Anwendungsfall #

BI Client Tools wie z.B. Power BI, Power Pivot, Alteryx, etc. können Extraktionen in Xtract-Produkten (z.B. Xtract Universal oder Board Connector) starten. Die extrahierten Daten werden von Xtract-Produkten direkt in die genannten Tools geladen. Bei diesem Anwendungsfall besteht häufig die Anforderung, dass die Extraktion mit den SAP-Anmeldeinformationen desjenigen (Windows AD) Benutzers ausgeführt wird, von dessen BI Client die Extraktion angestoßen wurde. Dadurch greifen die SAP-Berechtigungen des ausführenden Benutzers, was z.B. bei der Extraktion von BW/BEx Queries wichtig ist.

Die Windows-Anmeldeinformationen des Benutzers müssen über das Xtract-Produkt an SAP weitergeleitet werden. Auf dem Weg zu SAP oder auf SAP-Seite wird ein Mapping zwischen Windows-Benutzer und dessen SAP-Anmeldeinformationen durchgeführt.

Single Sign-On (SSO) mit Xtract-Produkten lässt sich über drei unterschiedliche Verfahren realisieren:

Was ist SNC? #

Secure Network Connection (SNC) ermöglicht die Authentisierung und Transportverschlüsselung zwischen SAP Systemen untereinander, sowie zwischen SAP und Third-Party-Systemen wie Xtract Universal und Board Connector. Für mehr Informationen zu SNC, siehe SAP Dokumentation: Secure Network Communications.

SSO und SNC mit Client-Zertifikaten #

Voraussetzungen

Voraussetzung für die Verwendung der SSO Certificate Funktion ist die konkrete Ausprägung der Architektur für SSO:

Für detailiertere Informationen über den Ablauf und die Einrichtung zum Aufrufen einer Extraktion über SSO mit Client-Zertifikaten, siehe Knowledge Base Artikel: SSO with Client Certificates.

SSO und SNC mit Kerberos Wrapper Library #

Warnung! Die Kerberos Wrapper Library (gx64krb5.dll) wird offiziell nicht mehr von SAP unterstützt.

Warnung! Single Sign-On Verfügbarkeit
Der ABAP-Applikationsserver muss auf einem Windows-Betriebssystem laufen. SNC mit Kerberos-Verschlüsselung muss auf SAP-Seite eingestellt sein.

Voraussetzungen

  • Der SAP ABAP Applikationsserver läuft unter einem Windows Betriebssystem.
  • Der BI Client (der die Extraktion aufruft) läuft unter Windows.
  • Als SNC-Lösung wird die SAP Kerberos Wrapper Library (gsskrb5) verwendet.

Hinweis: Es kann auf einem SAP-System immer nur genau eine SNC-Lösung eingerichtet werden - z.B. SAPs Common Crypto Library oder gsskrb5, aber nicht beides gleichzeitig. SSO und SNC mit Kerberos Wrapper Library funktioniert ausschließlich mit der gsskrb5 Bibliothek.

Für Informationen über die Einrichtung von SSO und SNC mit Kerberos Wrapper Library, siehe Knowledge Base Artikel: SSO with Kerberos SNC.

SSO via SAP Logon Ticket #

Falls SNC mit Client-Zertifikaten oder SNC mit SAPs Kerberos Wrapper Library nicht umgesetzt werden können, gibt es die Möglichkeit das SAP/AD-Benutzermapping über ein SAP Portal (SAP Web AS) ohne SNC umzusetzen.

Damit wäre SSO auch möglich, allerdings ist die Verbindung dann nicht verschlüsselt, was bei SNC der Fall wäre. Die SAP Applikationsserver müssen dementsprechend nur für SAP Logon Tickets konfiguriert werden und nicht für SNC.

Voraussetzungen

Eine SAP-Verbindung ist über Single-Sign-On (SSO) mit SAP Logon Ticket möglich. Das grundlegende Szenario sieht dabei folgendermaßen aus:

  • Es gibt eine AS Java Instanz, welche für SPNEGO/Kerberos Authentisierung eingerichtet ist.
  • Auf der AS Java Instanz besteht ein Mapping von Windows AD-Benutzern auf SAP-Benutzer (== Ticket Issuer).
  • Die AS ABAP Instanzen (mit denen sich Xtract-Produkte verbinden) vertrauen den SAP Logon Tickets dieser AS Java Instanz.

Für detailiertere Informationen über den Ablauf und die Einrichtung zum Aufrufen einer Extraktion über SSO mit SAP Logon Ticket, siehe Knowledge Base Artikel: SSO with Logon-Ticket.