In diesem Abschnitt werden die notwendigen Schritte beschrieben, um Single Sign-On (SSO) mit Secure Network Communication (SNC) und Kerberos Verschlüsselung einzurichten.

Warnung! Single Sign-On Verfügbarkeit
ABAP-Applikationsserver muss auf einem Windows-Betriebssystem laufen, dabei muss SNC mit Kerberos-Verschlüsselung auf SAP-Seite eingestellt sein.

Aktivierung von HTTPS #

  1. Aktivieren Sie das Zugriffskontrollprotokoll HTTPS (1) innerhalb des Tabs Web Server Einstellungen.
  2. Verweisen Sie auf ein vorhandenes X.509-Zertifikat (2).
  3. Klicken Sie auf [OK] zum Bestätigen. (3)

Hinweis: Überprüfen Sie die Standardports in Abhängigkeit von Ihrem Produkt. Der Standart HTTPS-Port ist 8165 bei Xtract Universal und 8197 bei BOARD Connector .

XU_WebServerSettings_https

Konfiguration vom Windows AD Service-Account. #

  1. Erstellen Sie einen Windows AD Service-Account für den Xtract Server. Dies ist der Account, unter dem der Dienst läuft (z.B. XU-Service oder BOARD Connector Service). XU_ServiceAccount
  2. Im Tab Attribute editor definieren Sie zwei Service Principal Names (SPN). Verwenden Sie die folgende Notation: <service class</<host<, z.B. HTTP/FQDN.domain.local:8165. XU_SSO_WinAD_SPN
  3. Im Tab Delegation definieren Sie den Service-Account für eingeschränkte Bevollmächtigung - Use Kerberos Only. XU_SSO_WinAD_SPN
  4. Geben Sie den SPN des Service-Accounts ein. Unter diesem Service-Account wird der SAP ABAP-Applikationsserver laufen (SAP Service-Account) z.B. SAPServiceERP/do_not_care. Mehr Informationen zu den Notationen in SAP, finden Sie im SAP Hilfe-Portal.
  5. Im Tab Log On, ändern Sie den Account zu Service-Account, z.B. svc_xusrv@theobald.local. XU_SSO_WinAD_SPN

Servereinstellungen #

Warnung! Inkompatible Bibliothek
Xtract-Produkte laufen nur auf einem 64-Bit-Betriebssystem. Die Kerberos Wrapper-Bibliothek gx64krb5.dll (64-Bit Version) ist erforderlich.
Laden Sie die Bibliothek gx64krb5.dll direkt aus der SAP Note 2115486 herunter.

  1. Kopieren Sie die Kerberos Wrapper-Bibliothek in das Dateisystem des Rechners, auf dem der Xtract Dienst läuft, z.B. nach C:\SNC\gx64krb5.dll.
  2. Legen Sie die heruntergeladene .dll-Datei auf jedem Rechner ab, auf dem der Designer läuft.
  3. Öffnen Sie “Computer Management”, indem Sie den folgenden Befehl eingeben: compmgmt.msc.
  4. Unter Local Users and Groups wählen Sie Groups > Administrators.
  5. Klicken Sie auf [Add] (4) um den Service-Account zur lokalen Admingruppe hinzuzufügen (5). XU_SSO_WinAD_SPN
  6. Öffnen Sie “Local Security policy”, indem Sie den folgenden Befehl eingeben: secpol.msc. XU_SSO_LocSecPol
  7. Wählen Sie [Local Policies > User Rights Assignment]
    • Act as part of the operating system (Als Teil des Betriebssystems handeln)
    • Impersonate a client after authentication (Sich nach der Authentifizierung als Client ausgeben)
  8. Ändern Sie die Registry-Einstellungen des Servers:
Feld Registry-Eintrag
SubKey HKEY_LOCAL_MACHINE\SOFTWARE\SAP\gsskrb5
Entry (Eintrag) ForceIniCredOK
Type (Typ) REG_DWORD
Value (Wert) 1

Einstellungen der SAP-Quelle #

Hinweis: Eine bestehende SAP-Verbindung zu einem Single Application Server oder einem Message Server ist die Voraussetzung für die Verwendung von SSO mit SNC.

  1. Im Hauptmenü des Designers, navigieren Sie zu [Server > Manage Sources]. Das Fenster “Source Details” öffnet sich. XU_SSO_SAPSource
  2. Wählen Sie eine vorhandene SAP-Quellsystem aus und klicken Sie auf [Edit] (Bleistift-Symbol). Edit-SAP-source
  3. Aktivieren Sie die Option SNC (1) in der Sektion Authentication.
  4. Markieren Sie das Kästchen Impersonate authenticated caller (SSO) (2).
  5. Geben Sie den vollständigen Pfad der Kerberos-Bibliothek in das Feld SNC library ein. z.B. C:\SNC\gx64krb5.dll (3).
  6. Geben Sie die SPN des SAP-Service-Accounts in das Feld Partner name ein. Verwenden Sie die folgende Notation: p:[SPN]@[Domain-FQDN-Uppercase] (4).
  7. Klicken Sie auf [Test Connection], um Ihre Verbindungseinstellungen zu überprüfen.
  8. Klicken Sie auf [OK] zum Bestätigen.

Hinweis: Die SNC-Einstellungen des SAP-Logon-Pads für den Partnernamen unterscheiden sich von denen, die in Xtract-Produkten verwendet werden. Das SAP Logon-Pad verwendet den UPN der SAP-Server-Accounts und Xtract-Produkt den Service Principal Name (SPN). Verwenden Sie die folgende Notation: p:[SAP Service Account]@[domain]. Bei SPN’s wird im SNC-Partnernamen zwischen Groß- und Kleinschreibung unterschieden.