Κοινή χρήση μέσω

Ρύθμιση παραμέτρων του ελέγχου ταυτότητας για λύσεις SAP Procurement

  • Άρθρο

Η σύνδεση SAP ERP έχει σχεδιαστεί ώστε πολλά άτομα να μπορούν να έχουν πρόσβαση και να χρησιμοποιούν μια εφαρμογή την ίδια στιγμή. Επομένως, δεν γίνεται κοινή χρήση των συνδέσεων. Τα διαπιστευτήρια χρήστη παρέχονται στη σύνδεση, ενώ άλλες λεπτομέρειες που απαιτούνται για τη σύνδεση στο σύστημα SAP (όπως οι λεπτομέρειες του διακομιστή και η ρύθμιση παραμέτρων ασφαλείας) παρέχονται ως μέρος της ενέργειας.

Η ενεργοποίηση καθολικής σύνδεσης (SSO) διευκολύνει την ανανέωση δεδομένων από το SAP κατά την τήρηση των δικαιωμάτων σε επίπεδο χρήστη που έχουν ρυθμιστεί στο SAP. Υπάρχουν διάφοροι τρόποι με τους οποίους μπορείτε να ρυθμίσετε το SSO για βελτιωμένη διαχείριση ταυτότητας και πρόσβασης.

Η σύνδεση SAP ERP υποστηρίζει τους ακόλουθους τύπους ελέγχου ταυτότητας:

Authentication type Τρόπος σύνδεσης ενός χρήστη Βήματα ρύθμισης παραμέτρων
Έλεγχος ταυτότητας SAP Χρησιμοποιήστε το όνομα χρήστη και τον κωδικό πρόσβασης SAP για την πρόσβαση στον διακομιστή SAP. Βήμα 4
Έλεγχος ταυτότητας Windows Χρησιμοποιήστε το όνομα χρήστη και τον κωδικό πρόσβασης Windows για την πρόσβαση στον διακομιστή SAP. Βήματα 1, 2, 3, 4
Έλεγχος ταυτότητας Microsoft Entra ID Χρησιμοποιήστε το Microsoft Entra ID για πρόσβαση στο διακομιστή SAP. Βήματα 1, 2, 3, 4

Σημείωμα

Απαιτούνται συγκεκριμένα προνόμια διαχείρισης για τη ρύθμιση των SSO στο Microsoft Entra ID και το SAP. Βεβαιωθείτε ότι έχετε λάβει τα απαραίτητα δικαιώματα διαχειριστή για κάθε σύστημα πριν από τη ρύθμιση του SSO.

Περισσότερες πληροφορίες:

Βήμα 1: Ρύθμιση παραμέτρων της περιορισμένης ανάθεσης Kerberos

Η περιορισμένη ανάθεση Kerberos (KCD) παρέχει ασφαλή πρόσβαση χρήστη ή υπηρεσίας σε πόρους που επιτρέπεται από διαχειριστές χωρίς πολλαπλές αιτήσεις για διαπιστευτήρια. Ρύθμιση περιορισμένης ανάθεσης Kerberos για έλεγχο ταυτότητας Windows και Microsoft Entra ID.

Διάγραμμα ροής κυκλοφορίας της πύλης δεδομένων εσωτερικής εγκατάστασης.

Εκτελέστε την υπηρεσία των Windows πύλης ως λογαριασμό τομέα με κύρια ονόματα υπηρεσίας (SPN) (SetSPN).

Εργασίες ρύθμισης παραμέτρων:

  1. Ρύθμιση παραμέτρων SPN για τον λογαριασμό υπηρεσίας πύλης. Ως διαχειριστής τομέα, χρησιμοποιήστε το εργαλείο Setspn που συνοδεύει τα Windows για να ενεργοποιήσετε την ανάθεση.

  2. Προσαρμογή ρυθμίσεων επικοινωνίας για την πύλη. Ενεργοποιήστε τις εξερχόμενες συνδέσεις Microsoft Entra ID και ελέγξτε τις ρυθμίσεις του τείχους προστασίας και των θυρών σας για να διασφαλίσετε την επικοινωνία.

  3. Ρύθμιση παραμέτρων για τυπική περιορισμένη ανάθεση Kerberos. Ως διαχειριστής τομέα, ρυθμίστε τις παραμέτρους ενός λογαριασμού τομέα για μια υπηρεσία, ώστε να περιορίζει την εκτέλεση του λογαριασμού σε έναν μόνο τομέα.

