CRM WebUI客户端证书登录和事务WUI_SSO

2020-08-21 10:08发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好社区,

我们已将CRM系统的WebUI配置为使用SSL客户端证书登录(如果可用)(配置文件参数icm/HTTPS/verify_client = 1)。 X.509客户端证书存储在硬件PKI令牌上,用户必须输入PIN才能解锁证书。 如果没有PKI令牌,则使用用户名和密码对用户进行身份验证。

当用户使用事务WUI_SSO从SAP GUI启动CRM WebUI时,将生成SSO2会话cookie,并将其包含在请求中。 因此,在浏览器中不需要进一步的认证。 但是浏览器一直在请求证书,迫使用户输入他的PIN,这有点令人讨厌。 但是,这在没有PKI令牌的情况下非常有效。

我们已经尝试在相应的Web服务" crm_ui_start"中更改身份验证顺序,但这并没有更改行为。 尽管存在SSO2会话cookie,但浏览器仍在询问PKI令牌PIN。
有什么办法避免这种情况吗?

干杯,
Michael

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好社区,

我们已将CRM系统的WebUI配置为使用SSL客户端证书登录(如果可用)(配置文件参数icm/HTTPS/verify_client = 1)。 X.509客户端证书存储在硬件PKI令牌上,用户必须输入PIN才能解锁证书。 如果没有PKI令牌,则使用用户名和密码对用户进行身份验证。

当用户使用事务WUI_SSO从SAP GUI启动CRM WebUI时,将生成SSO2会话cookie,并将其包含在请求中。 因此,在浏览器中不需要进一步的认证。 但是浏览器一直在请求证书,迫使用户输入他的PIN,这有点令人讨厌。 但是,这在没有PKI令牌的情况下非常有效。

我们已经尝试在相应的Web服务" crm_ui_start"中更改身份验证顺序,但这并没有更改行为。 尽管存在SSO2会话cookie,但浏览器仍在询问PKI令牌PIN。
有什么办法避免这种情况吗?

干杯,
Michael

付费偷看设置
发送
4条回答
暮风yp
1楼-- · 2020-08-21 11:02

嗨,迈克尔,

是的,Lutz是正确的(thx !!),这确实很尴尬:)除了SAP Web Dispatcher,您还可以添加第二个HTTPS端口并禁用该端口的客户端证书验证,

干马驹

浮生未央
2楼-- · 2020-08-21 10:55

嗨,卡斯滕 ,

感谢您分享您的想法。 我的邮件通知无效,因此回复较晚。 肯定要看第二个https服务。 我必须找到一种方法,通过我们的Web调度程序以及我们的HTTPURLLOC配置来实现这一目的。 也许我们必须复制ICF服务。

干杯,
Michael

代楠1984
3楼-- · 2020-08-21 10:57

嗨,迈克尔

对客户端证书的请求始终是HTTPS协议握手的一部分。 在此级别上,icm/HTTPS/verify_client = 1或2之间没有区别。 一旦icm/HTTPS/verify_client!= 0,服务器将始终在建立通信时询问客户端。

此行为完全独立于登录过程顺序。 即使您在登录过程中禁用了X.509身份验证,由于icm/HTTPS/verify_client!= 0,服务器仍将继续请求客户端证书,但稍后会将证书丢弃并进行不同的身份验证。

这是 尴尬但事实。

我知道的唯一解决方法是为系统建立第二个入口点,例如 具有icm/HTTPS/verify_client = 0的SAP Web Dispatcher。 对于Ticket SSO将用户引导到SAP Web调度程序,进行"免费"登录,将他们引导到另一个入口点。

干杯,卢兹(Lotz)

SAP小菜
4楼-- · 2020-08-21 11:04

Lutz,你好

感谢您分享您的想法。 我的邮件通知无效,因此回复较晚。 我将与Carsten的方法一起研究这个想法。

欢呼声,
迈克尔

一周热门 更多>