เขียนวันที่ โดย winnerporz

การลงชื่อเพียงครั้งเดียว SSO สำหรับ SAP Gui

SSO สำหรับ SAP Gui ภาพรวม SAP Gui มีมานานแล้ว แม้กระทั่งทุกวันนี้ ที่ถนนพาเราเข้าสู่อาณาเขตของแอปพลิเคชันที่ใช้เบราว์เซอร์มากขึ้นเรื่อยๆ ก็ยังมีการใช้งานกันอย่างแพร่หลาย โดยเฉพาะอย่างยิ่งโดยผู้ดูแลระบบและผู้ใช้ระดับสูง ด้วยความสำคัญของผู้ใช้เหล่านี้ จึงไม่แปลกใจเลยที่การตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านหรือแม้แต่การตรวจสอบสิทธิ์แบบหลายปัจจัยเป็นสิ่งที่มักถูกกำหนดโดยนโยบาย

บล็อกนี้พยายามอธิบายตัวเลือกการรับรองความถูกต้องสำหรับ SAP Gui พร้อมข้อดีและข้อจำกัด นอกจากนี้ยังให้ลิงก์ไปยังขั้นตอนการนำไปใช้สำหรับสถานการณ์ต่างๆ

สถานการณ์ SAP Gui Single Sign-On

สำหรับ SAP Gui เราสามารถแยกแยะสถานการณ์ SSO พื้นฐานได้สี่สถานการณ์:

  1. SSO กับ Kerberos
  2. SSO พร้อมใบรับรอง x.509
  3. SSO พร้อมใบรับรองจาก Secure Login Server
    1. การรับรองความถูกต้องเกิดขึ้นระหว่าง Secure Login Client และ Secure Login Server
    2. การรับรองความถูกต้องเกิดขึ้นโดยการเรียกใช้การตรวจสอบสิทธิ์บนเบราว์เซอร์ที่ Secure Login Server โดยใช้ JavaScript Web Client

การรับรองความถูกต้องด้วยหลายปัจจัย

สิ่งสำคัญที่สุดในการพิจารณาคือ: อะไรถือเป็นการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) และสถานการณ์ควรมีลักษณะอย่างไร

โดยทั่วไป การยืนยันตัวตนแบบหลายปัจจัยประกอบด้วยข้อมูลรับรองหลายอย่างจาก “สิ่งที่คุณรู้” “สิ่งที่คุณมี” “สิ่งที่คุณเป็น” SSO สำหรับ SAP Gui

อย่างไรก็ตาม บางครั้งอีเมลก็ถือเป็นปัจจัยที่สอง แต่บางครั้งก็ไม่ใช่ ในบางครั้ง การรับรองความถูกต้องที่เวิร์กสเตชันถือเป็นสองปัจจัยอยู่แล้ว (บางครั้งเป็นเพราะตัวเวิร์กสเตชันเอง บางครั้งเป็นเพราะการรับรองความถูกต้องด้วยหลายปัจจัยที่อินเทอร์เฟซเว็บบางส่วนหรือที่ช่องสัญญาณ VPN) คำถามอื่นๆ คือ การตรวจสอบความถูกต้องของเวิร์กสเตชันเพียงพอหรือไม่ หรือจำเป็นต้องมีการตรวจสอบสิทธิ์แบบหลายปัจจัยที่แอปพลิเคชันเอง และถ้าเป็นเช่นนั้น การตรวจสอบสิทธิ์แบบหลายปัจจัยจะต้องเกิดขึ้นบ่อยเพียงใด

มีความสำคัญสูงสุดในการกำหนดสถานการณ์ก่อนที่จะกำหนดความเป็นไปได้ในการใช้งานเฉพาะ

การรับรองความถูกต้องด้วยหลายปัจจัยสำหรับ SAP Gui

ในย่อหน้านี้ เราจะพูดถึงตัวเลือกสำหรับการตรวจสอบสิทธิ์แบบหลายปัจจัยระหว่างการตรวจสอบสิทธิ์ SAP Gui

การตรวจสอบสิทธิ์แบบหลายปัจจัยโดยตรงที่ AS ABAP ไม่สามารถทำได้ ดังนั้น สถานการณ์จำลอง MFA ทั้งหมดสำหรับ SAP Gui จึงอาศัย MFA ในการรับหรือใช้ข้อมูลประจำตัวเพื่อรับรองความถูกต้องที่ AS ABAP ซึ่งหมายความว่า สถานการณ์ที่ 1 ไม่รองรับ MFA

