SPNego Single Sign-On

Af Tom Rasmussen, Copyright © Invendium A/S 2009

Irriterende loginskærme og glemte passwords

Hvorfor bøvle med irriterende loginskærme og glemte passwords?

Som administrator eller helpdesk-konsulent har man sikkert mere end én gang haft brugere i røret, som har glemt eller låst deres password til SAP NetWeaver Portalen eller andre SAP Java-baserede systemer.

Som bruger har man sikkert også oplevet at man ikke lige husker hvilket af de 10 forskellige passwords man pt. har gang i, der giver adgang til feks Portalen. Efter 3 loginforsøg er adgangen låst og man må gribe telefonen og håbe på at HelpDesk ikke er gået hjem for idag.

SAP tilbyder muligheden for Kerberos baseret Single Sing-On (authentication), og hvis du anvender Microsoft Windows 2000 eller nyere, er Kerberos funktionaliteten en integreret del af styresystemet (OS).

Således får du Single Sign-On ’foræret’ uden at skulle investere i 3.parts produkter. Det er kun et spørgsmål om konfigurering. Vi vil i denne artikel komme lidt ind på virkemåde og fordele ved Kerberos Authentication når man anvenders SAP’s SPNego Wizard.

Hvordan virker SPNego?

1. Brugeren logger på sin arbejdsstation med sit Windows Domæne login.
2. Når brugeren i sin browser taster URL’en til SAP Netweaver java-stakken, sender browseren Windows login information med.
3. SPNego checker derefter brugerens login-information imod Active directory
4. Hvis brugeren er valid udstedes der en SAP logon ticket.

Figuren herover viser grafisk flowet ved SPNego authentication.

SPNego Wizard

SPNego Wizard er en Guided Procedure, hvor du step for step sikkert bliver ført igennem de forskellige faser i konfigureringen. Nogle steps udføres automatisk af wizarden og andre steps udføres manuelt af dig efter wizardens anbefalinger. Selvom Wizarden er rigtig god, vokser træerne ikke ind i himlen, så det er en rigtig god ide at læse SAPs dokumentation, og have de relevante SAP noter og PDF’er ved hånden inden man starter.

SAP Note 968191 – SPNego: Central Note det bedste sted at starte da den linker til relevante SPNego noter og PDF’er både omkring konfigurering og fejlsøgning. Selve wizarden startes med følgende URL: http://[hostname]:[port]/spnego.

Noget af konfigurationen foregår i Active Directory (AD). Ved SPNego bruger man AD som user persistence (UME Data Source), så hvis man ikke er helt stærk i den teknologi, bør man tage en AD ekspert med på sidelinien. Når man anvender AD som user persistence i portalen, får man samtidig muligheden for at anvende brugernes tilhørsforhold i AD grupperne, da grupperne fremtræder som roller i portalen. Du har altså hele dit AD gruppehieraki tilgængeligt i portalen og skal kun vedligeholde brugerne og deres organisatoriske tilhørsforhold ét sted: i AD.

Eksempel på et skærmbilled i SPNego Wizarden. Bemærk de små ’info’ knapper. Tryk på dem og du får hjælp til det aktuelle felt.

Generelle forudsætninger

• AS Java 640 SP 15 eller højere
• AS Java 700 SP 6 eller højere

• JDK 1.4 eller højere

• Microsoft Windows Server 2000 Active Directory
• Microsoft Windows Server 2003 Active Directory

Fordele

SPNego er en af de faciliteter som virkelig er til daglig glæde for både brugere og administratorer. Implementeringen er ikke krævende; hverken økonomisk eller tidsmæssigt, og effekten er virkelig til at få øje på.

Stor værdi for små penge:

• Brugerne slipper for en logonskærm, og kommer direkte på systemet… feks portalen eller et af de andre java-baserede SAP produkter
• Brugerne skal ikke huske endnu et password, men er ’godkendt’ via deres windowslogon
• SystemAdministrator slipper for at skulle administrere låste og glemte passwords, så belastningen mindskes på driftafdeling, HelpDesk osv.