点击此处--->   群内免费提供SAP练习系统（在群公告中）

加入QQ群：457200227（SAP S4 HANA技术交流） 群内免费提供SAP练习系统（在群公告中）

早上好

我在" SAP BusinessObjects Analysis，OLAP版"论坛上发布了相同的问题，因为这是一个相关主题。 如有必要，我可以从此处或" SAP BusinessObjects Analysis，OLAP版"论坛中删除帖子。

我们有一个Business Object BI 4.0安装，SP4补丁6。我们的要求是使用SSO身份验证模式在SSAS2008 OLAP连接上定义Analysis OLAP视图。

用户可以属于一个域中的不同域（例如：主域为 MAINDOM.COM ，其中有 IT.MAINDOM.COM ， FR.MAINDOM.COM ， GER.MAINDOM.COM 等。）

我们按照SAP注释配置了Active Directory SSO：

• 1631734 -为BI4配置Active Directory手动身份验证和SSO
• 1688079 -为OLAP配置BI4 Analysis Edition，以实现对MS SQL Server Analysis Services的端到端SSO

我们进行了以下测试，均获得了积极的结果：

• 使用AD插件在BO环境中导入的AD用户，并且在CMC中的相应组中可见；
• 使用胖客户端（IDT和Web Intelligence胖客户端）进行AD手动登录；
• 针对用户的KINIT测试属于不同的域（ MAINDOM.COM ， IT.MAINDOM.COM ， FR.MAINDOM.COM ）;
• bsclogin.conf测试（设置debug = true并验证tomcat日志）；
• 在Tomcat服务启动期间获得的凭证（" jcsi.kerberos：**获得的凭证"）；
• 使用连接了 MAINDOM.COM 和 IT.MAINDOM.COM ;
• 使用Excel或Microsoft SQL Server Management Studio访问通过IIS（http：\\ servername \ OLAP \ msmdpump.dll）发布的OLAP应用程序；
• 在具有"提示"身份验证模式的OLAP连接上分析OLAP视图可以正常工作（用户在打开视图时输入用户名和密码）。

如果我们尝试将OLAP连接与SSO一起使用，则无法访问SSAS多维数据集。 启动Analysis OLAP应用程序并选择连接，系统进入循环状态。 我们发现了MDAS服务器生成的以下日志：

httpclient.wire.header || <<" WWW身份验证：协商[\ r] [\ n]"-

httpclient.wire.header || <" WWW身份验证：NTLM [\ r] [\ n]"-

httpclient.wire.header || <<" WWW-Authenticate：基本领域=" DOM.COM " [\ r] [\ n]"-

httpclient.wire.content || <<"

401-未经授权：由于无效的凭据而拒绝了访问。

httpclient.wire.content || <<"

您无权使用您提供的凭据查看此目录或页面。

...

org.apache.commons.httpclient.auth.AuthenticationException：建立Kerberos安全上下文（ODA10067）时出错

...

原因：GSSException：未提供有效的凭据（机制级别：创建凭据失败。（63）-没有服务凭据）

...

原因：KrbException：无法创建凭据。 （63）-没有服务信誉

以下注意事项：

• 用于启动SIA和Tomcat的服务帐户属于 DOM.COM 域。 " BusinessObject Platform"服务器和" MS SSAS2008"服务器属于一个子域（ IT.DOM.COM ）。 我不知道在BOBJ服务器的同一域上定义服务帐户是否可以更改。
• 我认为身份验证类型应为"协商Kerberos"，而不是NTLM。 似乎使用了错误的身份验证模式；
• 不应出现"未经授权"错误，因为同一用户可以使用Excel或通过SS Management Studio（访问msmdpump.dll驱动程序）登录。

有人可以给我有关这种情况的提示吗？ 我们可以做一些其他测试来验证配置的正确性吗？

任何帮助将不胜感激！

L