点击此处--->   群内免费提供SAP练习系统（在群公告中）

加入QQ群：457200227（SAP S4 HANA技术交流） 群内免费提供SAP练习系统（在群公告中）

专家们，

这是针对BI4（BOBJ）裂纹的。 我已经使用Tomcat/Vintela大量时间基于AD/Kerberos为BO配置了SSO。 现在，我有一个客户，他在Linux和NetWeaver Java AS上运行他的BOBJ。

当前使用SAP ID（SAP R3用户）认证，但是随着客户为有资格的系统（例如BW）引入SSO（SNC），BW用户在不久的将来将没有密码。 目标是实现BI启动板的SSO和客户端工具（例如WebI Rich Client oder Analytics Office）的LDAP身份验证。

我的想法是利用可信身份验证。 客户拥有SAP SSO 3.0和安全登录服务器，因此所有用户都具有X.509证书。 客户也正在运行ADFS（SAML IdP），因此可以同时使用X.509或SAML-Assertions。 肯定可以通过NetWeaver上的LoginModules支持这两者，很清楚如何进行设置。

挑战： SAP系统和AD中的用户名（例如证书或SAML声明）不同。

我发现了一些矛盾的信息，例如一张表，该表描述了对BI启动板的单点登录支持的方法，该表说，受信任的身份验证仅适用于身份验证模式"企业"而不适用于LDAP。 在其他文档中，我能够看到它似乎也适用于LDAP。

我们希望避免创建企业用户，因此我计划从一个AD组导入用户并使用LDAP身份验证，但是我不确定LDAP和可信身份验证在此特定环境中是否有效。

据我所知，受信任的身份验证仅适用于BI Launchpad或ODoc，但不适用于诸如WebI或AO之类的Rich Client，因此在任何情况下都将需要LDAP来允许用户使用 SAP R3凭据。

SSO到BW已通过STS（MYSAPSSO2）建立，并且应该在执行可信身份验证后才能工作。

有人在特定情况下有很好的经验吗？ 希望获得更多有关此的信息。

干杯，Carsten