Unsere empfohlene 3-Schritt SNC-Migrations-Roadmap zu SAP SSO 3.0

SAP Single Sign-On Carsten Olt
Anmerkung: Dieser Blog wurde aus dem Englischen übersetzt.

Sie stehen vor der Herausforderung, Ihre aktuelle SSO-Lösung auf SAP Single Sign-On 3.0 zu migrieren, fragen sich aber, wie Sie ohne Big-Bang-Ansatz migrieren können? Ich bin froh, dass Sie gefragt haben!

Ich war für eine Weile beschäftigt, aber dachte, es wäre eine gute Zeit mal wieder für einen neuen Blog. Hier werden wir nun über die Vorteile von SAP SSO 3.0 im Vergleich zur kostenlosen SNC-Bibliothek sprechen, wie man zwei SNC-Bibliotheken parallel betreibt und wie eine erfolgreiche Migration pro System durchgeführt werden kann.

Viele SAP-Kunden verwenden noch immer eine SSO-Lösung für SAP GUI, die auf einer sehr alten Secure Network Communication (SNC)-Bibliothek basiert. Oft wird der kostenlose RFC-1964 Kerberos 5 oder der GSS-API v2 NTLM-Wrapper von SAP für Microsofts „SSPI“ (Security Service Provider Interface) – nämlich gsskrb5.dll |gx64krb5.dll – auf dem Front- und Backend verwendet.

Aufgrund verschiedener Faktoren erwägen Sie seit einiger Zeit die Verwendung der SAP Single Sign-On 3.0 Software Suite in Ihrer SAP-Landschaft? Sie müssen wissen, es handelt sich hier nicht nur um eine SNC-Bibliothek, sondern um noch viel mehr. Es wird mit einem Secure Login Client mit vollem Funktionsumfang geliefert, der Kerberos, X.509-Zertifikate, Smartcards und MFA unterstützt. Sie wissen, dass Ihre alte Lösung nicht offiziell von SAP unterstützt wird und Sie haben Probleme bei der Verwendung in späteren SAP-Releases oder zukünftigen Anwendungsfällen? Sie sehnen sich nach Funktionen wie SPNEGO für den AS ABAP, Unterstützung für einmalige Passcodes, die Verwendung von starker Verschlüsselungsalgorithmen oder richtlinienbasierte Authentifizierung? Sie wissen, dass Sicherheit keinen konstanten Zustand hat, sondern ein andauernder Prozess ist? – Perfekt, jetzt es ist die Zeit, frischen Luft in Ihre SAP SSO-Landschaft zu bringen!

Sobald die Entscheidung getroffen ist, um Kompatibilität, Sicherheit und Effizienz Ihrer SAP-Landschaft zu erhöhen, ist es absolut sinnvoll, SAP SSO 3.0 zu migrieren.  Seit einigen Jahren ist die SAP CommonCryptolib die Kernel-default Library für TLS, SSF sowie SNC und SPNEGO. Wenn Sie es verwenden, müssen Sie sich nicht mit vielen verschiedenen Bibliotheken auseinandersetzen und können sicher sein, dass Sie SAP- und Plattform-Support bestmöglich nutzen.

Da Sie Bereits SSO verwenden, sind die meisten Ihrer SAP-Anwender bereits daran gewöhnt. Jetzt müssen Sie den Übergang zur neuen Single Sign-On-Lösung so reibungslos wie möglich gewährleisten, ohne den Benutzern den üblichen SSO-Komfort wegzunehmen. Sie müssen wieder auf Passwort-Authentifizierung umschalten oder SNC deaktivieren. Außerdem können Sie nicht einfach alle Systeme gleichzeitig ändern.

Hintergrundinformationen – warum können Sie nicht einfach die SNC-Bibliothek ersetzen?

Obwohl die meisten SNC-Bibliotheken auf der generischen GSS-API V2-Schnittstelle (Generic Security Services Application Programming Interface Version 2) basieren, sind sie untereinander inkompatibel, da sie unterschiedliche Drahtprotokolle und unterschiedliche Tokenformate verwenden, die sich auf das GSS-API-Token selbst und das SNC-Benutzerzuordnungsformat (Canonical Name) auswirkt.

Wenn die SNC-Bibliothek durch die  CommonCryptoLib ersetzt wird, müssen gleichzeitig alle SNC-Namen im Benutzerstammdaten SU01 (Tabelle USRACL) von der neuen SNC-Bibliothek berechnet und regeneriert werden. Andernfalls können sich Benutzer nicht mehr bei SAP anmelden. Es kann nur einen gleichzeitigen SNC-Mechanismus mit der BC-SNC-Schnittstelle auf einem SAP-Anwendungsserver geben. Darüber hinaus erfordert die SNC-geschützte Kommunikation, dass beide Kommunikationspeers, Client und Server, dieselbe SNC-Bibliothek installiert haben. Aus diesen Gründen kann das Wechseln der SNC-Bibliothek eine komplexe Aufgabe sein.

