单林和多域环境中的SSO配置

2020-09-03 04:04发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


早上好

我在" SAP BusinessObjects Analysis,OLAP版"论坛上发布了相同的问题,因为这是一个相关主题。 如有必要,我可以从此处或" SAP BusinessObjects Analysis,OLAP版"论坛中删除帖子。

我们有一个Business Object BI 4.0安装,SP4补丁6。我们的要求是使用SSO身份验证模式在SSAS2008 OLAP连接上定义Analysis OLAP视图。

用户可以属于一个域中的不同域(例如:主域为 MAINDOM.COM ,其中有 IT.MAINDOM.COM FR.MAINDOM.COM GER.MAINDOM.COM 等。)

我们按照SAP注释配置了Active Directory SSO:

  • 1631734 -为BI4配置Active Directory手动身份验证和SSO
  • 1688079 -为OLAP配置BI4 Analysis Edition,以实现对MS SQL Server Analysis Services的端到端SSO

我们进行了以下测试,均获得了积极的结果:

  • 使用AD插件在BO环境中导入的AD用户,并且在CMC中的相应组中可见;
  • 使用胖客户端(IDT和Web Intelligence胖客户端)进行AD手动登录;
  • 针对用户的KINIT测试属于不同的域( MAINDOM.COM IT.MAINDOM.COM FR.MAINDOM.COM );
  • bsclogin.conf测试(设置debug = true并验证tomcat日志);
  • 在Tomcat服务启动期间获得的凭证(" jcsi.kerberos:**获得的凭证");
  • 使用连接了 MAINDOM.COM IT.MAINDOM.COM ;
  • 使用Excel或Microsoft SQL Server Management Studio访问通过IIS(http:\\ servername \ OLAP \ msmdpump.dll)发布的OLAP应用程序;
  • 在具有"提示"身份验证模式的OLAP连接上分析OLAP视图可以正常工作(用户在打开视图时输入用户名和密码)。

如果我们尝试将OLAP连接与SSO一起使用,则无法访问SSAS多维数据集。 启动Analysis OLAP应用程序并选择连接,系统进入循环状态。 我们发现了MDAS服务器生成的以下日志:

httpclient.wire.header || <<" WWW身份验证:协商[\ r] [\ n]"-

httpclient.wire.header || <" WWW身份验证:NTLM [\ r] [\ n]"-

httpclient.wire.header || <<" WWW-Authenticate:基本领域=" DOM.COM " [\ r] [\ n]"-

httpclient.wire.content || <<"

401-未经授权:由于无效的凭据而拒绝了访问。

[\ r] [\ n]"-

httpclient.wire.content || <<"

您无权使用您提供的凭据查看此目录或页面。

[\ r] [\ n]"

...

org.apache.commons.httpclient.auth.AuthenticationException:建立Kerberos安全上下文(ODA10067)时出错

...

原因:GSSException:未提供有效的凭据(机制级别:创建凭据失败。(63)-没有服务凭据)

...

原因:KrbException:无法创建凭据。 (63)-没有服务信誉

以下注意事项:

  • 用于启动SIA和Tomcat的服务帐户属于 DOM.COM 域。 " BusinessObject Platform"服务器和" MS SSAS2008"服务器属于一个子域( IT.DOM.COM )。 我不知道在BOBJ服务器的同一域上定义服务帐户是否可以更改。
  • 我认为身份验证类型应为"协商Kerberos",而不是NTLM。 似乎使用了错误的身份验证模式;
  • 不应出现"未经授权"错误,因为同一用户可以使用Excel或通过SS Management Studio(访问msmdpump.dll驱动程序)登录。

有人可以给我有关这种情况的提示吗? 我们可以做一些其他测试来验证配置的正确性吗?

任何帮助将不胜感激!

