2020-08-18 05:32发布
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)嗨社区 在我们用于所有SAP ... 显示全部
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨社区
在我们用于所有SAP Cloud应用程序(SaaS,SCP)以及Cloud-to-Premise SSO的Corporate Identity提供商和SAML 2.0时代,我仍然为我们没有针对SAP的解决方案而苦恼 GUI。
过去我们有SNC,显然还有SSO 3.0,它需要许可和其他基础结构。
我们的策略首先说SAML 2.0和Azure AD,所以SAP GUI在这里做了自己的事情。
是SNC还是SAP SSO,还是新方法?
嘿乔纳斯,
您可以向员工提供Fiori UI和HTML的SAP GUI,而不是FAT GUI。 两者都将允许SAML作为身份验证令牌。 问题解决了。 并且有多种方法可以利用现有的SAML IDP(如您的Azure一样)进行SAP GUI身份验证,但是要实现此目标并非易事,并且确实需要额外的基础结构,往返和最终用户不友好的行为。 我不会为每个客户都推荐这样做,通常背后有一个原因,例如数百个AD域之间的信任/联合,就像我们的一位客户使用此方法那样。 不久前,有一个类似的问题,这里,您可以找到有关如何通过SAP GUI #spoiler启用SAML的更多信息(需要SAP SSO 3.0)
当然,您可以使用SAP进行很多有趣的操作 无需其他基础结构的SSO 3.0。 它为客户提供了对SAP Common CryptoLib与SNC和SSO结合使用的补贴和未来的全面支持。 它为S/4 + NW(ABAP)提供SPNEGO支持,并提供其他功能,例如用于SAP GUI的MFA,使用安全登录服务器的PKI集成+证书生命周期管理(此处带有其他基础结构); 共享办公桌/服务台和其他设备的RFID认证...
在过去的几年中,我有很多项目,其中AD/Azure是领先的认证系统/IDP。 通过Azure AD应用程序代理/连接器服务器公开应用程序之类的事情与SAP的本地安全产品SAP SSO 3.0完美配合。 另外,如果有网关/WAM/等。 在执行预身份验证和Kerberos约束委派的游戏中完美地协同工作。 最近,我不得不使用SNC和KCD将MSFT PowerBI数据网关连接配置为本地BW。
当然,不可能为SAP GUI使用SAML令牌,因为SNC仅支持Kerberos之一 或X.509证书"。" 我认为SAP永远不会提供对SNC的SAML支持:)通过SAP SSO 3.0,可以将两个身份验证令牌与SNC并行使用。 这允许使用X.509的S2S SNC(系统之间)和使用Kerberos或X.509的C2S SNC。 通常,对于关键的RFC接口以及确保DIAG流量的安全性,都有确保适当的传输安全机制的有效要求。
DIAG/RFC和良好的旧SAP GUI肯定会在未来10多年与我们在一起。 因此,拥有一个良好且得到良好支持的SNC解决方案如今变得尤为重要。 有大量的SAP组织,通过使用配置较差的开源实现以及非常古老的密码集或古老的NTLM包装程序以及其他可怕的事物,使基础结构暴露于已知漏洞。
但是,有什么总比没有好,而且还是正确的:)
干杯柯尔特
最多设置5个标签!
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 先生请让开 的问题《使用公司IDP的SAP GUI的SSO》','https://www.easysap.com/answer/13194/36777.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
嘿乔纳斯,
您可以向员工提供Fiori UI和HTML的SAP GUI,而不是FAT GUI。 两者都将允许SAML作为身份验证令牌。 问题解决了。 并且有多种方法可以利用现有的SAML IDP(如您的Azure一样)进行SAP GUI身份验证,但是要实现此目标并非易事,并且确实需要额外的基础结构,往返和最终用户不友好的行为。 我不会为每个客户都推荐这样做,通常背后有一个原因,例如数百个AD域之间的信任/联合,就像我们的一位客户使用此方法那样。 不久前,有一个类似的问题,这里,您可以找到有关如何通过SAP GUI #spoiler启用SAML的更多信息(需要SAP SSO 3.0)
当然,您可以使用SAP进行很多有趣的操作 无需其他基础结构的SSO 3.0。 它为客户提供了对SAP Common CryptoLib与SNC和SSO结合使用的补贴和未来的全面支持。 它为S/4 + NW(ABAP)提供SPNEGO支持,并提供其他功能,例如用于SAP GUI的MFA,使用安全登录服务器的PKI集成+证书生命周期管理(此处带有其他基础结构); 共享办公桌/服务台和其他设备的RFID认证...
在过去的几年中,我有很多项目,其中AD/Azure是领先的认证系统/IDP。 通过Azure AD应用程序代理/连接器服务器公开应用程序之类的事情与SAP的本地安全产品SAP SSO 3.0完美配合。 另外,如果有网关/WAM/等。 在执行预身份验证和Kerberos约束委派的游戏中完美地协同工作。 最近,我不得不使用SNC和KCD将MSFT PowerBI数据网关连接配置为本地BW。
当然,不可能为SAP GUI使用SAML令牌,因为SNC仅支持Kerberos之一 或X.509证书"。" 我认为SAP永远不会提供对SNC的SAML支持:)通过SAP SSO 3.0,可以将两个身份验证令牌与SNC并行使用。 这允许使用X.509的S2S SNC(系统之间)和使用Kerberos或X.509的C2S SNC。 通常,对于关键的RFC接口以及确保DIAG流量的安全性,都有确保适当的传输安全机制的有效要求。
DIAG/RFC和良好的旧SAP GUI肯定会在未来10多年与我们在一起。 因此,拥有一个良好且得到良好支持的SNC解决方案如今变得尤为重要。 有大量的SAP组织,通过使用配置较差的开源实现以及非常古老的密码集或古老的NTLM包装程序以及其他可怕的事物,使基础结构暴露于已知漏洞。
但是,有什么总比没有好,而且还是正确的:)
干杯柯尔特
一周热门 更多>