点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
大家好,
我们已有一个具有WinAD SSO配置的SAP BI 4.2 SP05补丁2系统,并且对使用Azure App Proxy提供(外部)访问有新的要求- https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/application-proxy-configure-single-sign-on-with-kcd
从应用程序代理URL访问BI服务器时,WinAD SSO失败并显示登录提示,然后我们只能手动登录。
我们为BI运行时所使用的服务帐户添加了外部URL作为SPN,并且BI服务用户信任所有服务的kerberos委派。
Azure应用程序代理是在根上配置的(https://
请告知,
谢谢!
问候,沃尔特
除非用户已加入具有2种林信任方式的AD域,否则唯一登录方式可能是通过可信身份验证
https: //blogs.sap.com/2018/03/01/saml-integration-between-microsoft-azure-portal-and-sap-business-intelligence-platform/
这是主KBA https://apps.support。 sap.com/sap/support/knowledge/preview/zh/1795949
-Tim
Walter可以分享如何通过Azure Web应用程序代理使SAP BI工作。
当我在Azure WAP中发布以下URL(https:///转换为https:<主机名>:8080/BOE/BI)时,我最终进入空白页。
提琴手跟踪显示
谢谢
如果我正确理解用户的身份,则根据(内部)AD域根据步骤5-7进行了身份验证:
https://docs.microsoft.com/zh-cn/azure/active-directory/manage-apps/application-proxy-configure-single-sign-on-with-kcd a>
-
5。 连接器与本地AD执行Kerberos约束委派(KCD)协商,模拟用户向应用程序获取Kerberos令牌。
6。 Active Directory将应用程序的Kerberos令牌发送到连接器。
7。 连接器使用从AD接收到的Kerberos令牌将原始请求发送到应用程序服务器。
-
此致
沃尔特
嗨,大卫,
外部负载平衡器/反向代理需要允许/BOE *的应用程序调用所有可访问的URI。
起始页面可以是https:///BOE/BI。 通过这些设置,我们显示了BI启动板登录页面。
希望这会有所帮助,
欢呼声,沃尔特
请参阅此文档,可能会有帮助
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/
@ delliott11,
不幸的是,根据 Tim Ziemba 的评论,我们无法使该工作正常进行 可能需要可信的身份验证。 我与之合作的客户将此产品从PoC范围中删除。
一周热门 更多>