Trust Manager (SSO).
3. PSE-Keystore
Es wird ein PSE-Keystore mit dem Zertifikat zum Signieren der SSO-Tokens mit dem
Zielort internal/cfg/security/system.pse im
Portalverzeichnis benötigt.
Keystore-Eigenschaften:
Type: JKS
Provider: SUN
Type: Key Pair
Public Key: DSA (1.024 bits)
Signature Algorithm: SHA1withDSA
Der Keystore kann hier mit Klick auf
Neuer Eintrag oder alternativ mit dem Java-Keytool erstellt werden.
PSE
Tragen Sie hier den Titel ein.
Organisation
Tragen Sie hier die Organisation ein.
Organisations-Einheit
Tragen Sie hier die Organisations-Einheit ein.
Land
Tragen Sie hier den Ländercode ein.
Passwort
Tragen Sie hier das Keystore-Passwort ein.
Klicken Sie Speichern.
Klicken Sie hier auf
Datensatz auswählen.
Mit Klick auf Zertifikat kann das Zertifikat
heruntergeladen werden.
4. SSO-Parameter
Klicken Sie hier auf SSO Parameter.
Klicken Sie hier auf
Neuer Parameter.
Parameter
Tragen Sie hier SYSID ein.
Wert
Tragen Sie hier die SID des SAP-Systems ein.
Klicken Sie Speichern.
5. SSO aktivieren
Klicken Sie hier auf SSO aktivieren.
Setzen Sie hier die Einstellung SSO aktivieren
und klicken Sie auf Speichern.
6. Login
Für die Anmeldung eines Intrexx-Benutzers mit SSO am SAP-System muss der Intrexx-Benutzername
dem SAP-Benutzernamen entsprechen. Alternativ kann der SAP-Benutzername in der Intrexx-Session
mit dem Key sapsso_user hinterlegt werden. Ist dieser nicht definiert,
wird in der Tabelle xia_sec_user_mapping nach einem Mapping für
den User geschaut. Wird keines gefunden, muss Intrexx-Benutzername mit dem SAP-Benutzernamen
übereinstimmen. Damit bei der Anmeldung eines Benutzers in Intrexx automatisch das SSO-Ticket
für SAP erzeugt wird, muss der Login-Prozess im Prozess
SAP Business Suite Connector aktiviert werden.
Die Aktion SAP Trust Manager überprüft, ob der User in SAP
existiert und generiert dann das SSO-Ticket, das für weitere Zugriffe in der Session
abgelegt wird.
7. SAP-Konfiguration
Damit RFC-Verbindungen zwischen Intrexx und SAP erlaubt sind, ist der Profil-Parameter
gw/acl_mode auf 0 zu setzen oder die entsprechenden ACL-Files in SAP
zu pflegen. Der Parameter kann über die Transaktion RZ10 definiert bzw.
geändert werden. Danach muss das SAP-System neu gestartet werden.
Nun muss das zuvor von Intrexx heruntergeladene Zertifikat in SAP hochgeladen werden.
Dazu muss die Transaktion STRUSTSSO2 aufgerufen werden.
Rufen Sie Certificate / Import auf und wählen Sie die
Zertifikat-Datei aus.
Das Zertifikat sollte nun unter Certicifate angezeigt werden.
Klicken Sie Add to Certificate List und dann Add to ACL.
Das Zertifikat sollte nun in der Certificate-List stehen als auch unter Logon Ticket
unter ACL. Prüfen Sie dort, ob SID und Mandant (Client ID)
zusammenpassen.
Verlassen Sie die Transaktion.
Rufen Sie die Transaktion SM59 auf, um die TCP-Verbindung von SAP zu Intrexx zu testen.
Unter den TCP/IP-Verbindungen muss es eine passende Verbindung zum SAP-System und Intrexx-Portal geben
(hier z.B. Portal SAP70 und SID UP1).
Führen Sie einen Doppelklick auf die Verbindung aus und klicken Sie dann auf
Verbindungstest. Das Ergebnis sollte in etwa wie folgt aussehen:
Verlassen Sie die Transaktion.
Testen Sie das SSO-Ticket mit der Transaktion SSO2.
Wählen Sie unter Destination die RFC-Verbindung zu Intrexx
aus und führen Sie den Test aus.
Das Ergebnis sollte in etwa wie folgt aussehen:
Im Fehlerfall sind die Hinweise im Protokoll zu beachten.