在SAP GUI和Fiori启动板上启用Azure Active Directory驱动的单一登录

2020-08-27 22:21发布

点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)你好 我们的一位客户要求允许使...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好

我们的一位客户要求允许使用Azure Active Directory进行SAP单点登录。

Azure文档清楚地列出了用于" Web访问"的基于SAML和OAuth的SSO的流程。 因此,我们确定如何在Fiori启动板和应用程序中完成此操作。

但是,在这种情况下,我们如何为SAP GUI访问设置基于Kerberos的SSO身份验证? 就像SAP HANA一样,S/4HANA应用程序服务器也在Linux上。 不用说,我们需要一个简便的钱包解决方案,但当然仍要符合年度许可审核的要求。

请帮助。

谢谢,S

5条回答
SAP小菜
2020-08-27 23:11

有趣。 是的,使用Azure的SAML和OAuth功能将有助于集成所有基于Web的SAP应用程序。 据我所知,Tim提到的"无缝SSO"仍然需要用户/设备在本地AD上加入,并且基于良好的旧Kerberos流程。 从我的经验中,我了解到许多组织更专注于纯Azure AD环境,上次我有类似的要求来解决加入Azure的PC和纯云用户必须使用基于Azure AD的SAP GUI SSO的问题。 预认证。 在这种情况下,没有可用的KDC,并且由于SNC仅支持X.509和Kerberos,因此您无法使用ADAL令牌或SAP GUI的SAML/OAuth。

使用产品SAP SSO 3.0, 您可以利用以下方案:通过客户端浏览器针对Azure IDP触发SAML身份验证流,以接收SAP GUI SSO的短期X.509证书。 这是一种有效的方法,但也有其缺点,因为您必须构建额外的基础架构组件并对其进行操作以使其具有高可用性等。

此处是关于此的较旧的博客。

干马驹

一周热门 更多>