单一登录和本地安装

2020-09-05 18:06发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好,

我们正在为SAP服务器(基于Windows + Active Directory/Kerberos)的SAP SSO 3.0推出全面计划。

SAP服务器是本地安装(不是域成员)。 域的成员资格是先决条件,还是只要域用户可用于与活动目录进行通信就足够了吗?

最诚挚的问候!

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好,

我们正在为SAP服务器(基于Windows + Active Directory/Kerberos)的SAP SSO 3.0推出全面计划。

SAP服务器是本地安装(不是域成员)。 域的成员资格是先决条件,还是只要域用户可用于与活动目录进行通信就足够了吗?

最诚挚的问候!

付费偷看设置
发送
4条回答
Nir深蓝
1楼 · 2020-09-05 18:25.采纳回答

Hello Marc,

在SAP Single Sign-On 3.0中,无需考虑SAP服务器的域成员身份。 AD和SAP之间的唯一链接是密钥选项卡文件,该文件在SAP系统上的安装过程中生成。 在这里,您可以指定要信任的域。 如果您在域/林之间不信任,则可以是一个或多个。

但是,验证始终是脱机进行的,因此在任何情况下都不需要SAP与AD Domain控制器之间的通信。 验证是指根据在为SAP服务器生成的AD服务用户帐户上注册的SPN,对从KDC收到的服务票证(ST)进行解密。 ST始终由KDC加密,并且由于它们共享同一个对称密钥,因此解密会发生。

通常,SAP系统操作已外包,并且SAP服务器已集成到托管SAP-Landscape的组织的管理域中。 即使在这种情况下,来自不同组织的SAP用户也可以使用Kerberos在各自的客户端中使用相同的系统。 从技术上讲,通过使PSE包含键表,SAP系统信任所有域,尽管域本身之间不存在信任。 更多输入此处

干杯柯尔特

嗨,

您可以在下面查看此博客。 我不认为它必须在同一个域中。

https://博客。 sap.com/2017/07/27/sap-single-sign-on-authenticate-with-kerberosspnego /

最好的问候

伊姆兰

spaceman01
3楼-- · 2020-09-05 18:22

嗨伊姆兰,

感谢您的链接。 不幸的是,如果需要SAP服务器的域成员身份,我找不到提示。

因此,如果那里已经有人成功连接了非域SAP服务器,那将非常有帮助。 从本地安装到域安装的转换并不容易,并且会导致我们要避免的额外费用。

哎,真难
4楼-- · 2020-09-05 18:27

嗨,Carsten!

非常感谢您的回复。 这对我们来说是个好消息,因为我们希望避免在域安装中转移本地SAP安装的额外费用。

据我了解-阅读您引用的博客后-SAP系统与域控制器之间没有直接通信。 仅客户端本身发送域请求,并且SAP系统必须具有正确的密钥表。 因此,此szenario非常完美,我认为我们可以按照计划的SSO推出:-)

感谢您的解释和最诚挚的问候!

一周热门 更多>