使用公司IDP的SAP GUI的SSO

2020-08-18 05:32发布

点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)嗨社区 在我们用于所有SAP ...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨社区

在我们用于所有SAP Cloud应用程序(SaaS,SCP)以及Cloud-to-Premise SSO的Corporate Identity提供商和SAML 2.0时代,我仍然为我们没有针对SAP的解决方案而苦恼 GUI。

过去我们有SNC,显然还有SSO 3.0,它需要许可和其他基础结构。

我们的策略首先说SAML 2.0和Azure AD,所以SAP GUI在这里做了自己的事情。

是SNC还是SAP SSO,还是新方法?

3条回答
compass1988
2020-08-18 05:54

嘿乔纳斯,

您可以向员工提供Fiori UI和HTML的SAP GUI,而不是FAT GUI。 两者都将允许SAML作为身份验证令牌。 问题解决了。 并且有多种方法可以利用现有的SAML IDP(如您的Azure一样)进行SAP GUI身份验证,但是要实现此目标并非易事,并且确实需要额外的基础结构,往返和最终用户不友好的行为。 我不会为每个客户都推荐这样做,通常背后有一个原因,例如数百个AD域之间的信任/联合,就像我们的一位客户使用此方法那样。 不久前,有一个类似的问题,这里,您可以找到有关如何通过SAP GUI #spoiler启用SAML的更多信息(需要SAP SSO 3.0)

当然,您可以使用SAP进行很多有趣的操作 无需其他基础结构的SSO 3.0。 它为客户提供了对SAP Common CryptoLib与SNC和SSO结合使用的补贴和未来的全面支持。 它为S/4 + NW(ABAP)提供SPNEGO支持,并提供其他功能,例如用于SAP GUI的MFA,使用安全登录服务器的PKI集成+证书生命周期管理(此处带有其他基础结构); 共享办公桌/服务台和其他设备的RFID认证...

在过去的几年中,我有很多项目,其中AD/Azure是领先的认证系统/IDP。 通过Azure AD应用程序代理/连接器服务器公开应用程序之类的事情与SAP的本地安全产品SAP SSO 3.0完美配合。 另外,如果有网关/WAM/等。 在执行预身份验证和Kerberos约束委派的游戏中完美地协同工作。 最近,我不得不使用SNC和KCD将MSFT PowerBI数据网关连接配置为本地BW。

当然,不可能为SAP GUI使用SAML令牌,因为SNC仅支持Kerberos之一 或X.509证书"。" 我认为SAP永远不会提供对SNC的SAML支持:)通过SAP SSO 3.0,可以将两个身份验证令牌与SNC并行使用。 这允许使用X.509的S2S SNC(系统之间)和使用Kerberos或X.509的C2S SNC。 通常,对于关键的RFC接口以及确保DIAG流量的安全性,都有确保适当的传输安全机制的有效要求。

DIAG/RFC和良好的旧SAP GUI肯定会在未来10多年与我们在一起。 因此,拥有一个良好且得到良好支持的SNC解决方案如今变得尤为重要。 有大量的SAP组织,通过使用配置较差的开源实现以及非常古老的密码集或古老的NTLM包装程序以及其他可怕的事物,使基础结构暴露于已知漏洞。

但是,有什么总比没有好,而且还是正确的:)

干杯柯尔特

一周热门 更多>