In diesem Abschnitt werden die notwendigen Schritte beschrieben, um Single Sign-On (SSO) mit Secure Network Communication (SNC) und Kerberos Verschlüsselung in Xtract Universal einzurichten.

Warnung! Single Sign-On Verfügbarkeit
ABAP-Applikationsserver muss auf einem Windows-Betriebssystem laufen, dabei muss SNC mit Kerberos-Verschlüsselung auf SAP-Seite eingestellt sein.

Aktivierung von HTTPS in Xtract Universal #

  1. Aktivieren Sie das Zugriffskontrollprotokoll HTTPS (1) innerhalb des Tabs Web Server Einstellungen.
  2. Verweisen Sie auf ein vorhandenes X.509-Zertifikat (2).
    HTTPS-Port 8165 ist die Standardeinstellung.
  3. Klicken Sie auf [OK] zum Bestätigen. (3)
    XU_WebServerSettings_https

Konfiguration vom Windows AD Service-Account. #

  1. Erstellen Sie einen Windows AD Service-Account für den Xtract Universal (XU) Server. Dies ist der Account, unter dem der XU-Dienst läuft (XU-Service-Account). XU_ServiceAccount
  2. Im Tab Attribute editor definieren Sie zwei Service Principal Names (SPN). Verwenden Sie die folgende Notation: <service class</<host<, z.B. HTTP/FQDN.domain.local:8165. XU_SSO_WinAD_SPN
  3. Im Tab Delegation definieren Sie den XU-Service-Account für eingeschränkte Bevollmächtigung - Use Kerberos Only. XU_SSO_WinAD_SPN
  4. Geben Sie den SPN des Service-Accounts ein. Unter diesem Service-Account wird der SAP ABAP-Applikationsserver laufen (SAP Service-Account) z.B. SAPServiceERP/do_not_care. Mehr Informationen zu den Notationen in SAP, finden Sie im SAP Hilfe-Portal.
  5. Im Tab Log On, ändern Sie den Account zu XU-Service-Account, z.B. svc_xusrv@theobald.local. XU_SSO_WinAD_SPN

Xtract Universal Servereinstellungen #

Warnung! Inkompatible Bibliothek
Xtract Universal läuft nur auf einem 64-Bit-Betriebssystem. Die Kerberos Wrapper-Bibliothek gx64krb5.dll (64-Bit Version) ist erforderlich.
Laden Sie die Bibliothek gx64krb5.dll direkt aus der SAP Note 2115486 herunter.

  1. Kopieren Sie die Kerberos Wrapper-Bibliothek in das Dateisystem des Rechners, auf dem der Xtract Universal Dienst läuft, z.B. nach C:\SNC\gx64krb5.dll.
  2. Legen Sie die heruntergeladene .dll-Datei auf jedem Rechner ab, auf dem der Xtract Universal Designer läuft.
  3. Öffnen Sie “Computer Management”, indem Sie den folgenden Befehl eingeben: compmgmt.msc.
  4. Unter Local Users and Groups wählen Sie Groups > Administrators.
  5. Klicken Sie auf [Add] (4) um den XU-Service-Account zur lokalen Admingruppe hinzuzufügen (5). XU_SSO_WinAD_SPN
  6. Öffnen Sie “Local Security policy”, indem Sie den folgenden Befehl eingeben: secpol.msc. XU_SSO_LocSecPol
  7. Wählen Sie [Local Policies > User Rights Assignment]
    • Act as part of the operating system (Als Teil des Betriebssystems handeln)
    • Impersonate a client after authentication (Sich nach der Authentifizierung als Client ausgeben)
  8. Ändern Sie die Registry-Einstellungen des XU-Servers:
Feld Registry-Eintrag
SubKey HKEY_LOCAL_MACHINE\SOFTWARE\SAP\gsskrb5
Entry (Eintrag) ForceIniCredOK
Type (Typ) REG_DWORD
Value (Wert) 1

Einstellungen der SAP-Quelle in Xtract Universal #

Hinweis: Eine bestehende SAP-Verbindung zu einem Single Application Server oder einem Message Server ist die Voraussetzung für die Verwendung von SSO mit SNC.

  1. Im Hauptmenü des Designers, navigieren Sie zu [Server > Manage Sources]. Das Fenster “Source Details” öffnet sich. XU_SSO_SAPSource
  2. Wählen Sie eine vorhandene SAP-Quellsystem aus und klicken Sie auf [Edit] (Bleistift-Symbol). Edit-SAP-source
  3. Aktivieren Sie die Option SNC (1) in der Sektion Authentication.
  4. Markieren Sie das Kästchen Impersonate authenticated caller (SSO) (2).
  5. Geben Sie den vollständigen Pfad der Kerberos-Bibliothek in das Feld SNC library ein. z.B. C:\SNC\gx64krb5.dll (3).
  6. Geben Sie die SPN des SAP-Service-Accounts in das Feld Partner name ein. Verwenden Sie die folgende Notation: p:[SPN]@[Domain-FQDN-Uppercase] (4).
  7. Klicken Sie auf [Test Connection], um Ihre Verbindungseinstellungen zu überprüfen.
  8. Klicken Sie auf [OK] zum Bestätigen.

Hinweis: Die SNC-Einstellungen des SAP-Logon-Pads für den Partnernamen unterscheiden sich von denen, die in Xtract Universal verwendet werden. Das SAP Logon-Pad verwendet den UPN der SAP-Server-Accounts und Xtract Universal den Service Principal Name (SPN). Verwenden Sie die folgende Notation: p:[SAP Service Account]@[domain]. Bei SPN’s wird im SNC-Partnernamen zwischen Groß- und Kleinschreibung unterschieden.