点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
在客户决定为AD中的所有用户更改其upn后缀之后,现在我们必须重新配置单点登录,并为所有这些用户添加myportal。 如果我正确,我们需要将新领域添加到SPNego配置中,并新导入新的密钥表。 我已经完成了此操作,现在用户可以登录到SAP,但是SSO无法正常工作,他们登录到myportal后都会收到消息"未分配角色"。 我正在谷歌上搜索,寻找一些如何正确执行此操作的指南,但互联网上没有这样的指南。 有人可以帮助我配置此方法吗。谢谢
嗨,Sinisa,
我怀疑Kerberos/SPNEGO用于SSO,您正在谈论AS Java(?)。 隐式用户主体名称(sAMAccountName @ REALM)仍在Kerberos票证本身中使用(尽管已修改了UPN,例如,由于引入了Azure/Office365)。 这不会影响Kerberos票证(ST)中的标识符。 我假设您的请求与门户网站(AS Java)有关,并且最终与用户信息从Kerberos票证(更确切地说是SPNEGO令牌)到UME用户的映射有关。 可能需要对映射规则进行调整,例如Principal @ REALM-> UME属性或Only Principal(如果可行)->登录ID等。 此规则的外观应取决于现有的UME属性及其配置(例如LDAP/AD或ABAP UME)。 更多信息对于更详细的答案将非常有帮助。
最好的问候 Carsten
嗨,我会尽力为您提供更多详细信息。 我们已经配置并运行SPNego SSO。 当客户决定添加其他差异时发生更改:@ xx.company.com 的upn后缀 到@ company.com 。 如果我做对了,我会添加一个新的域到sp nego kerberos域,并将其配置为与正在运行的域相同。 我还导入了AD管理人员给我的密钥表。
工作领域:
xx.company.com
映射模式:仅主体
来源:登录别名
新境界:
company.com
映射模式:仅主体
来源:登录别名
当他们更改ad中的用户设置并设置新的upn后缀时,用户可以登录sap,但是当他们尝试SSO登录到myportal时,他们会收到"未分配角色"错误
有 不应因为UPN后缀更改而更新密钥表。 由于主体名称基于sAMAccountName属性和大写域名,因此即使使用新的UPN后缀,用户的主体名称也将相同。 SAP系统不知道UPN后缀是什么-当获得Kerberos TGT时,UPN后缀仅在客户端和AD域控制器之间使用。
一周热门 更多>