안녕하세요. ST03 입니다.

프로젝트에서 이야기는 많이 되지만 정확하게 설명 해 주는 사람이 잘 없는 SSO 에 대해 써 보도록 하겠습니다.

Web 기반 접속의 경우

Fiori 를 포함한 Web 기반 SSO 은 SAML 이 전부터 지원 되었고 대부분의 IdM 이 이를 지원하기 때문에 고객사측에서 정확한 아키텍쳐가 제시되어 있다고 하면 큰 무리는 없습니다.

SAP GUI for Windows 에 적용이 필요한 경우

SAP GUI 의 경우 SAML 을 통한 SSO 이 지원되지 않기 때문에 몇 가지 고민이 필요합니다. 고객사에서 Microsoft AD 를 사용하고 있거나 사용 할 예정이 있다면 Kerberos 를 통한 SSO 설정을 하는게 별도의 비용도 안 들고 가장 직관적일 것 입니다.

Microsoft AD 를 사용하고 있지 않거나 사용 예정이 없다면 X.509 를 통한 SSO 도 가능 하지만 이 경우 SAP Netweaver Java 에 설치 되어야 하는 별도 SAP 솔루션이 필요하고 이 부분은 별도 계약이 필요한 부분이라 다소 난감한 영역이 되겠습니다. SAML 로 SSO 을 한 후에 SAP GUI link 를 파일 형태로 열게 하는 방법이 별도 계약이 필요 없어서 많이 가이드를 하는 방법이기는 하지만 파일 형태로 링크 다운로드를 할 수 있게 하면 해당 파일을 다른 사람과 공유하여 열게 할 수도 있고 Multi Logon 의 소지도 있는 등 보안/라이선스 적으로 위험성을 안고 가야 하는 점은 고객사 측에서 인지 하고 있어야 합니다.

라이선스

MS AD 에서 Kerberos 를 통해 SSO 를 하는 경우나 Fiori 등 Web 기반으로 SAML 을 통한 SSO 의 경우는 별도의 라이선스가 필요 없습니다.

SAML 의 경우에는 OnPrem 에 대해서도 동일하겠지만 Kerberos 에 대해서는 별도로 확인이 필요합니다.

참고자료

User Authentication and Single Sign-On (SSO) | SAP Help Portal

Single Sign-On (SAML2) Configuration for SAP FIORI Application. | SAP Blogs

SAP Single Sign-On: Protect Your SAP Landscape with X.509 Certificates | SAP Blogs

A Single Sign-On Guide for SAP S/4HANA Cloud, Private Edition (RISE with SAP) | SAP Blogs