Autor Thema: SAP Business Objects Alias / SNC Sicherheitsproblem  (Gelesen 481 mal)

stepwagner

  • Newbie
  • *
  • Beiträge: 2
Hallo,
für die Verbindung eines SAP Business Objects Servers zu einem SAP BW System wollen wir SNC einsetzen, um die Verbindung anzusichern (verschlüsseln). In unserer Proof of Concept Installation funktioniert dies auch fehlerfrei und aufgrund der SNC-Nutzung auch zudem mit Single Sign-On zum BW-System. Wir haben nur folgendes Sicherheitsproblem:

Aufgrund der Nutzung von SNC wird der Benutzer im BW-System nicht re-authentifiziert (SSO). Die im BW-System zur Anwendung kommende Kennung wird stattdessen über den BO-Alias ermittelt und als Parameter an das SAP System übergeben. Da es einem BO-Administrator jedoch möglich ist einem BO-User einen beliebigen (SAP-)Alias zuzuweisen, kann hierdurch Zugriff auf eigentlich nicht berechtigte Daten erlangt werden, da fremde SAP Kennungen gemapped und damit gekapert werden können!

Zwei Lösungsansätze könnte ich mir aktuell für obiges Problem vorstellen:

1.Einschränkung der BO-Aliasnutzung auf identische Userkennungen. Hierdurch könnte einer Kennung AD/X123 nur SAP/X123 zugewiesen werden. Da wir in allen Systemen identische Kennungen verwenden, wäre für uns diese Lösung tragbar. Dies wäre die präferierte Lösung.

2.Erzwingen einer re-Authentifizierung von Seiten des SAP BW-Systems trotz SNC-Nutzung. Wenn das SAP System trotz SNC eine re-Authentifizierung verlangen würde, könnten Kennungen nicht durch Fremde genutzt, die Übertragung aber dennoch verschlüsselt werden. Auf SSO würden wir in diesem Falle verzichten können, da primäres Ziel die Verschlüsselung der Datenübertragung ist.

Ist jemandem von Ihnen vielleicht ein Lösungsansatz für obiges Problem bekannt? Oder kann jemand von Ihnen fehlende Details zu Lösungsansatz 1 oder 2 von oben beitragen?

 

Vielen Dank und viele Grüße,
Stephan Wagner