MYSAPSSO2并强制执行安全cookie

2020-08-27 09:40发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,我们希望通过互联网为我们的公司门户网站(EP 7.50)服务。 因此,我们对门户进行了漏洞测试。 在报告中,有关mysapsso2 cookie包含用户ID的风险。 解决方案非常简单; 我们将ume.logon.security.enforce_secure_cookie设置为true。 之后,我们无法将后端ECC系统与webgui连接。 因为userid没有通过cookie传递到ECC,并且SSO不适用于webgui。 我怎样才能解决这个问题? 如果我更改" ume.logon.security.enforce_secure_cookie = false",一切都很好。

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,我们希望通过互联网为我们的公司门户网站(EP 7.50)服务。 因此,我们对门户进行了漏洞测试。 在报告中,有关mysapsso2 cookie包含用户ID的风险。 解决方案非常简单; 我们将ume.logon.security.enforce_secure_cookie设置为true。 之后,我们无法将后端ECC系统与webgui连接。 因为userid没有通过cookie传递到ECC,并且SSO不适用于webgui。 我怎样才能解决这个问题? 如果我更改" ume.logon.security.enforce_secure_cookie = false",一切都很好。

付费偷看设置
发送
1条回答
me_for_i
1楼 · 2020-08-27 10:20.采纳回答

嗨Mehdi,

请注意SAP注释 2068872中的以下注释-HttpOnly和 安全cookie属性

注意:请记住,当服务器使用安全属性设置cookie时,一旦浏览器接收到cookie,浏览器将仅发送包含以下内容的请求的cookie: https,而不是未加密的http请求。 因此,如下所述激活cookie的Secure属性可能会破坏当前不使用https并将cookie用于会话跟踪或身份验证的当前工作方案。 激活"安全"属性后,应对所有请求使用https测试场景。

根据上述说明,请检查您的后端ECC系统是否已配置https。

最佳问候,< br> Kashyap Shah

一周热门 更多>