LUIS Services Anwendungen SAP Smartcard
Sinn und Zweck der Smartcard

Sinn und Zweck der Smartcard

Die Nutzung von SAP als ERP benötigt die sichere und verlässliche Authentifizierung von Nutzenden und die Verschlüsselung bei der Kommunikation mit den zentralen Servern. Beides wird über die Nutzung der SAP-Technik SNC und dem Produkt NWSSO im Zusammenspiel mit PKI-Smartcards und Server-Zertifikaten erreicht.

PKI-Smartcard

Eine PKI-Smartcard basiert auf asymmetrischer Verschlüsselung und dem auch bei SSL/TLS zum Einsatz kommenden X.509-Standard. Jedem Nutzenden wird dabei ein über einen DN (distinguished name) eindeutig benanntes Zertifikat zugeordnet, dieses Zertifikat bezieht sich auf ein Schlüsselpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht.

Die nutzende Person kann sich immer durch den Besitz des privaten Schlüssels ausweisen - und daher sollte der private Schlüssel auch nicht weitergeben werden oder sonstwie in die Hände anderer Personen gelangen. Der Vorteil der Smartcard (gegenüber Software-Zertifikaten, wie sie bei der DFN-PKI sonst häufig verwendet werden) liegt nun darin, dass der Schlüssel fest auf der Smartcard liegt und nicht ausgelesen werden kann. Die nutzende Person kann den Besitz des privaten Schlüssels und damit ihre Identität nur nachweisen, indem sie die Smartcard verwendet. Nach Entfernung der Smartcard aus dem Lesegerät ist keine Authentifizierung mehr möglich, dafür ist die Smartcard neu einzulegen.

Darüber hinaus wird die Verwendung der Smartcard durch eine PIN geschützt. Der Besitz der Smartcard allein reicht also nicht aus, die PIN muss auch bekannt sein. Die Sicherheit der Authentifizierung beruht auf zwei Dingen, dem Besitz der Smartcard und der PIN-Kenntnis. Daher sollte nicht nur die Smartcard nicht aus der Hand gegeben werden, die PIN muss zudem geheim gehalten und nicht zu einfach oder erratbar gewählt werden.

ERP-Systeme im Land Niedersachsen

Die Verwendung von Smartcards ist für die Nutzung von ERP-Systemen für die niedersächsischen Hochschulen vorgesehen. Der Einsatz von Smartcards erfolgt grundsätzlich analog zu der bei anderen Landeseinrichtungen. Statt einer Dienstvereinbarung zwischen den Hochschulen und den zuständigen Personalräten kommt daher auch eine 81er-Vereinbarung auf Landesebene zum Zuge.

Zudem ist die sichere Verbindungsverschlüsselung eine Vorgabe aus dem Datenschutz.

CCC-LUH-CA

Die Zertifikate werden von einer extra für den Zweck des ERP-Zugangs erstellten CA im Rahmen der DFN-PKI ausgestellt. Organisatorisch ist diese CA im LUIS angesiedelt. Daher enden die DNs (distinguished names) auch auf:
O=Leibniz Universitaet Hannover, (L=Hannover, ST=Niedersachsen,) C=DE

Es werden unterhalb dieses Pfades nur Zertifikate in OUs vom Typ ERP-* für die verschiedenen Hochschulen vergeben. Der CN eines Nutzerzertifikats enthält neben dem Namen noch einen Hash für die Mail-Adresse, was insgesamt als Pseudonym realisiert ist. Ein typischer DN ist beispielsweise:
CN=PN:SAP Erika Musterfrau/E2CDA,pseudonym=SAP Erika Musterfrau/E2CDA, OU=ERP-LUH, O=Leibniz Universitaet Hannover, C=DE

Die Registrierungsstelle, die Zertifikate und Smartcards ausstellt, befindet sich im LUIS. Die Kontaktdaten entnehmen Sie bitte der Kontaktseite.

Kontakt

Hotline IT-Service-Desk
Sprechzeiten
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.
Hotline IT-Service-Desk
Sprechzeiten
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.