SAP aktualisiert Single Sign-On für mobile Authentifizierung

SAP Hauptquartier (Bild: SAP AG / Stephan Daub)

Features für mobile Authentifizierung und eine bessere Integration mit bestehenden Public Key Infrastruktures sorgen für eine schnellere Implementierung der Lösung.

SAP macht Version 3.0 der Authentifizierungslösung SAP Single Sign-On allgemein verfügbar. Die neue Version weitet den Support für mobile- und Cloud-basierte Szenarien aus und sorgt neben einer vereinfachten Implementierung auch für eine Optimierung von Sicherheitsprotokollen.

Wie andere SSO-Lösungen ermöglicht die SAP-Lösung eine sichere Authentifizierung über ein einzelnes Passwort, das zentral an einem geschützten Ort hinterlegt ist. Und hier sorgt die neue Version mit einem modernisierten X.509-basierten Szenarien für bessere mobile Sicherheit. Über eine verbesserte Plattform-Integration werde die Implementierung vereinfacht.

Die neue Version umfasst auch alle Funktionen, die mit SAP Single Sing-on 2.0 unterstützt werden und ist vollständig interoperabel mit der Vorgängerversion. Nutzer von Version 2.0 könnten das Update wie einen Patch aufspielen und damit die neuen Features und Vorteile nutzen, heißt es von SAP.

In der neuen Version kann nun der Secure Login Server als Registraion Authority agieren und die bestehende PKI kann dabei für die Zertifikatsverwaltung verwendet werden und das sowohl für Nutzer wie auch für Zertifikate. Wer bereits über eine PKI verfügt, braucht für das SAP SSO kein zweites aufzusetzen. Zertifikate können damit auf Basis der PKI signiert werden, Prozesse für Storage, Policy und Revocation müssen dann nicht angepasst werden.

SAP Single Sign-On 3.0 liefert auch ein verbessertes Management für den Zertifikats-Lifecycle. So können über den Secure Login Server die Lebenszeit von Zertifikaten verwaltet werden, in dem die Erneuerungen von Server-Komponten automatisiert werden. Ein neuer automatisierter zentraler Roll-out von Trusted Root Certificates helfe zudem bei der Migration von Self-signed Certifikates zu einem PKI-basierten Ansatz.

Authentifizierungs-Routine zwischen Client und Secure Logon Server. (Bild: SAP)
Authentifizierungs-Routine zwischen Client und Secure Logon Server. (Bild: SAP)

Mit dem Secure Login Server X.509 lassen sich jetzt Zertifikate an mobile Geräte auf mehrere Arten ausrollen. Bislang waren die Anwender hier auf Simple Certificate Enrollment Protocol (SCEP) angewiesen, das durch iOS unterstützt wird. Über die Provisionierung von X.509-Zertifikaten können Anwender nun sogar eigenen Code für das Enrollment über die REST API schreiben, die von dem Secure Login Server bereitgestellt wird. Neu ist auch die Integration des Login-Servers mit der SAP Mobile Plattform, wodurch die Nutzererfahrung bei mobilen Anwendungen noch besser werde, versichert SAP.

Neu ist auch die automatisierte Verwaltung des Zertifikatslebenszyklus für den SAP NetWeaver Application Server for ABAP. Neben einem neuen Verschlüsselungsmodus für eine sichere Ende-zu-Ende-Kommunikation bietet der neue integriert Secure Login Web Client auch erweiterte Funktionen für die Anmeldung in Cloud- und On-Premises-Anwendungen. Zudem ist der Web Client jetzt nicht mehr von Java oder ActiveX abhängig und damit hebt SAP einige Einschränkungen beim Browser-Support auf.

Der Web Client des Secure Login Servers in SAP Single Sign-on ist jetzt nicht mehr von Ajax und Java abhängig, wodurch einige Einschränkungen wegfallen. (Bild: SAP)
Der Web Client des Secure Login Servers in SAP Single Sign-on ist jetzt nicht mehr von Ajax und Java abhängig, wodurch einige Einschränkungen wegfallen. (Bild: SAP)

SAP Single Sign-On 3.0 unterstützt zudem jetzt Perfect Forward Secrecy für SNC-Communication. Damit werde das Risiko minimiert, dass kompromittierte Schlüssel von Hackern dazu benutzt werden, um aufgenommene Session-Daten zu entschlüsseln. Neu ist auch der Support für die SSL/TLS Cipher Suite “TLS_FALLBACK_SCSV”, was einen besseren Schutz gegen Protokol-Downgrade-Attacken verspricht.

 

Tipp: Wie gut kennen Sie SAP? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.