Connector für SAP Business Suite - SAP Trust Manager SSO Konfiguration
Allgemeines
Mit dem Trust Manager Modul des Connectors für SAP Business Suite lässt sich ein Single Sign On (SSO) und damit eine automatische Authentifizierung von Intrexx-Benutzern in SAP realisieren. Dazu generiert das Modul anhand kryptographischer Verfahren pro Benutzersession ein SSO-Ticket, mit dem Intrexx die Portalbenutzer für den Zugriff auf SAP authentifiziert. Umgekehrt können SAP-Benutzer ohne erneute Anmeldung von SAP auf Intrexx zugreifen. Im Folgenden wird die Einrichtung des Trust Manager Moduls in Intrexx und SAP beschrieben. Weitere Informationen zum Thema finden Sie auch im Entwicklerhandbuch Teil 1.
Installation
Für die Trust Manager SSO Konfiguration wird mit Intrexx eine Applikation ausgeliefert, die Sie ganz einfach in Ihr Portalimportieren können. Sie finden die Import-Datei "sap-business-suite-connector.zip" im Installationsverzeichnis "adapter/sap". Voraussetzung für den Einsatz der Applikation ist die Installation und Konfiguration des Connectors für SAP Business Suite.
Hier sehen Sie die Startseite der Applikation im Browser. Um das Trust Manager Modul zu starten, klicken Sie auf "SAP Trust Manager (SSO)".
PSE-Keystore
Es wird ein PSE-Keystore mit dem Zertifikat zum Signieren der SSO-Tokens mit dem Zielort "internal/cfg/security/system.pse" im Portalverzeichnis benötigt. Keystore-Eigenschaften:
-
Type: JKS
-
Provider: SUN
-
Type: Key Pair
-
Public Key: DSA (1.024 bits)
-
Signature Algorithm: SHA1withDSA
Der Keystore kann hier mit Klick auf "Neuer Eintrag" oder alternativ mit dem Java-Keytool erstellt werden.
PSE
Tragen Sie hier den Titel ein.
Organisation
Tragen Sie hier die Organisation ein.
Organisationseinheit
Tragen Sie hier die Organisations-Einheit ein.
Land
Tragen Sie hier den Ländercode ein.
Passwort
Tragen Sie hier das Keystore-Passwort ein.
Klicken Sie "Speichern".
Klicken Sie hier auf "Datensatz auswählen".
Mit Klick auf "Zertifikat" kann das Zertifikat heruntergeladen werden.
SSO-Parameter
Klicken Sie hier auf "SSO Parameter".
Klicken Sie hier auf "Neuer Parameter".
Parameter
Tragen Sie hier "SYSID" ein.
Wert
Tragen Sie hier die SID des SAP-Systems ein. Klicken Sie "Speichern".
SSO aktivieren
Klicken Sie hier auf "SSO aktivieren".
Setzen Sie hier die Einstellung "SSO aktivieren" und klicken Sie auf "Speichern".
Login
Für die Anmeldung eines Intrexx-Benutzers mit SSO am SAP-System muss der Intrexx-Benutzername dem SAP-Benutzernamen entsprechen. Alternativ kann der SAP-Benutzername in der Intrexx-Session mit dem Key "sapsso_user" hinterlegt werden. Ist dieser nicht definiert, wird in der Tabelle "xia_sec_user_mapping" nach einem Mapping für den User geschaut. Wird keines gefunden, muss Intrexx-Benutzername mit dem SAP-Benutzernamen übereinstimmen. Damit bei der Anmeldung eines Benutzers in Intrexx automatisch das SSO-Ticket für SAP erzeugt wird, muss der Login-Prozess im Prozess "SAP Business Suite Connector" aktiviert werden.
Die Aktion "SAP Trust Manager" überprüft, ob der User in SAP existiert und generiert dann das SSO-Ticket, das für weitere Zugriffe in der Session abgelegt wird.
SAP-Konfiguration
-
Damit RFC-Verbindungen zwischen Intrexx und SAP erlaubt sind, ist der Profil-Parameter "gw/acl_mode" auf 0 zu setzen oder die entsprechenden ACL-Files in SAP zu pflegen. Der Parameter kann über die Transaktion "RZ10" definiert bzw. geändert werden. Danach muss das SAP-System neu gestartet werden.
-
Nun muss das zuvor von Intrexx heruntergeladene Zertifikat in SAP hochgeladen werden. Dazu muss die Transaktion "STRUSTSSO2" aufgerufen werden.
-
Rufen Sie "Certificate / Import" auf und wählen Sie die Zertifikat-Datei aus.
-
Das Zertifikat sollte nun unter "Certicifate" angezeigt werden.
-
Klicken Sie "Add to Certificate List" und dann "Add to ACL".
-
Das Zertifikat sollte nun in der Certificate-List stehen als auch unter "Logon Ticket" unter "ACL". Prüfen Sie dort, ob SID und Mandant (Client ID) zusammenpassen.
-
Verlassen Sie die Transaktion.
-
Rufen Sie die Transaktion "SM59" auf, um die TCP-Verbindung von SAP zu Intrexx zu testen.
-
Unter den TCP/IP-Verbindungen muss es eine passende Verbindung zum SAP-System und Intrexx-Portal geben (hier z.B. Portal "SAP70" und SID "UP1").
-
Führen Sie einen Doppelklick auf die Verbindung aus und klicken Sie dann auf "Verbindungstest". Das Ergebnis sollte in etwa wie folgt aussehen:
-
Verlassen Sie die Transaktion.
-
Testen Sie das SSO-Ticket mit der Transaktion "SSO2".
-
Wählen Sie unter "Destination" die RFC-Verbindung zu Intrexx aus und führen Sie den Test aus.
-
Das Ergebnis sollte in etwa wie folgt aussehen:
Im Fehlerfall sind die Hinweise im Protokoll zu beachten.
Weitere Informationen
SAP Trust Manager SSO configuration
API Beschreibung Teil 1 - Übersicht
API Beschreibung Teil 2 - SAP Portal Plugin
API Beschreibung Teil 3 - Implementierung eigener Verarbeitungsmodule
API Beschreibung Teil 4 - Beispielcodings
Entwicklerhandbuch Teil 2 - Integrationsszenario SAP-Fremddatengruppe
Entwicklerhandbuch Teil 3 - Integrationsszenario Skripting
Entwicklerhandbuch Teil 4 - Personalisierter SAP Zugriff / Single Sign On (SSO)