  4. Εκχώρηση δικαιωμάτων τοπικής πολιτικής στον λογαριασμό υπηρεσίας πύλης στον υπολογιστή πύλης.

  5. Προσθήκη λογαριασμού υπηρεσίας πύλης στην ομάδα εξουσιοδότησης και πρόσβασης των Windows.

  6. Ορισμός παραμέτρων ρύθμισης αντιστοίχισης χρηστών στον υπολογιστή πύλης.

  7. Αλλαγή του λογαριασμού υπηρεσίας πύλης σε λογαριασμό τομέα. Σε μια τυπική εγκατάσταση, η πύλη εκτελείται ως ο προεπιλεγμένος λογαριασμός υπηρεσίας του τοπικού υπολογιστή (NT Service\PBIEgwService). Πρέπει να εκτελείται ως λογαριασμός τομέα προκειμένου να διευκολύνει τα δελτία Kerberos για SSO.

Περισσότερες πληροφορίες:

Βήμα 2: Ρύθμιση παραμέτρων του SAP ERP για ενεργοποίηση της χρήσης CommonCryptoLib (sapcrypto.dll)

Για να χρησιμοποιήσετε το SSO για πρόσβαση στο διακομιστή SAP, βεβαιωθείτε:

  • Μπορείτε να ρυθμίσετε τις παραμέτρους του διακομιστή SAP για το Kerberos SSO χρησιμοποιώντας το CommonCryptoLib ως βιβλιοθήκη ασφαλούς επικοινωνίας δικτύου (SNC).
  • Το όνομα SNC ξεκινάει με CN.

Σημαντικό

Βεβαιωθείτε ότι ο το Πρόγραμμα-πελάτης ασφαλούς σύνδεσης (SLC) του SAP δεν εκτελείται στον υπολογιστή στον οποίο είναι εγκατεστημένη η πύλη. Το SLC αποθηκεύει στην cache τα δελτία του Kerberos με τρόπο που μπορεί να επηρεάσει τη δυνατότητα χρήσης του Kerberos για SSO από την πύλη. Για περισσότερες πληροφορίες, εξετάστε SAP Σημείωση 2780475 (απαιτείται χρήστης s-user).

  1. Κάντε λήψη του 64 bit CommonCryptoLib (sapcrypto.dll), έκδοση 8.5.25 ή μεταγενέστερη από το πλαίσιο εκκίνησης του SAP και αντιγράψτε το σε έναν φάκελο στον υπολογιστή πύλης.

  2. Στον ίδιο κατάλογο στον οποίο αντιγράψατε το sapcrypto.dll, δημιουργήστε ένα αρχείο με το όνομα sapcrypto.ini, με το ακόλουθο περιεχόμενο:

    ccl/snc/enable_kerberos_in_client_role = 1

    Το αρχείο .ini περιέχει πληροφορίες ρύθμισης παραμέτρων που απαιτούνται από το CommonCryptoLib για την ενεργοποίηση της SSO στο σενάριο πύλης. Βεβαιωθείτε ότι η διαδρομή (όπως c:\sapcryptolib\) περιέχει και τα δύο sapcrypto.ini και sapcrypto.dll. Τα αρχεία .dll και .ini πρέπει να υπάρχουν στην ίδια θέση.

  3. Εκχωρήσετε δικαιώματα και στα δύο αρχεία .ini και .dll στην ομάδα Χρήστες που έχουν υποβληθεί σε έλεγχο ταυτότητας. Τόσο ο χρήστης της υπηρεσίας πύλης όσο και ο χρήστης της υπηρεσίας καταλόγου Active Directory που μιμείται ο χρήστης της υπηρεσίας, πρέπει να έχουν δικαιώματα ανάγνωσης και εκτέλεσης για τα δύο αρχεία.

  4. Δημιουργήστε μια CCL_PROFILEμεταβλητή περιβάλλοντος συστήματος και ορίστε την τιμή της στη διαδρομή sapcrypto.ini.

  5. Επανεκκινήστε την υπηρεσία πύλης.

