Connector für SAP Business Suite - SAP Trust Manager SSO Konfiguration

Weitere Informationen
Entwicklerhandbuch Teil 1

1. Allgemeines

Mit dem Trust Manager Modul des Connectors für SAP Business Suite lässt sich ein Single Sign On (SSO) und damit eine automatische Authentifizierung von Intrexx-Benutzern in SAP realisieren. Dazu generiert das Modul anhand kryptographischer Verfahren pro Benutzersession ein SSO-Ticket, mit dem Intrexx die Portalbenutzer für den Zugriff auf SAP authentifiziert. Umgekehrt können SAP-Benutzer ohne erneute Anmeldung von SAP auf Intrexx zugreifen. Im Folgenden wird die Einrichtung des Trust Manager Moduls in Intrexx und SAP beschrieben.

2. Installation

Für die Trust Manager SSO Konfiguration wird mit Intrexx eine Applikation ausgeliefert, die Sie ganz einfach in Ihr Portal importieren können. Sie finden die Import-Datei sap-business-suite-connector.zip im Installationsverzeichnis adapter/sap. Voraussetzung für den Einsatz der Applikation ist die Installation und Konfiguration des Connectors für SAP Business Suite.



Hier sehen Sie die Startseite der Applikation im Browser. Um das Trust Manager Modul zu starten, klicken Sie auf SAP Trust Manager (SSO).

3. PSE-Keystore

Es wird ein PSE-Keystore mit dem Zertifikat zum Signieren der SSO-Tokens mit dem Zielort internal/cfg/security/system.pse im Portalverzeichnis benötigt. Keystore-Eigenschaften:

• Type: JKS
• Provider: SUN
• Type: Key Pair
• Public Key: DSA (1.024 bits)
• Signature Algorithm: SHA1withDSA

Der Keystore kann hier mit Klick auf Neuer Eintrag oder alternativ mit dem Java-Keytool erstellt werden.

PSE

Tragen Sie hier den Titel ein.

Organisation

Tragen Sie hier die Organisation ein.

Organisations-Einheit

Tragen Sie hier die Organisations-Einheit ein.

Land

Tragen Sie hier den Ländercode ein.

Passwort

Tragen Sie hier das Keystore-Passwort ein.

Klicken Sie Speichern.



Klicken Sie hier auf Datensatz auswählen.



Mit Klick auf Zertifikat kann das Zertifikat heruntergeladen werden.

4. SSO-Parameter

Klicken Sie hier auf SSO Parameter.



Klicken Sie hier auf Neuer Parameter.

Parameter

Tragen Sie hier SYSID ein.

Wert

Tragen Sie hier die SID des SAP-Systems ein. Klicken Sie Speichern.

5. SSO aktivieren

Klicken Sie hier auf SSO aktivieren.



Setzen Sie hier die Einstellung SSO aktivieren und klicken Sie auf Speichern.

6. Login

Für die Anmeldung eines Intrexx-Benutzers mit SSO am SAP-System muss der Intrexx-Benutzername dem SAP-Benutzernamen entsprechen. Alternativ kann der SAP-Benutzername in der Intrexx-Session mit dem Key sapsso_user hinterlegt werden. Ist dieser nicht definiert, wird in der Tabelle xia_sec_user_mapping nach einem Mapping für den User geschaut. Wird keines gefunden, muss Intrexx-Benutzername mit dem SAP-Benutzernamen übereinstimmen. Damit bei der Anmeldung eines Benutzers in Intrexx automatisch das SSO-Ticket für SAP erzeugt wird, muss der Login-Prozess im Prozess SAP Business Suite Connector aktiviert werden.



Die Aktion SAP Trust Manager überprüft, ob der User in SAP existiert und generiert dann das SSO-Ticket, das für weitere Zugriffe in der Session abgelegt wird.

7. SAP-Konfiguration

1. Damit RFC-Verbindungen zwischen Intrexx und SAP erlaubt sind, ist der Profil-Parameter gw/acl_mode auf 0 zu setzen oder die entsprechenden ACL-Files in SAP zu pflegen. Der Parameter kann über die Transaktion RZ10 definiert bzw. geändert werden. Danach muss das SAP-System neu gestartet werden.
2. Nun muss das zuvor von Intrexx heruntergeladene Zertifikat in SAP hochgeladen werden. Dazu muss die Transaktion STRUSTSSO2 aufgerufen werden.
3. Rufen Sie Certificate / Import auf und wählen Sie die Zertifikat-Datei aus.
4. Das Zertifikat sollte nun unter Certicifate angezeigt werden.
5. Klicken Sie Add to Certificate List und dann Add to ACL.
6. Das Zertifikat sollte nun in der Certificate-List stehen als auch unter Logon Ticket unter ACL. Prüfen Sie dort, ob SID und Mandant (Client ID) zusammenpassen.
   
   
   
7. Verlassen Sie die Transaktion.
8. Rufen Sie die Transaktion SM59 auf, um die TCP-Verbindung von SAP zu Intrexx zu testen.
9. Unter den TCP/IP-Verbindungen muss es eine passende Verbindung zum SAP-System und Intrexx-Portal geben (hier z.B. Portal SAP70 und SID UP1).
   
   
   
10. Führen Sie einen Doppelklick auf die Verbindung aus und klicken Sie dann auf Verbindungstest. Das Ergebnis sollte in etwa wie folgt aussehen:
    
    
    
11. Verlassen Sie die Transaktion.
12. Testen Sie das SSO-Ticket mit der Transaktion SSO2.
    
    
    
13. Wählen Sie unter Destination die RFC-Verbindung zu Intrexx aus und führen Sie den Test aus.
14. Das Ergebnis sollte in etwa wie folgt aussehen:
    
    
    

Im Fehlerfall sind die Hinweise im Protokoll zu beachten.