2020-09-05 18:06发布
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
你好,
我们正在为SAP服务器(基于Windows + Active Directory/Kerberos)的SAP SSO 3.0推出全面计划。
SAP服务器是本地安装(不是域成员)。 域的成员资格是先决条件,还是只要域用户可用于与活动目录进行通信就足够了吗?
最诚挚的问候!
Hello Marc,
在SAP Single Sign-On 3.0中,无需考虑SAP服务器的域成员身份。 AD和SAP之间的唯一链接是密钥选项卡文件,该文件在SAP系统上的安装过程中生成。 在这里,您可以指定要信任的域。 如果您在域/林之间不信任,则可以是一个或多个。
但是,验证始终是脱机进行的,因此在任何情况下都不需要SAP与AD Domain控制器之间的通信。 验证是指根据在为SAP服务器生成的AD服务用户帐户上注册的SPN,对从KDC收到的服务票证(ST)进行解密。 ST始终由KDC加密,并且由于它们共享同一个对称密钥,因此解密会发生。
通常,SAP系统操作已外包,并且SAP服务器已集成到托管SAP-Landscape的组织的管理域中。 即使在这种情况下,来自不同组织的SAP用户也可以使用Kerberos在各自的客户端中使用相同的系统。 从技术上讲,通过使PSE包含键表,SAP系统信任所有域,尽管域本身之间不存在信任。 更多输入此处
干杯柯尔特
嗨,
您可以在下面查看此博客。 我不认为它必须在同一个域中。
https://博客。 sap.com/2017/07/27/sap-single-sign-on-authenticate-with-kerberosspnego /
最好的问候
伊姆兰
嗨伊姆兰,
感谢您的链接。 不幸的是,如果需要SAP服务器的域成员身份,我找不到提示。
因此,如果那里已经有人成功连接了非域SAP服务器,那将非常有帮助。 从本地安装到域安装的转换并不容易,并且会导致我们要避免的额外费用。
嗨,Carsten!
非常感谢您的回复。 这对我们来说是个好消息,因为我们希望避免在域安装中转移本地SAP安装的额外费用。
据我了解-阅读您引用的博客后-SAP系统与域控制器之间没有直接通信。 仅客户端本身发送域请求,并且SAP系统必须具有正确的密钥表。 因此,此szenario非常完美,我认为我们可以按照计划的SSO推出:-)
感谢您的解释和最诚挚的问候!
最多设置5个标签!
Hello Marc,
在SAP Single Sign-On 3.0中,无需考虑SAP服务器的域成员身份。 AD和SAP之间的唯一链接是密钥选项卡文件,该文件在SAP系统上的安装过程中生成。 在这里,您可以指定要信任的域。 如果您在域/林之间不信任,则可以是一个或多个。
但是,验证始终是脱机进行的,因此在任何情况下都不需要SAP与AD Domain控制器之间的通信。 验证是指根据在为SAP服务器生成的AD服务用户帐户上注册的SPN,对从KDC收到的服务票证(ST)进行解密。 ST始终由KDC加密,并且由于它们共享同一个对称密钥,因此解密会发生。
通常,SAP系统操作已外包,并且SAP服务器已集成到托管SAP-Landscape的组织的管理域中。 即使在这种情况下,来自不同组织的SAP用户也可以使用Kerberos在各自的客户端中使用相同的系统。 从技术上讲,通过使PSE包含键表,SAP系统信任所有域,尽管域本身之间不存在信任。 更多输入此处
干杯柯尔特
嗨,
您可以在下面查看此博客。 我不认为它必须在同一个域中。
https://博客。 sap.com/2017/07/27/sap-single-sign-on-authenticate-with-kerberosspnego /
最好的问候
伊姆兰
嗨伊姆兰,
感谢您的链接。 不幸的是,如果需要SAP服务器的域成员身份,我找不到提示。
因此,如果那里已经有人成功连接了非域SAP服务器,那将非常有帮助。 从本地安装到域安装的转换并不容易,并且会导致我们要避免的额外费用。
嗨,Carsten!
非常感谢您的回复。 这对我们来说是个好消息,因为我们希望避免在域安装中转移本地SAP安装的额外费用。
据我了解-阅读您引用的博客后-SAP系统与域控制器之间没有直接通信。 仅客户端本身发送域请求,并且SAP系统必须具有正确的密钥表。 因此,此szenario非常完美,我认为我们可以按照计划的SSO推出:-)
感谢您的解释和最诚挚的问候!
一周热门 更多>