เป็นไปได้ในสถานการณ์ต่อไปนี้:

MFA พร้อมตัวเลือก 2 (สมาร์ทการ์ด)

ในสถานการณ์สมมตินี้ SLC จะใช้ใบรับรองที่มีอยู่แล้วในที่เก็บใบรับรอง Windows ในการเข้าถึงใบรับรองนี้ จำเป็นต้องมีปัจจัยที่สอง

ไหล:

  1. ไคลเอนต์การเข้าสู่ระบบที่ปลอดภัยเข้าถึงใบรับรองผ่านที่เก็บใบรับรอง windows
    ไดรเวอร์สมาร์ทการ์ดรับรู้การเข้าถึงและขอ PIN เพื่อตรวจสอบสิทธิ์การเข้าถึง
  2. Secure Login Client ใช้ใบรับรองสำหรับการตรวจสอบสิทธิ์ที่แบ็กเอนด์

สถานการณ์ที่พบบ่อยที่สุดคือสมาร์ทการ์ด ซึ่งไดรเวอร์สมาร์ทการ์ดทำให้ใบรับรองพร้อมใช้งานในที่เก็บใบรับรอง เมื่อ SLC เข้าถึงใบรับรอง ป๊อปอัปที่ต้องใช้ข้อมูลรับรอง (ปกติคือ PIN) จะแสดงให้ผู้ใช้เห็น

MFA พร้อมตัวเลือก 3.1 (ไคลเอนต์เข้าสู่ระบบที่ปลอดภัยโดยตรง)

ในสถานการณ์นี้ ตัวไคลเอ็นต์การเข้าสู่ระบบที่ปลอดภัยจะสื่อสารกับเซิร์ฟเวอร์การเข้าสู่ระบบที่ปลอดภัย รับรองความถูกต้องของผู้ใช้ และเรียกใบรับรองตามการรับรองความถูกต้องนั้น

ไหล:

  1. Secure Login Client เชื่อมต่อกับ Secure Login Server และตรวจสอบผู้ใช้
  2. Secure Login Server ออกใบรับรองและส่งไปยัง Secure Login Client
  3. ไคลเอนต์การเข้าสู่ระบบที่ปลอดภัยใส่ใบรับรองลงในที่เก็บใบรับรองของ windows และใช้สำหรับการตรวจสอบสิทธิ์ที่แบ็กเอนด์

ตัวเลือกนี้รองรับ Kerberos, User/Password, TOTP หรือ Radius authentication สามารถใช้โมดูลการเข้าสู่ระบบ TOTP เพื่อส่งออกและ/หรือตรวจสอบความถูกต้องของรหัสผ่านแบบใช้ครั้งเดียวได้ เช่น ตามแอปตรวจสอบความถูกต้อง (RFC 6238) หรือส่งออกทาง SMS เนื่องจากสามารถเขียนสคริปต์ได้จึงสามารถรองรับเกือบทุกอินเทอร์เฟซสำหรับการตรวจสอบความถูกต้องของรหัสผ่านแบบใช้ครั้งเดียว อย่างไรก็ตาม ส่วนใหญ่จะใช้เพื่อตรวจสอบความถูกต้องของ TOTP หรือส่งรหัสทาง SMS หรืออีเมล

MFA พร้อมตัวเลือก 3.2 (ไคลเอนต์เว็บ JavaScript)

ในสถานการณ์ที่สามนี้ การไหลจะแตกต่างกันมาก ที่นี่ ไคลเอนต์การเข้าสู่ระบบที่ปลอดภัยจะทริกเกอร์เบราว์เซอร์ซึ่งจะดูแลการรับรองความถูกต้องที่เซิร์ฟเวอร์การเข้าสู่ระบบที่ปลอดภัย เมื่อดำเนินการสำเร็จ คีย์วัสดุและคำขอลงนามจะถูกสร้างขึ้นโดยไคลเอ็นต์การเข้าสู่ระบบที่ปลอดภัยซึ่งเบราว์เซอร์จะส่งไปยังเซิร์ฟเวอร์การเข้าสู่ระบบที่ปลอดภัย ใบรับรองที่ได้จะถูกส่งต่อไปยังไคลเอ็นต์การเข้าสู่ระบบที่ปลอดภัย

ไหล:

