2020-09-13 18:47发布
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)大家好, 在我看来,这应该... 显示全部
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
大家好,
在我看来,这应该在Fiori设置和配置文档中,但是如果是这样,我将找不到它。 我们处于将Fiori前端服务器设置为中心部署的沙盒阶段。 目的是让该系统运行Fiori Launchpad(和相关应用程序),并位于我们的ECC后端和员工门户之间的 。
但是,我们如何在FES系统中管理用户? 我们需要在那里重新创建所有ECC用户吗? 目前,我们的Portal使用ABAP后端作为其UME,因此我们不在Java环境中维护单独的用户,并且此设置非常有效。 用户登录到门户网站,他们透明地使用了来自ECC的数据等。 我希望只是插入FES,并使其成为Portal用户使用的主要应用程序。
但是我还没有弄清楚如何让FES像Portal一样使用ECC作为其UME。
我已经看到很多博客,Wiki和有关设置SSO的讨论-这不是问题。 到目前为止,所有这些讨论均假设用户存在在FES和ECC系统(和/或Portal)中。 讨论中谈到了ABAP系统中的用户自动创建,但是尚不清楚如何处理用户无效。
我们没有NWSSO的许可证(也不可能很快购买)。 我们尚未实施IdM(尽管也许有一天)。 我们处于Windows Active Directory环境中,并且我熟悉设置SPNEGO以为门户网站启用SSO(我们没有针对SAPGUI用户的SSO,因为...有关许可的信息,请参见上文),并且我熟悉 使用登录票据进行从门户到ECC的传递身份验证。
我们大约有8000个用户,并且营业额很多。 几乎每天都有人被雇用,解雇或转移。 因此,我真的更希望将它们都放在一个地方,今天就是ECC ABAP系统。
我们主要是在NetWeaver 7.5环境中:NW Java 7.5上的门户网站,EhP8/NW ABAP 7.5上的ECC,以及迄今为止ABAP 7.52上的沙盒FES 4.0。 一切都在单个Active Directory域中运行。 大多数用户将在防火墙内部并使用域成员计算机。 有一天我们想扩展到移动设备,但这不是第一要务。
那我们有什么选择? 我们是否必须首先实现另一个系统才能成为身份提供者? 这样甚至可以解决不希望重复所有这些用户以及所有持续的用户管理的问题吗? 还是这不可避免? 实施SAML2可以解决此问题吗,还是仅用于管理SSO而不能管理用户配置或映射等? 我还没有玩过SAML2。
感谢和欢呼,马特
嘿,马特
我想知道您是否使您在这里的问题定义与无法完成的事情过于复杂。
FES最终实际上是一个ABAP系统,您的目标是提供和授权,以便回到SU01和PFCG的世界中,因为您需要对用户进行身份验证以访问FLP并进行授权 他们可以执行哪些图块/应用程序(目录和服务),并可能向他们提供Fiori组以默认设置其主页设置。 我不会像门户网站系统那样对待ABAP系统
我还没有看到SAML断言为ABAP系统创建用户,但是SSO不是我的强项。
您可以考虑的选项:
1。 LDAP集成,用于用户配置
2。 当您的ECC中发生SU01更改以执行FES中的BAPI来创建用户时,自定义存在(使用PRNG_CUST设置)。 在ECC中建立PFCG shell角色,该角色将成为FES中的PFCG角色,并在它们之间进行复制。 这样,所有维护都将保留在ECC中,并且不会直接创建任何用户。
3。 做选项2,但是只是建立在z程序上并安排它定期运行(向客户看了这个,但是想知道为什么他们不调用现有的BAPI)
4。 放入CUA,以通过ECC作为主客户端供应给FES。
此外,如果您的身份验证需要EXTID_DN事务中的SNC条目,则可以通过计划程序/IWFND/USER_MAP来自动执行此操作
作为设置的一部分,将需要在ECC和FES之间建立可靠的系统配置。 您当然拥有IdM和GRC选项,但是您已经提到了这将不会发生 。 我是否误解了您的问题?
致谢
科琳
最多设置5个标签!
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 归来 的问题《将ECC用作Fiori FES的UME》','https://www.easysap.com/answer/75943/210389.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
嘿,马特
我想知道您是否使您在这里的问题定义与无法完成的事情过于复杂。
FES最终实际上是一个ABAP系统,您的目标是提供和授权,以便回到SU01和PFCG的世界中,因为您需要对用户进行身份验证以访问FLP并进行授权 他们可以执行哪些图块/应用程序(目录和服务),并可能向他们提供Fiori组以默认设置其主页设置。 我不会像门户网站系统那样对待ABAP系统
我还没有看到SAML断言为ABAP系统创建用户,但是SSO不是我的强项。
您可以考虑的选项:
1。 LDAP集成,用于用户配置
2。 当您的ECC中发生SU01更改以执行FES中的BAPI来创建用户时,自定义存在(使用PRNG_CUST设置)。 在ECC中建立PFCG shell角色,该角色将成为FES中的PFCG角色,并在它们之间进行复制。 这样,所有维护都将保留在ECC中,并且不会直接创建任何用户。
3。 做选项2,但是只是建立在z程序上并安排它定期运行(向客户看了这个,但是想知道为什么他们不调用现有的BAPI)
4。 放入CUA,以通过ECC作为主客户端供应给FES。
此外,如果您的身份验证需要EXTID_DN事务中的SNC条目,则可以通过计划程序/IWFND/USER_MAP来自动执行此操作
作为设置的一部分,将需要在ECC和FES之间建立可靠的系统配置。
您当然拥有IdM和GRC选项,但是您已经提到了这将不会发生 。
我是否误解了您的问题?
致谢
科琳
一周热门 更多>