多个域的SSO-加法

2020-08-22 16:34发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

我们目前为我们的四个域设置了SSO,并希望对其进行第五次设置。 我们以前的BO管理员没有留下任何文档,因此我不得不做一些研究,并遇到KB 262970

我的问题是,我是否只需要创建一个具有DOMAIN \ UserGroup格式的组,将其添加到CMC中Windows AD中的"添加AD组"部分,在krb5.ini文件中添加必要的行? 还是需要在Windows AD中为新域创建服务帐户?

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

我们目前为我们的四个域设置了SSO,并希望对其进行第五次设置。 我们以前的BO管理员没有留下任何文档,因此我不得不做一些研究,并遇到KB 262970

我的问题是,我是否只需要创建一个具有DOMAIN \ UserGroup格式的组,将其添加到CMC中Windows AD中的"添加AD组"部分,在krb5.ini文件中添加必要的行? 还是需要在Windows AD中为新域创建服务帐户?

付费偷看设置
发送
6条回答
土豆飞人
1楼 · 2020-08-22 17:10.采纳回答

要为多个域配置SSO,应满足的前提条件很少,请参阅KBA 1323391-在具有BI的多个AD林环境中执行kerberos SSO的Microsoft要求是什么。

然后在域5中创建组,并将用户添加到AD域中的组。

使用DOMAIN \ UserGroup格式或使用CN字符串将相同的组添加到BO。

现在krb5.ini文件仅用于手动登录,因此,如果用户需要手动登录,则需要根据KBA 1245178在krb5.ini文件中添加KDC-Java AD中的krb5.ini配置选项 BI应用程序。

对于SSO,完全不需要BO进行任何额外的配置。 所需的所有配置均符合KBA 1323391的先决条件。

也不需要新的服务帐户。 创建的服务帐户应该是已经配置并可以正常使用的主域。

路亽曱_Ryan
2楼-- · 2020-08-22 17:12

我已将您的标签固定为与主题匹配。

粗暴的香蕉
3楼-- · 2020-08-22 17:23

要进行手动操作,您需要在Web应用程序服务器(Tomcat)上的krb5.ini文件中添加与其他域类似的第5个域的DC条目。

理想情况下,建议不要在多个环境中使用相同的服务帐户。 您可以要求AD团队为DEV环境创建新的服务帐户。

此外,考虑到Windows 10中的安全性更改(无法识别不受限制的请求),可以通过委派来配置SSO是安全的。

野沐沐
4楼-- · 2020-08-22 17:32

感谢您的回答。 我在SSO上使用了第5个域,但是我似乎无法将其用于手动登录。 这是现在的问题。

我们以前的管理员使用不受限制的方式来设置SSO,因此,如果用户使用的是Chrome,则他们需要手动登录。我仍然必须测试委派的那个,但是问题是我们要测试的开发服务器, 使用与生产盒相同的服务帐户。 如果我的Active Directory人员将其更改为委托,那么它也会影响生产服务器。

SAP浪
5楼-- · 2020-08-22 17:32

2485300-Windows AD SSO在Windows 10版本的客户端计算机上不起作用

2182400-在BI 4.x中设置约束委派

骆驼绵羊
6楼-- · 2020-08-22 17:27

Hi Don,

确保提供的DC条目正确。 由于SSO正常运行,我认为通信没有任何问题,但是在krb5.ini文件中完成了配置。

对于手动登录,只有krb5.ini负责。

一周热门 更多>