  1. Secure Login Client เปิดเบราว์เซอร์ด้วย URL ของ Secure Login Server เฉพาะ
  2. เบราว์เซอร์รับรองความถูกต้องที่ Secure Login Server
  3. Secure Login Server ออกใบรับรองและส่งไปยัง JavaScript Web Client ที่ทำงานอยู่ในเบราว์เซอร์
  4. JavaScript Web Client ส่งใบรับรองไปยัง Secure Login Client
  5. ไคลเอนต์การเข้าสู่ระบบที่ปลอดภัยใส่ใบรับรองลงในที่เก็บใบรับรองของ windows และใช้สำหรับการตรวจสอบสิทธิ์ที่แบ็กเอนด์

ซึ่งหมายความว่าสถานการณ์นี้รองรับวิธีการตรวจสอบสิทธิ์ใดๆ ที่ Netweaver AS Java รองรับ โดยเฉพาะ SAML ดังนั้นในสถานการณ์นี้ จึงเป็นไปได้ที่จะใช้ MFA ที่มีอยู่ที่ SAML IdP
อย่างไรก็ตาม มีข้อจำกัดใหญ่ประการหนึ่ง: เบราว์เซอร์ต้องสามารถพูดคุยกับ Secure Login Client ได้ ดังนั้น Secure Login Client จึงเปิดพอร์ต TCP ที่เชื่อมโยงกับ localhost เนื่องจากพอร์ตเป็นอินเทอร์เฟซเฉพาะและไม่เฉพาะเจาะจงผู้ใช้ สถานการณ์นี้จึงไม่รองรับในสภาพแวดล้อมที่มีผู้ใช้มากกว่าหนึ่งคนเข้าสู่ระบบ เช่น ในสถานการณ์ Citrix, WTS หรือ VDI

ข้อดีและข้อเสีย

ข้อดีและข้อเสียสำหรับสถานการณ์ SAP Gui Single Sign-On ต่างๆ มีดังนี้

เคอร์เบรอส

มือโปร:

  • มักจะพร้อมใช้งาน (เว้นแต่ไคลเอ็นต์จะได้รับการจัดการโดย Azure เท่านั้น)
  • ใช้งานง่าย ความต้องการเพิ่มเติมต่ำ

จุดด้อย:

  • ไม่รองรับ MFA
  • การพึ่งพา Active Directory (Kerberos ผ่าน Azure Active Directory – ไม่รองรับบริการโดเมน)

ใบรับรอง

มือโปร:

  • ใช้งานได้ง่ายเมื่อพร้อมใช้งาน

จุดด้อย:

  • MFA จะต้องได้รับการสนับสนุนโดยผู้ให้บริการใบรับรอง (เช่น โดยไดรเวอร์สมาร์ทการ์ด)
  • ต้องมีการจัดการใบรับรอง (โดยปกติจะทำผ่าน Group Policy)

การรับรองความถูกต้องไคลเอนต์เข้าสู่ระบบที่ปลอดภัยโดยตรง

มือโปร:

  • ประสบการณ์การใช้งาน (ไม่ได้เปิดโปรแกรมเพิ่มเติม)

จุดด้อย:

  • ไม่รองรับ SAML
  • จำเป็นต้องมีเซิร์ฟเวอร์เข้าสู่ระบบที่ปลอดภัย

ไคลเอนต์เว็บ JavaScript

มือโปร:

  • รองรับ SAML

จุดด้อย:

  • ไม่รองรับสภาพแวดล้อมแบบผู้ใช้หลายคน (มักจะเป็นเช่นในสภาพแวดล้อม Citrix, VDI, WTS)
  • การเปิดเบราว์เซอร์ส่งผลต่อประสบการณ์ของผู้ใช้
  • จำเป็นต้องมีเซิร์ฟเวอร์เข้าสู่ระบบที่ปลอดภัย

คู่มือการติดตั้งทีละขั้นตอน

การติดตั้ง Secure Login Client: https://blogs.sap.com/?p=1592339&preview=true
(ใช้ได้กับทุกสถานการณ์)

บทสรุป

เลือกสถานการณ์ที่ง่ายที่สุดทั้งนี้ขึ้นอยู่กับความต้องการของคุณ

Face-sso (By K&O) หากท่านสนใจ เครื่องสแกนใบหน้ารุ่นต่างๆ หลากหลายรุ่น หรือ ติดตั้งระบบสแกนใบหน้า สามารถติดต่อสอบถามได้โดยตรง เรามีแอดมินคอยคอบคำถาม 24 ชั้วโมงที่ Line OA เครื่องสแกนใบหน้า สามารถ ขอราคาพิเศษได้ ตามงบประมาณที่เหมาะสม สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ มั่นใจเพราะเป็นราคาที่สุด คุ้มค่าที่สุด

หากท่านมีความสนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *