点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨社区
在我们用于所有SAP Cloud应用程序(SaaS,SCP)以及Cloud-to-Premise SSO的Corporate Identity提供商和SAML 2.0时代,我仍然为我们没有针对SAP的解决方案而苦恼 GUI。
过去我们有SNC,显然还有SSO 3.0,它需要许可和其他基础结构。
我们的策略首先说SAML 2.0和Azure AD,所以SAP GUI在这里做了自己的事情。
是SNC还是SAP SSO,还是新方法?
嘿乔纳斯,
您可以向员工提供Fiori UI和HTML的SAP GUI,而不是FAT GUI。 两者都将允许SAML作为身份验证令牌。 问题解决了。 并且有多种方法可以利用现有的SAML IDP(如您的Azure一样)进行SAP GUI身份验证,但是要实现此目标并非易事,并且确实需要额外的基础结构,往返和最终用户不友好的行为。 我不会为每个客户都推荐这样做,通常背后有一个原因,例如数百个AD域之间的信任/联合,就像我们的一位客户使用此方法那样。 不久前,有一个类似的问题,这里,您可以找到有关如何通过SAP GUI #spoiler启用SAML的更多信息(需要SAP SSO 3.0)
当然,您可以使用SAP进行很多有趣的操作 无需其他基础结构的SSO 3.0。 它为客户提供了对SAP Common CryptoLib与SNC和SSO结合使用的补贴和未来的全面支持。 它为S/4 + NW(ABAP)提供SPNEGO支持,并提供其他功能,例如用于SAP GUI的MFA,使用安全登录服务器的PKI集成+证书生命周期管理(此处带有其他基础结构); 共享办公桌/服务台和其他设备的RFID认证...
在过去的几年中,我有很多项目,其中AD/Azure是领先的认证系统/IDP。 通过Azure AD应用程序代理/连接器服务器公开应用程序之类的事情与SAP的本地安全产品SAP SSO 3.0完美配合。 另外,如果有网关/WAM/等。 在执行预身份验证和Kerberos约束委派的游戏中完美地协同工作。 最近,我不得不使用SNC和KCD将MSFT PowerBI数据网关连接配置为本地BW。
当然,不可能为SAP GUI使用SAML令牌,因为SNC仅支持Kerberos之一 或X.509证书"。" 我认为SAP永远不会提供对SNC的SAML支持:)通过SAP SSO 3.0,可以将两个身份验证令牌与SNC并行使用。 这允许使用X.509的S2S SNC(系统之间)和使用Kerberos或X.509的C2S SNC。 通常,对于关键的RFC接口以及确保DIAG流量的安全性,都有确保适当的传输安全机制的有效要求。
DIAG/RFC和良好的旧SAP GUI肯定会在未来10多年与我们在一起。 因此,拥有一个良好且得到良好支持的SNC解决方案如今变得尤为重要。 有大量的SAP组织,通过使用配置较差的开源实现以及非常古老的密码集或古老的NTLM包装程序以及其他可怕的事物,使基础结构暴露于已知漏洞。
但是,有什么总比没有好,而且还是正确的:)
干杯柯尔特
亲爱的乔纳斯,
< SAML是Web SSO的标准。我们过去有SNC,显然有SSO 3.0,它需要许可和其他基础结构。
仅在使用证书时才如此。 如果您选择使用SPNEGO或Kerberos,则SAP SSO不需要其他基础结构。
SAP策略是通过网络浏览器交付用户界面,并且在过去的几年中一直在这样做-因此,SAML是策略。/p>
注意事项
Matthias
我发现大多数公司通常都认识到Kerberos是SAML的补充,因此应在适当的地方使用每种协议,以便 一起使用。 对于NetWeaver AS上的本地SAP系统,用户使用SAP GUI(或其他胖客户端软件)登录,则使用SAML对用户进行身份验证没有意义-SAML更适合用于HTTP身份验证要求,尤其是在多个 涉及域(例如,Internet上的多个网站)。 Kerberos即使在HTTP身份验证方面也具有许多优点,例如Kerberos约束委派(KCD)。 因此,根据我的经验,我遇到了数千家在SAP环境中同时使用Kerberos和SAML的公司,这种情况将持续多年。 我不建议您将SAML用于更适合使用Kerberos的要求。
BTW。 SAP SSO产品不是唯一提供所需功能的商业产品。 有一些SAP合作伙伴也为SAP GUI提供相同的功能。
一周热门 更多>