SAP propose toute une série de dispositifs et de services de sécurité pour répondre aux exigences les plus strictes en matière d'intégrité, de protection et de confidentialité des données, mais également pour prendre en charge l'authentification, les autorisations et la sécurisation des échanges d'informations.

SAP NetWeaver prend en charge divers dispositifs d'authentification (certificats numériques conformes à la norme X.509, cartes à puce, tickets et identification par nom d'utilisateur et mot de passe), afin de contrôler rigoureusement l'accès aux applications. Avec JAAS (Java Authorization and Authentication Service), vous pouvez insérer un module d'authentification externe afin d'intégrer la méthode d'authentification de votre choix. La méthode d'authentification unique (single sign on) simplifie la procédure en évitant d'avoir à mémoriser divers noms d'utilisateur et mots de passe.

Un dispositif complet d'autorisation permet de gérer les autorisations avec une granularité plus ou moins fine. Les droits d'accès des utilisateurs aux informations, aux applications et aux services peuvent être octroyés automatiquement en fonction de leurs rôles. Les informations utilisateur peuvent être générées de manière centrale et synchronisées avec un annuaire LDAP. Un système d'autorisation basé sur des listes de contrôle d'accès est également disponible.

Des techniques de codification permettent d'assurer la confidentialité des informations échangées par les utilisateurs. Le protocole HTTPS, variante sécurisée de HTTP, est pris en charge. Par ailleurs, la fonction Secure Network Communication a recours à des solutions externes pour protéger les communications établies entre les composantes distribuées de votre solution SAP.

Pour sécuriser l'interopérabilité, SAP NetWeaver prend en charge des normes de l'industrie telles que SAML (Security Assertions Markup Language) et les signatures XML. Des dispositifs sécurisés de stockage et de transfert (Secure Store and Forward) utilisent des solutions externes pour protéger les données. Les signatures numériques offrent une garantie de non-répudiation, tandis que les enveloppes numériques présentent les données et les documents sous un format sécurisé avant leur stockage ou leur envoi. Les services d'un Trust Center sont en outre disponibles pour l'infrastructure à clé publique.

Pour finir, l'outil Security Audit Log enregistre les événements, comme par exemple les tentatives de connexion et les débuts de transaction, et un système d'information d'audit fait la synthèse de tous les états afin de réunir des informations essentielles sur la sécurité.