L

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


早上好

我在" SAP BusinessObjects Analysis,OLAP版"论坛上发布了相同的问题,因为这是一个相关主题。 如有必要,我可以从此处或" SAP BusinessObjects Analysis,OLAP版"论坛中删除帖子。

我们有一个Business Object BI 4.0安装,SP4补丁6。我们的要求是使用SSO身份验证模式在SSAS2008 OLAP连接上定义Analysis OLAP视图。

用户可以属于一个域中的不同域(例如:主域为 MAINDOM.COM ,其中有 IT.MAINDOM.COM FR.MAINDOM.COM GER.MAINDOM.COM 等。)

我们按照SAP注释配置了Active Directory SSO:

  • 1631734 -为BI4配置Active Directory手动身份验证和SSO
  • 1688079 -为OLAP配置BI4 Analysis Edition,以实现对MS SQL Server Analysis Services的端到端SSO

我们进行了以下测试,均获得了积极的结果:

  • 使用AD插件在BO环境中导入的AD用户,并且在CMC中的相应组中可见;
  • 使用胖客户端(IDT和Web Intelligence胖客户端)进行AD手动登录;
  • 针对用户的KINIT测试属于不同的域( MAINDOM.COM IT.MAINDOM.COM FR.MAINDOM.COM );
  • bsclogin.conf测试(设置debug = true并验证tomcat日志);
  • 在Tomcat服务启动期间获得的凭证(" jcsi.kerberos:**获得的凭证");
  • 使用连接了 MAINDOM.COM IT.MAINDOM.COM ;
  • 使用Excel或Microsoft SQL Server Management Studio访问通过IIS(http:\\ servername \ OLAP \ msmdpump.dll)发布的OLAP应用程序;
  • 在具有"提示"身份验证模式的OLAP连接上分析OLAP视图可以正常工作(用户在打开视图时输入用户名和密码)。

如果我们尝试将OLAP连接与SSO一起使用,则无法访问SSAS多维数据集。 启动Analysis OLAP应用程序并选择连接,系统进入循环状态。 我们发现了MDAS服务器生成的以下日志:

httpclient.wire.header || <<" WWW身份验证:协商[\ r] [\ n]"-

httpclient.wire.header || <" WWW身份验证:NTLM [\ r] [\ n]"-

httpclient.wire.header || <<" WWW-Authenticate:基本领域=" DOM.COM " [\ r] [\ n]"-

httpclient.wire.content || <<"

401-未经授权:由于无效的凭据而拒绝了访问。

[\ r] [\ n]"-

httpclient.wire.content || <<"

您无权使用您提供的凭据查看此目录或页面。

[\ r] [\ n]"

...

org.apache.commons.httpclient.auth.AuthenticationException:建立Kerberos安全上下文(ODA10067)时出错

...

原因:GSSException:未提供有效的凭据(机制级别:创建凭据失败。(63)-没有服务凭据)

...

原因:KrbException:无法创建凭据。 (63)-没有服务信誉

以下注意事项:

  • 用于启动SIA和Tomcat的服务帐户属于 DOM.COM 域。 " BusinessObject Platform"服务器和" MS SSAS2008"服务器属于一个子域( IT.DOM.COM )。 我不知道在BOBJ服务器的同一域上定义服务帐户是否可以更改。
  • 我认为身份验证类型应为"协商Kerberos",而不是NTLM。 似乎使用了错误的身份验证模式;
  • 不应出现"未经授权"错误,因为同一用户可以使用Excel或通过SS Management Studio(访问msmdpump.dll驱动程序)登录。

有人可以给我有关这种情况的提示吗? 我们可以做一些其他测试来验证配置的正确性吗?

任何帮助将不胜感激!

L

付费偷看设置
发送
4条回答
jovirus
1楼-- · 2020-09-03 05:02

嗨,

我认为您已经指出了正确的方向。 您设置BI4进行Kerberos身份验证,但您的数据源不是。 将Kerberos添加到身份验证提供程序并将其移至第一个可用选项。

问候

-Seb。

代楠1984
2楼-- · 2020-09-03 05:03

您好,

< p>说实话...。我不知道!

Errormessages仅表示KRB提供程序缺少某些地方。 我发现以下SAP注释可能会为您提供帮助:

SAP注释-1379100

它讨论了如何通过设置SPN为Kerberos配置SQL Server-与Vintela Kerberos配置类似。

您可能想通过SAP支持部门打开OSS消息。 也许他们可以为您提供设置Kerberos Provider的帮助。

注意

-Seb。

奄奄一息的小鱼
3楼-- · 2020-09-03 05:05

嗨,

我们正面临着同样的问题,您找到解决方案了吗?

最诚挚的问候,

Ben

bbpeas
4楼-- · 2020-09-03 04:46

嗨,

没有人找到解决此问题的方法。

我们遇到类似的问题

谢谢

Prateek

一周热门 更多>