SAP NetWeaver MDM? Aber bitte mit SAP NetWeaver BPM und SAP NetWeaver BRM
SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik
-
Upload
sap-turkiye -
Category
Documents
-
view
246 -
download
6
Transcript of SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik
![Page 1: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/1.jpg)
SAP Analitik & İnovasyon Forum
İstanbulOyun Devam Ediyor
SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik
B.Koray ÇELİK / Technology Senior Consultant
SAP Türkiye
![Page 2: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/2.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 2
Gündem
• Şifrelerin hayatımıza maliyeti
• Çözüme genel bakış
• Kullanılan senaryolar
• Genel görünüm
• Sorular?
![Page 3: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/3.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 3
Şifrelerin Hayatımıza Maliyeti
• Şifreler hayatımızın her noktasında: Banka hesapları, bilgisayar hesapları, iş
sistemleri, e-posta hesapları, web siteleri, akıllı cihazlar vb.
• Karmaşıklık zorunluluğu, yenileme periyotları
• Şifre yorgunluğu ???
• Giriş yaparken ve şifre değiştirirken kaybedilen zaman
• Şifre ile ilgili yardım masası çağrıları
![Page 4: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/4.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 4
Problemin kaynağı nedir?
![Page 5: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/5.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 5
Zayıf şifrelerin sonuçları çok yıkıcı olabilir...
![Page 6: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/6.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 6
Çözüm?
SAP NetWeaver Single Sign-On
![Page 7: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/7.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 7
Compliant Identity Management and Single Sign-On
![Page 8: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/8.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 8
SAP NetWeaver Identity Management and Single Sign-On
![Page 9: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/9.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 9
SAP NetWeaver Single Sign-On
Amaç?
Sadece bir defa kimlik doğrulama
SAP kullanıcı kontrolü için Windows kimlik doğrulamasını tekrar
kullanmak, X.509 sertifikaları ve/veya Kerberos teknolojisi aracılığıyla
Single Sign-On ve Güvenli Ağ İletişimi:
SAP GUI (SAP Logon)
SAP NetWeaver Business Client
SAP Business Explorer (BEx)
Web GUI (Browser)
Java Uygulamaları
vb…
![Page 10: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/10.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 10
SAP NetWeaver Single Sign-On
Çözüm Bileşenleri
•Legacy sistemler için single sign-on (E-SSO)
(ftp, databases, terminal, telnet)
•Kullanıcı adı ve şifreyle güvenli ve otomatik
giriş
•Endüstri standartlarında SAPGUI’ye single sign-
on (Kerberos, X.509)
•Web tabanlı uygulamalar için single sign-on
•Kritik uygulamalar için dijital imza ve kimlik
doğrulama
SA
P N
etW
ea
ver
Sin
gle
Sig
n-O
n
Secure Login
Enterprise Single Sign-On
Cross-domain ortamlar için SAML teknolojisi ile
Single Sign-On ve Identity FederationIdentity Federation
SA
P
NW SNC Client Encryption
•SAP Windows istemcileri ve SAP uygulama
sunucuları arasında temel kriptolama
•Single Sign-On olarak kullanılamaz
![Page 11: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/11.jpg)
Senaryolar
Secure Login Senaryoları
![Page 12: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/12.jpg)
Senaryo 1Secure Login bileşeniyle SSO (Kerberos aracılığıyla)
![Page 13: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/13.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 13
Microsoft
Active
Directory
AS ABAP 1
SAP NetWeaver Single Sign-On
Secure Login bileşeniyle SSO (Kerberos aracılığıyla)
NW AS JAVA
3
DIAG, RFC (SNC)
HTTP/HTTPS
Single Sign-On ve
Güvenli Bağlantı
SAP GUI
SAP GUI ya da Web GUI
başlatılır2
1
Kullanıcı Windows
oturumunu açar
UME
Secure Login Client
Secure Login Library
SPNEGO
Kerberos
keyTab
keyTab
AS ABAP 2
Secure Login Library
Güvenli
RFC (SNC)
bağlantısı (X.509
sertifikaları ile)
Secure Login Library X.509 Sertifikasını ve Kerberos’u destekler
![Page 14: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/14.jpg)
Senaryo 2Windows Kullanıcı Doğrulamasını Tekrar Kullanma
(Secure Login Server - X.509 Sertifikası Aracılığıyla)
![Page 15: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/15.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 15
Microsoft
Active
Directory
NW AS ABAP
SPNEGO
SAP NetWeaver Single Sign-On
Secure Login – SLS & X.509 Sertifikası
NW AS JAVA
NW AS JAVA
Secure Login Client
Secure Login Server
6
DIAG, RFC (SNC)
HTTPS
Single Sign-On ve
Güvenli Bağlantı
HTTPSSAPCRYPTOLIB
Secure Login Library
SAPCRYPTOLIB
SAP GUI
X.509 sertifikası
sağlanır4
2
Kullanıcı bilgileri
gönderilir3
Kullanıcı
kontrol edilir
keyTab
1
Kullanıcı Windows
oturumunu açar
SAP GUI ya da Web GUI
başlatılır5
UME
(SSL)
(SNC)
(SSL)
![Page 16: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/16.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 16
SAP NetWeaver Single Sign-On
Diğer Kullanım Senaryoları
Varolan X.509 Public Key Infrastructure(PKI) yapısının tekrar kullanılması: Secure Login
Server olmadan varolan PKI kullanılabilir. (Software Sertifikaları)
X.509 Sertifikaları aracılığıyla RSA SecurID Token Kullanıcı Doğrulaması: RSA SecurID
Token’ları SAP AS ABAP ve ASP AS JAVA sistemlerine erişim için kullanılabilir. Oluşturulan
X.509 sertifikaları diğer 3. parti yazılımlarda da kullanılabilir.
