SAML SSO-如何以相反顺序处理?

2020-09-06 20:03发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好,

我希望有人能够回答我的查询。 附件图片说明了我们的SAML/SSO设置。

最终用户基本上可以访问SAP门户上托管的登录页面。 从SAP外部身份提供商使用SAML身份验证(登录Windows域后)向SAP门户提供身份验证。

在"登录"页面上,用户看到他/她有权访问的后端系统的磁贴。 当用户单击所需的图块时,将通过SAP LOGON票证对使用进行身份验证,这就是用户登录到后端系统的方式。

整个场景对我们来说都很好。

新要求:-我们遇到的情况是,向​​最终用户提供来自后端系统的URL(例如BOBJ)。 网址为https://:port/abc/xyz

我的问题是:-如何使身份验证适用于这项新要求,以便用户单击链接后,他应该能够访问链接而无需输入用户ID/密码。 (反向方法-从下到上而不是从上到下)

我们还计划仅出于负载平衡目的在门户网站和后端系统之间放置一个Web调度程序。

(29.5 kB)

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


你好,

我希望有人能够回答我的查询。 附件图片说明了我们的SAML/SSO设置。

最终用户基本上可以访问SAP门户上托管的登录页面。 从SAP外部身份提供商使用SAML身份验证(登录Windows域后)向SAP门户提供身份验证。

在"登录"页面上,用户看到他/她有权访问的后端系统的磁贴。 当用户单击所需的图块时,将通过SAP LOGON票证对使用进行身份验证,这就是用户登录到后端系统的方式。

整个场景对我们来说都很好。

新要求:-我们遇到的情况是,向​​最终用户提供来自后端系统的URL(例如BOBJ)。 网址为https://:port/abc/xyz

我的问题是:-如何使身份验证适用于这项新要求,以便用户单击链接后,他应该能够访问链接而无需输入用户ID/密码。 (反向方法-从下到上而不是从上到下)

我们还计划仅出于负载平衡目的在门户网站和后端系统之间放置一个Web调度程序。

(29.5 kB)
付费偷看设置
发送
2条回答
N-Moskvin
1楼 · 2020-09-06 20:44.采纳回答

嗨Vishesh,

SAP Portal上的初始身份验证基本上代表了正常的SP启动流程(用户> SAP Portal>对IdP的AuthnRequest> Auth @ IDP>对SP的AuthnResponse> SSO @ SAP Portal) 。

与您的图片所示不同,SAML身份验证不是在IdP和WD之间进行,而是在用户代理和IdP之间进行。

一旦用户在SAP Portal上进行了会话, 装有从门户网站发布的MYSAPSSO2 Cookie(CreateTicketLoginModule),因此将SSO附加到附加的后端。

现在,您需要直接访问其中一个应用程序,为此,您可以使用与当前用于SAP Portal相同的浏览器流程。 在这种情况下,ECC,BW,CRM或BOBJ充当SAML服务提供商,并将用户重定向回IDP。 如果IdP上没有现有的会话或SSO机制,则可能需要进行身份验证。 如果门户网站和后端之间没有反向代理/WD或IdP无关紧要,那么最后只需要确保SAML元数据包含正确的URL端点即可。

可能还有其他"变通办法"使用servlet在SAP Portal上对用户进行身份验证并将其重定向回后端,但是本地SAML流似乎是最好的方法。

有用吗?

欢呼卡斯滕

SKY徐
2楼-- · 2020-09-06 20:52

你好卡斯滕,

谢谢! 是的,我同意在后端系统和IDP之间配置SAML身份验证将使我可以直接访问该应用程序。 但是,我们要避免创建多个SP并寻找类似:-

用户> BOBJ> SAP门户>对IDP的身份验证请求>对SP(门户)的身份验证响应>对BOBJ的SSO

此致

VM

一周热门 更多>