嗨，保罗，我不太了解您的情况。

您必须注意三个步骤：

• 验证您的AS JAVA
• 为AS JAVA创建MYSAPSSO2票证（！），其中可能包含AS AS的附加用户ID
• SSO，并利用AS JAVA的MYSAPSSO2 cookie（如 只要您未配置要用于AS ABAP的断言票证）

您的AS JAVA用户ID和用户存储库是什么？

您的AS是什么 ABAP用户ID？ （是否需要映射？）

总是为原始系统（在本例中为AS JAVA）创建MYSAPSSO2票证，该票证包含原始系统SID（例如" J2E"），客户端（默认为" 000" AS JAVA），用户ID和后端的映射SSO用户ID。

致谢，Lutz

嗨，Lutz，感谢您提供信息。 这是对我的方案的更好描述：*注意，我正在使用此SAP Wiki中提供的解决方案：
https://wiki.scn.sap.com/wiki/display/Security/ Single + Signing + with + SAML + 2.0 + and + ABAP + Systems + Supporting + SAP + Logon + Tickets

1）已将JAVA设置为服务提供者
2）已将外部组设置为身份提供者
3）已设置两个SAML IP和SP之间的信任关系
4） 由于UME不存储用户ID，因此已使用虚拟用户标识在SAML SP上已设置联盟。
*此外，来自身份提供者的用户的ID与目标ABAP系统中的ID相同。
5）已将目标ABAP系统设置为信任AS Java系统。
6 ）SAP提供的Java应用程序用于将用户重定向到Identity Provider进行身份验证，身份验证后将其返回到Java应用程序，该Java应用程序将评估SAML响应，对用户进行身份验证，创建登录票证并将用户重定向回 最初访问的应用程序。
6）在ABAP系统上，已链接到Java应用程序以启动所有这些程序。 此时，已经遵循了Wiki中列出的所有步骤，并且在Java应用程序中创建了一个MYSAPSSO2 cookie，并将其发送到ABAP系统（该系统已设置为接受登录票）。

但是，用户仍未登录，并且在Java日志中，唯一的警告是此登录错误，SAML2LoginModule的LOGIN FAILED登录失败，指出"由于缺少凭据而导致的身份验证挑战"。

还有其他想法吗？ 赞赏反馈。

Paul

嗨Paul，

Uups，我根本不知道临时用户完全可以在AS JAVA上工作。

请放心：您的ABAP系统太旧，无法单独执行SAML2身份验证？

对于AS JAVA端的错误分析，您是否已经使用NWA->故障排除->日志和跟踪中提供的"安全故障排除向导"？ 通常，这对于获取登录问题的更详细的错误信息很有帮助。

祝您好运！ 卢茨