Die Liquidität im Blick behalten - Midrange Magazin

SCHWERPUNKTSystemintegration, IT-Konsolidierung, SANSAP Single-Sign-On mit Active DirectoryEin Passwort für allesStandardbasierte Single-Sign-On-Lösungen (SSO) setzen sich allmählich durch, um derwachsenden Zahl an Benutzeridentitäten und -passwörtern Herr zu werden. Denn immer mehrAnwender müssen sich an immer mehr Applikationen anmelden, um die täglichen Arbeitsschrittedurchzuführen. So nimmt das Passwortmanagement als Teil des Identity Managementeinen immer größeren und wichtigeren Bereich innerhalb der IT-Operations ein.SSO ermöglicht es dem Anwender,nach nur einer Authentifizierungauf alle Anwendungen zuzugreifen, fürdie er die entsprechenden Rechte besitzt.Dies ist nicht nur für den Nutzereine angenehme Arbeitserleichterungund hilft Zeit zu sparen, auchfür den Admin bringt diesVorteile mit sich. Die Passwortverwaltungvereinfachtsich, während die Sicherheitsteigt: Zum einen müssen sichNutzer nur noch ein Passwortmerken und Klebezettel unterder Tastatur gehören hoffentlichder Vergangenheit an,zum anderen muss das Passwortnur einmal übertragenwerden und ein Benutzerkontolässt sich, wenn nötig, deutlicheinfacher entfernen.Gute GelegenheitEs gibt verschiedene Möglichkeiten,SAP in ein SSO-Konzept miteinzubeziehen. Ein komfortabler Wegist es, vorhandene Systeme für SSO zunutzen. Mit MS Active Directory undSAPs SNC kann man rasch, einfach undmit geringem Ressourcenaufwand SSOauf Basis von Kerberos/LDAP umsetzen.Dazu wird weder eine zusätzlicheInfrastruktur benötigt noch muss eineClient-Software installiert werden. Aufdem Markt finden sich diverse Lösungen,die auf verschiedenen Wegen einSSO ermöglichen. Nun, da SAP ihreklassische Benutzerverwaltung ZBVzugunsten des eigenen Produkts SAPIdentity Management auslaufen lässt,lohnt sich ein Blick auf die Angebotevon unabhängigen Drittherstellern.Denn auch bei der Umstellung von ZBVQuest Authentication Services (SAP Client/SAPgui)auf SAP Identity Management kommtKerberos2Quest Authentication ServicesGSS-API.dll1 SAP Client (SAPgui)Integration ArchitectureActive DirectorySAPClientlinklinkencrypted data channelQuest Authentication ServicesGSS-API.soASAPR/3 (w/SNC)Quest Authentication Services Integration Architecture43ein Migrationsaufwand auf die Administratorenzu; eine gute Gelegenheit,eine Lösung zu implementieren, dieSSO über SAP hinaus gewährleistet.Für Unternehmen, die weder ZBV imEinsatz haben noch SAP Identity Managementeinführen wollen, lohnt sichder Blick auf eine umfassende Drittlösungbesonders.Ob ein Open-Source-Produkt in Fragekommt, hängt von den gewünschtenFunktionalitäten und dem erwartetenSupport ab. Oft ist für Open-Source-Lösungen kein oder nur eingeschränkterSupport erhältlich, umfangreichereSupport-Leistungen verursachen ebensowie bei kommerziellen LösungenKosten. Kaum ein Open-Source-Produktliefert dabei einen vergleichbarenFunktionsumfang: BeispielsweiseZwei-Faktor-Authentifizierung,Benutzergruppenintegration, automatisiertesManagement derKerberos-Tickets oder Caching,wenn das Active Directory einmalnicht zur Verfügung steht, bietennur kommerzielle Produkte.Einfache UmsetzungEine für SAP ERP, R3 und NetWeaver zertifizierte Lösung sinddie Authentification Services vonQuest. Die SSO-Lösung nutzt dieSAP-SNC-Schnittstelle und mussdeshalb lediglich auf dem Serverinstalliert werden. Nachdemeinige Parameter im SAP-Konfigurationsmenügesetzt und dasSystem einmal neu gestartet wurde,ist SSO einsatzfähig. Dies funktioniertganz unabhängig davon, ob ein Unternehmenbisher mit ZBV, SAP IdentityManagement oder keinem der beidenModule gearbeitet hat. Alle standardisiertenAnwendungen – von Siebelbis IBM WebSphere – lassen sichüber Kerberos an das Active Directoryanbinden. Reto Bachmann óQuest Software GmbH, Zürich (CH)www.questsoftware.de24MIDRANGE MAGAZIN · 12/2009