点击此处--->
群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
你好社区,
我们已将CRM系统的WebUI配置为使用SSL客户端证书登录(如果可用)(配置文件参数icm/HTTPS/verify_client = 1)。 X.509客户端证书存储在硬件PKI令牌上,用户必须输入PIN才能解锁证书。 如果没有PKI令牌,则使用用户名和密码对用户进行身份验证。
当用户使用事务WUI_SSO从SAP GUI启动CRM WebUI时,将生成SSO2会话cookie,并将其包含在请求中。 因此,在浏览器中不需要进一步的认证。 但是浏览器一直在请求证书,迫使用户输入他的PIN,这有点令人讨厌。 但是,这在没有PKI令牌的情况下非常有效。
我们已经尝试在相应的Web服务" crm_ui_start"中更改身份验证顺序,但这并没有更改行为。 尽管存在SSO2会话cookie,但浏览器仍在询问PKI令牌PIN。
有什么办法避免这种情况吗?
干杯,
Michael
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 me_for_i 的问题《CRM WebUI客户端证书登录和事务WUI_SSO》','https://www.easysap.com/q-21653.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
嗨,迈克尔,
是的,Lutz是正确的(thx !!),这确实很尴尬:)除了SAP Web Dispatcher,您还可以添加第二个HTTPS端口并禁用该端口的客户端证书验证,
干马驹
嗨,卡斯滕 ,
感谢您分享您的想法。 我的邮件通知无效,因此回复较晚。 肯定要看第二个https服务。 我必须找到一种方法,通过我们的Web调度程序以及我们的HTTPURLLOC配置来实现这一目的。 也许我们必须复制ICF服务。
干杯,
Michael
嗨,迈克尔
对客户端证书的请求始终是HTTPS协议握手的一部分。 在此级别上,icm/HTTPS/verify_client = 1或2之间没有区别。 一旦icm/HTTPS/verify_client!= 0,服务器将始终在建立通信时询问客户端。
此行为完全独立于登录过程顺序。 即使您在登录过程中禁用了X.509身份验证,由于icm/HTTPS/verify_client!= 0,服务器仍将继续请求客户端证书,但稍后会将证书丢弃并进行不同的身份验证。
这是 尴尬但事实。
我知道的唯一解决方法是为系统建立第二个入口点,例如 具有icm/HTTPS/verify_client = 0的SAP Web Dispatcher。 对于Ticket SSO将用户引导到SAP Web调度程序,进行"免费"登录,将他们引导到另一个入口点。
干杯,卢兹(Lotz)
Lutz,你好
感谢您分享您的想法。 我的邮件通知无效,因此回复较晚。 我将与Carsten的方法一起研究这个想法。
欢呼声,
迈克尔
一周热门 更多>