Περισσότερες πληροφορίες: Χρήση καθολικής σύνδεσης Kerberos για SSO σε SAP BW χρησιμοποιώντας CommonCryptoLib

Βήμα 3: Ενεργοποίηση SAP SNC για Azure AD και έλεγχο ταυτότητας Windows

Η σύνδεση SAP ERP υποστηρίζει Microsoft Entra ID και έλεγχο ταυτότητας Windows Server ενεργοποιώντας την Ασφαλή επικοινωνία δικτύου (SNC) του SAP. Το SNC είναι ένα επίπεδο λογισμικού στην αρχιτεκτονική του συστήματος SAP που παρέχει μια διασύνδεση με εξωτερικά προϊόντα ασφαλείας, ώστε να μπορεί να γίνει ασφαλής καθολική σε περιβάλλοντα SAP. Η παρακάτω καθοδήγηση ιδιοτήτων βοηθάει με την εγκατάσταση.

Ιδιότητα Περιγραφή
Χρήση SNC Ορίστε την επιλογή Ναι αν θέλετε να ενεργοποιήσετε το SNC.
Βιβλιοθήκη SNC Το όνομα βιβλιοθήκης SNC ή η διαδρομή που σχετίζεται με τη θέση εγκατάστασης του NCo ή με απόλυτη διαδρομή. Παραδείγματα είναι sapcrypto.dll, ή c:\sapcryptolib\sapcryptolib.dll.
SNC SSO Καθορίζει εάν η σύνδεση χρησιμοποιεί την ταυτότητα της υπηρεσίας ή τα διαπιστευτήρια του τελικού χρήστη. Έχει οριστεί σε Ενεργό ώστε να χρησιμοποιεί την ταυτότητα του τελικού χρήστη.
Όνομα συνεργάτη SNC Το όνομα του SNC διακομιστή υποστήριξης. Παράδειγμα, p:CN=SAPserver.
Ποιότητα προστασίας SNC Η ποιότητα της υπηρεσίας που χρησιμοποιούνται για την επικοινωνία SNC αυτού του συγκεκριμένου προορισμού ή διακομιστή. Η προεπιλεγμένη τιμή ορίζεται από το σύστημα υποστήριξης. Η μέγιστη τιμή ορίζεται από το προϊόν ασφαλείας που χρησιμοποιείται για το SNC.

Το όνομα SNC SAP για τον χρήστη πρέπει να ισούται με το πλήρως εγκεκριμένο όνομα τομέα του Active Directory του χρήστη. Για παράδειγμα, p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM πρέπει να ισούται με JANEDOE@REDMOND.CORP.CONTOSO.COM.

Σημείωμα

Microsoft Entra ID έλεγχος ταυτότητας μόνο—ο Active DirectorySAP Service Principal λογαριασμός πρέπει να έχει AES 128 ή AES 256 στο χαρακτηριστικό msDS-SupportedEncryptionType.

Βήμα 4: Ρύθμιση διακομιστών SAP και λογαριασμών χρηστών ώστε να επιτρέπουν ενέργειες

Εξέταση της σημείωσης SAP 460089 - Ελάχιστα προφίλ εξουσιοδότησης για εξωτερικά προγράμματα RFC για να μάθετε περισσότερα σχετικά με τους υποστηριζόμενους τύπους λογαριασμών χρηστών και την ελάχιστη απαιτούμενη εξουσιοδότηση για κάθε τύπο ενέργειας, όπως η κλήση απομακρυσμένης συνάρτησης (RFC), η διασύνδεση προγραμματισμού επιχειρηματικής εφαρμογής (BAPI) και το ενδιάμεση έγγραφο (IDOC).

Οι λογαριασμοί χρηστών SAP πρέπει να έχουν πρόσβαση στην RFC_Metadata ομάδα λειτουργιών και στις αντίστοιχες μονάδες λειτουργίας για τις ακόλουθες λειτουργίες:

επιχειρησιακών λειτουργιών Πρόσβαση στις μονάδες λειτουργίας
Ενέργειες RFC RFC_GROUP_SEARCH και DD_LANGU_TO_ISOLA
Ενέργεια "Ανάγνωση πίνακα" Είτε RFC BBP_RFC_READ_TABLE ή RFC_READ_TABLE
Χορήγηση αυστηρά ελάχιστης πρόσβασης στον διακομιστή SAP για τη σύνδεση SAP RFC_METADATA_GET και RFC_METADATA_GET_TIMESTAMP

Επόμενο βήμα

Εγκατάσταση του προτύπου SAP Procurement

Σχετικό περιεχόμενο

Δείτε επίσης