嘿乔纳斯，

您可以向员工提供Fiori UI和HTML的SAP GUI，而不是FAT GUI。 两者都将允许SAML作为身份验证令牌。 问题解决了。 并且有多种方法可以利用现有的SAML IDP（如您的Azure一样）进行SAP GUI身份验证，但是要实现此目标并非易事，并且确实需要额外的基础结构，往返和最终用户不友好的行为。 我不会为每个客户都推荐这样做，通常背后有一个原因，例如数百个AD域之间的信任/联合，就像我们的一位客户使用此方法那样。 不久前，有一个类似的问题，这里，您可以找到有关如何通过SAP GUI #spoiler启用SAML的更多信息（需要SAP SSO 3.0）

当然，您可以使用SAP进行很多有趣的操作 无需其他基础结构的SSO 3.0。 它为客户提供了对SAP Common CryptoLib与SNC和SSO结合使用的补贴和未来的全面支持。 它为S/4 + NW（ABAP）提供SPNEGO支持，并提供其他功能，例如用于SAP GUI的MFA，使用安全登录服务器的PKI集成+证书生命周期管理（此处带有其他基础结构）； 共享办公桌/服务台和其他设备的RFID认证...

在过去的几年中，我有很多项目，其中AD/Azure是领先的认证系统/IDP。 通过Azure AD应用程序代理/连接器服务器公开应用程序之类的事情与SAP的本地安全产品SAP SSO 3.0完美配合。 另外，如果有网关/WAM/等。 在执行预身份验证和Kerberos约束委派的游戏中完美地协同工作。 最近，我不得不使用SNC和KCD将MSFT PowerBI数据网关连接配置为本地BW。

当然，不可能为SAP GUI使用SAML令牌，因为SNC仅支持Kerberos之一 或X.509证书"。" 我认为SAP永远不会提供对SNC的SAML支持：)通过SAP SSO 3.0，可以将两个身份验证令牌与SNC并行使用。 这允许使用X.509的S2S SNC（系统之间）和使用Kerberos或X.509的C2S SNC。 通常，对于关键的RFC接口以及确保DIAG流量的安全性，都有确保适当的传输安全机制的有效要求。

DIAG/RFC和良好的旧SAP GUI肯定会在未来10多年与我们在一起。 因此，拥有一个良好且得到良好支持的SNC解决方案如今变得尤为重要。 有大量的SAP组织，通过使用配置较差的开源实现以及非常古老的密码集或古老的NTLM包装程序以及其他可怕的事物，使基础结构暴露于已知漏洞。

但是，有什么总比没有好，而且还是正确的：）

干杯柯尔特

亲爱的乔纳斯，

< SAML是Web SSO的标准。

我们过去有SNC，显然有SSO 3.0，它需要许可和其他基础结构。

仅在使用证书时才如此。 如果您选择使用SPNEGO或Kerberos，则SAP SSO不需要其他基础结构。

SAP策略是通过网络浏览器交付用户界面，并且在过去的几年中一直在这样做-因此，SAML是策略。/p>

注意事项

Matthias

我发现大多数公司通常都认识到Kerberos是SAML的补充，因此应在适当的地方使用每种协议，以便 一起使用。 对于NetWeaver AS上的本地SAP系统，用户使用SAP GUI（或其他胖客户端软件）登录，则使用SAML对用户进行身份验证没有意义-SAML更适合用于HTTP身份验证要求，尤其是在多个 涉及域（例如，Internet上的多个网站）。 Kerberos即使在HTTP身份验证方面也具有许多优点，例如Kerberos约束委派（KCD）。 因此，根据我的经验，我遇到了数千家在SAP环境中同时使用Kerberos和SAML的公司，这种情况将持续多年。 我不建议您将SAML用于更适合使用Kerberos的要求。

BTW。 SAP SSO产品不是唯一提供所需功能的商业产品。 有一些SAP合作伙伴也为SAP GUI提供相同的功能。