CRM WebUI客户端证书登录和事务WUI_SSO

2020-08-21 10:08发布

点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)你好社区, 我们已将CR...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好社区,

我们已将CRM系统的WebUI配置为使用SSL客户端证书登录(如果可用)(配置文件参数icm/HTTPS/verify_client = 1)。 X.509客户端证书存储在硬件PKI令牌上,用户必须输入PIN才能解锁证书。 如果没有PKI令牌,则使用用户名和密码对用户进行身份验证。

当用户使用事务WUI_SSO从SAP GUI启动CRM WebUI时,将生成SSO2会话cookie,并将其包含在请求中。 因此,在浏览器中不需要进一步的认证。 但是浏览器一直在请求证书,迫使用户输入他的PIN,这有点令人讨厌。 但是,这在没有PKI令牌的情况下非常有效。

我们已经尝试在相应的Web服务" crm_ui_start"中更改身份验证顺序,但这并没有更改行为。 尽管存在SSO2会话cookie,但浏览器仍在询问PKI令牌PIN。
有什么办法避免这种情况吗?

干杯,
Michael

4条回答
代楠1984
2020-08-21 10:57

嗨,迈克尔

对客户端证书的请求始终是HTTPS协议握手的一部分。 在此级别上,icm/HTTPS/verify_client = 1或2之间没有区别。 一旦icm/HTTPS/verify_client!= 0,服务器将始终在建立通信时询问客户端。

此行为完全独立于登录过程顺序。 即使您在登录过程中禁用了X.509身份验证,由于icm/HTTPS/verify_client!= 0,服务器仍将继续请求客户端证书,但稍后会将证书丢弃并进行不同的身份验证。

这是 尴尬但事实。

我知道的唯一解决方法是为系统建立第二个入口点,例如 具有icm/HTTPS/verify_client = 0的SAP Web Dispatcher。 对于Ticket SSO将用户引导到SAP Web调度程序,进行"免费"登录,将他们引导到另一个入口点。

干杯,卢兹(Lotz)

一周热门 更多>