您可以配置经过数字签名的SAP登录票证,以使用单点登录进行配置,以访问SAP环境中的集成应用程序.您可以配置门户以向用户颁发SAP登录票证,并且用户需要对此系统进行身份验证以进行初始访问.当向用户发出SAP登录票时,它们将保存在Web浏览器中,并允许用户使用SSO登录到不同的系统.
在ABAP应用程序服务器中,有两种不同的类型可以配置和减去的登录票证;
登录票证这些票证允许使用SSO方法进行基于Web的访问.
身份验证声明票证这些票证用于系统到系统的通信.
要配置SAP登录票证,应在用户配置文件中设置以下参数.
您可以使用单点登录(SSO)票证在SAP系统之间甚至超过非SAP之间进行SSO系统. SSO票证可以是登录票证或断言票证.登录票证将作为cookie传输,名称为 MYSAPSSO2 .断言票据作为HTTP头变量传输,名称为MYSAPSSO2.
注意这需要用于发布和接受系统的附加配置步骤. SSO组件系统应允许通过SSO票证登录(login/accept_sso2_ticket = 1).
如果只有过程(X.509客户端证书)用于单个登录,或者如果您不想对此系统使用单点登录,则可以通过SSO票证(login/accept_sso2_ticket = 0)停用此登录.
设置参数,使用事务 RZ11
允许的值 0/1
您可以使用单点登录(SSO)票证在SAP系统之间进行SSO,甚至可以在非SAP系统之间进行SSO. SSO票证可以是登录票证或断言票证.登录票证作为cookie传输,名称为MYSAPSSO2.断言票据作为HTTP头变量传输,名称为MYSAPSSO2.
注意这需要额外的配置步骤来发布和接受系统.
发行系统应该允许生成SSO票据
login/create_sso2_ticket = 1:包含证书的SSO票证
login/create_sso2_ticket = 2:没有SSO票证证书
login/create_sso2_ticket = 3:仅生成断言票据
允许的值 0/1/2/3
为了在使用mySAP.com Workplace时可以使用单点登录(SSO),可以使用SSO票证.创建SSO票证时,您可以设置有效期.一旦此过期,就不能再使用SSO票证登录工作区组件系统.然后,用户需要再次登录工作区服务器以获取新的SSO票证.
允许的值 <小时> [:<分钟>]
如果输入的值不正确,则使用默认值(8小时).
正确的值将如下所示
24 → 24小时
1:30 → 1小时30分钟
0:05 → 5分钟
错误的值如下:<
40(0:40是正确的)
0:60(1是正确的)
10:000(10将是正确)
24:(24是正确的)
1:A3
使用SSO方法,您可以使用X.509客户端证书对NetWeaver Application Server进行身份验证.客户端证书使用非常强大的加密方法来保护用户对NetWeaver应用程序服务器的访问,因此应使用强大的加密技术启用NetWeaver Application Server.
您应该在SAP上配置SSL NetWeaver应用程序服务器作为身份验证使用SSL协议进行,无需输入任何用户名和密码.要使用SSL协议,需要HTTPS连接才能在Web浏览器和NetWeaver ABAP应用服务器之间进行通信.
SAML2.0可用作单点登录SSO的身份验证,它可以跨不同域启用SSO. SAML 2.0由组织名称OASIS开发.它还提供单一注销选项,这意味着当用户从所有系统注销时,SAP系统中的服务提供商会通知身份提供商,而身份提供商又会注销所有会话.
以下是使用SAML2.0身份验证的优点;
您可以减少维护的开销对将主机应用程序托管到其他系统的系统进行身份验证.
您还可以在不维护系统用户身份的情况下维护外部服务提供商的身份验证.
所有系统中的单一退出选项.
自动映射用户帐户.
您还可以通过Web客户端和Web浏览器访问SAP NetWeaver Application Server的Kerberos身份验证.它使用简单和受保护的GSS API协商机制 SPNego ,该机制还需要具有其他许可证的单点登录SSO 2.0或更高版本才能使用此身份验证. SPNego 不支持传输层安全性,因此建议使用SSL协议添加传输层安全性以与NetWeaver Application Server进行通信.
在上面的屏幕截图中,您可以看到可以在用户配置文件中配置的不同身份验证方法,以进行身份验证.
SAP中的每种身份验证方法都有自己的优势,可以在不同的场景中使用.