X.509 Sertifikası Aracılığıyla Windows Kullanıcı Doğrulamasını Tekrar Kullanma (Web
Client ile): Web Client sayesinde SAP GUI ve web uygulamalarına sıfır ayakizi bırakarak
şifresiz ve güvenli erişim.
![Page 17: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/17.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 17
SAP NetWeaver Single Sign-On
Enterprise Single Sign-on – Password Manager
E-SSO Legacy sistemlere ve SSO desteği olmayan ortamlara şifresiz erişim
Erişim sağlanan yerler:
Web Uygulamaları
Windows Uygulamaları
Java Uygulamaları
Veritabanları
Terminal Arayüzleri
Önemli noktalar:
Wizard tabanlı
Otomatik ve/veya
sürükle bırak doğrulama
Smart card uyumlu
![Page 18: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/18.jpg)
En Uygun Çözüm Hangisi?
SAP farklı yöntemlerle farklı SSO çözümleri
sunuyor.
Peki hangisi sizin için en uygun?
![Page 19: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/19.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 19
SAP NetWeaver Single Sign-On
Kerberos Tabanlı Çözümün Avantajları
Canlıya geçirilmesi en kolay çözüm
SSO odaklı çözüm
Daha az güvenlik gereksinimi
Microsoft ortamıyla tam entegrasyon
Active Directory Sistemiyle sırtsırta bir çözüm
Ekstra Sunucu ya da Servis ihtiyacı yok
Hızlı İmplementasyon (Rapid Deployment)
SSO Odaklı
Kerberos Teknolojisi
MicrosoftIntegration
Rapid Deployment
![Page 20: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/20.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 20
SAP NetWeaver Single Sign-On
X.509 Sertifikalarıyla Çözümün Avantajları
Farkı seviyedeki güvenlik gereksinimlerini
karşılayabilme, birleşik çözümlere uygunluk
(Software Token, Smartcard, USB
Smart Token, OTP Token, etc…)
Out of the box PKI: Hazır PKI yapısıyla
entegre edilebilir ya da sıfır PKI imkanı
Endüstri standartlarında çözüm sunarak birçok
uygulamada kullanım olanağı(SAP olmayan
uygulamalar için)
RSA SecurID Desteği
X.509 dijital imzaların SAP AS ABAP içinde kullanılması
(SSF – Re-Authentication)
Secure Login Web Client (Son kullanıcılarda hiçbir kurulum
gerektirmeme özelliği)
Ölçeklenebilir Güvenlik
Esnek Entegrasy
on
Endüstri Standartı
![Page 21: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/21.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 21
SAP NetWeaver
SNC Client Encryption
NW AS ABAP
SAP ERPSAP GUI / Web GUI / NWBC
RFC / DIAG
Network
Sniffer•SAP Kullanıcı Adı / Şifre
•Veri
Kriptolama yok!!
![Page 22: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/22.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 22
SAP NetWeaver
SNC Client Encryption
Secure Network Communications: SAP NW mimarisinde bir güvenlik katmanı.
Daha güçlü kullanıcı doğrulama, şifreleme ve SSO imkanı sağlar.
SAP NetWeaver lisansı
dahilinde
Son kullanıcılar ve
uygulama sunucuları
arasında kriptolama
SSO’ya destek veren
mekanizma
![Page 23: SAP Netweaver SSO ve Kimlik Yönetimi ile Üst Düzeyde Güvenlik.B.Koray Çelik](https://reader033.fdocument.pub/reader033/viewer/2022051213/55ac4b291a28ab932b8b4629/html5/thumbnails/23.jpg)
© 2013 SAP AG or an SAP affiliate company. All rights reserved. 23
SAP NetWeaver
SNC Client Encryption
Kullanıcı adı ve şifre ile
giriş (SSO yok)
Veri trafiğinin
şifrelenmesi
Kullanıcı bilgisi içinde
SNC name bakımına
gerek yok