Ok, jetzt Sie kennen die Fakten, aber fürchten Sie immer noch die hohen Anstrengungen, die eine Migration bedeuten kann?

Keine Panik, es gibt eine Lösung!

Lassen Sie mir nun die Frage beantworten, wie man zu SAP SSO (CommonCryptoLib) migrieret ohne einen Big-Bang-Ansatz oder die Notwendigkeit, alle Frontend- und Backend-Systeme gleichzeitig zu aktualisieren. Der Trick ist, Sie können zwei SNC-Bibliotheken parallel für Ihre SAP GUI-Installation betreiben. Mit dieser Möglichkeit können die Back-End- und Front-End-Softwareupdates entkoppelt werden  und die Migration kann pro System durchgeführt werden.

Seit SAP GUI 730 (Patch 10) hat SAP Unterstützung für zwei gleichzeitige SNC-Produkte innerhalb derselben SAP-GUI-Installation hinzugefügt. Dies kann von Kunden mithilfe einfacher Umgebungsvariablen, die das erforderliche SNC-Produkt für jede SAP-GUI-Verbindung angeben, konfiguriert werden. Die Auswahl/Unterscheidung zwischen mehreren SNC-Bibliotheken erfordert die Verwendung einer modifizierten Syntax für den SNC-Namen des Ziels/Peers. Weitere Informationen finden Sie in SAP Note 2025528 – (Limited Support for) mehr als eine gleichzeitige SNC_LIB https://launchpad.support.sap.com/#/notes/2025528

Die Migration erfordert eine ordnungsgemäße Planung, deshalb haben wir unsere bewährte 3-Stufen-SNC-Migrations-Roadmap entwickelt, die Ihre Projekte unterstützt. Basierend auf diesen Verfahren haben wir erfolgreich mehrere Migrationsprojekte durchgeführt.

Das Festlegen des Präfixes p/krb5 steuert den RFC-1964 Kerberos 5 SNC-Adapter, sodass die alte SNC-Bibliothek für solche Einträge verwendet wird. Weitere Informationen finden Sie im oben genannten SAP-Hinweis.

Fahren Sie mit Schritt 2 fort, wenn alle Änderungen vorgenommen wurden.

Es ist sinnvoll, die SAP-Anmeldekonfigurationsdatei wie saplogon.ini oder SAPUILandscape.xml auf einer zentralen Dateifreigabe oder in einem http-Speicherort zu haben. Wenn dies nicht der Fall ist, stellen Sie sicher, dass Sie die erforderlichen Änderungen in den Schritten 1 und 2 mithilfe von GPOs oder anderen Softwarebereitstellungstools an mehrere Clients verteilen können.

Schritt 3

Operationen können erst nach Abschluss der vorherigen Schritte ausgeführt werden. Eine SNC-gesicherte Anmeldung beim System ist erst möglich nach Abschluss aller drei Schritte. Daher sollte für diese Aktivitäten ein entsprechendes Zeitfenster eingeplant werden. Sobald ein System entsprechend konfiguriert ist, ist eine SNC-Verbindung zu diesem System nur über den Secure Login Client 3.0 möglich. Die SNC-Anmeldung bei einem solchen „migrierten System“ wird dann durch die geänderte Syntax des SNC-Namens p:CN=<SID> ausgelöst. Gleichzeitig funktionieren alle vorhandenen SAP-Anmeldeeinträge weiterhin mit der alten Kerberos SNC-Bibliothek.

Fazit

Dieser Ansatz ermöglicht eine schrittweise Migration spezifischer SAP-Systeme. Dadurch können der Aufwand und die Komplexität sowie die erforderlichen Ausfallzeiten gut gesteuert werden. Während der Gesamtmigration kann der SAP GUI-Client die alte und neue SNC-Bibliothek (migriertes System) parallel verwenden.

Vergessen Sie nicht, die alte SNC-Bibliothek, Variablen und AD Service Account zu bereinigen. Wir empfehlen um SNC für normale SAP-GUI-Benutzer zu erzwingen, Passwörter und Bereinigungs-Hashes zu deaktivieren.

Dieser Blog soll Ihnen einen kurzen Einblick in die Funktionsweise der 3-Schritte-SNC-Migration geben; unsere erfahrenen Berater unterstützen Sie gerne im detaillierten Migrationsprozess.

Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden