SAP SSO3.0实施

2020-09-10 23:44发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

我想在混合环境(内部和云系统)上实施SAP SSO。

我们具有以下的系统概况(如附件所示),并且客户希望针对本地和云系统实现SSO。 我已经根据SAP文档起草了以下高级设计。

要求:为S/4HANA和Cloud系统的Fiori应用程序实现SSO。

我已经为以前的项目实现了SSO,但是使用Microsoft Active Directory作为身份提供者。

客户已经购买了SSO3.0许可证,因此我们不能选择AD作为身份提供者。

我需要有关在内部设置SAP SSO3.0服务器的技术指导,什么是SAP最佳实践?

我的假设:SAP SSO3.0(在内部SAP NW Java系统上)充当本地和云系统SSO的主要解决方案。

问题:

1。 本地系统的SSO:

例如 如果用户要使用SAML访问S4HANA系统(使用SSO),则SAP SSO3.0服务器将充当身份提供者。 但是,前提系统上的SSO3.0应该如何具有用户存储(设置)以验证用户身份?

因此,应该将SSO3.0与MS AD集成在一起,并且应该从AD到SSO3.0运行一些常规的同步作业? 还是其他选择? 内部的SAP IDM8.0是否会将用户传递到SSO3.0,并将所有用户存储到SSO3.0? 请在这里提供建议,我看不到任何文档。

2. 云系统的SSO:

场景1 :来自家庭(外部办公网络)的用户访问云系统,用于验证用户身份的流程是什么? IAS会从本地系统(AD或SSO3.0)读取用户存储的内容吗?

方案2::来自办公室(企业网络)的用户访问云系统,用于认证用户的流程是什么? IAS的作用是什么?

感谢您是否可以提供输入和文档链接等。

sso-hybrid-setup.jpg (121.1 kB)

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

我想在混合环境(内部和云系统)上实施SAP SSO。

我们具有以下的系统概况(如附件所示),并且客户希望针对本地和云系统实现SSO。 我已经根据SAP文档起草了以下高级设计。

要求:为S/4HANA和Cloud系统的Fiori应用程序实现SSO。

我已经为以前的项目实现了SSO,但是使用Microsoft Active Directory作为身份提供者。

客户已经购买了SSO3.0许可证,因此我们不能选择AD作为身份提供者。

我需要有关在内部设置SAP SSO3.0服务器的技术指导,什么是SAP最佳实践?

我的假设:SAP SSO3.0(在内部SAP NW Java系统上)充当本地和云系统SSO的主要解决方案。

问题:

1。 本地系统的SSO:

例如 如果用户要使用SAML访问S4HANA系统(使用SSO),则SAP SSO3.0服务器将充当身份提供者。 但是,前提系统上的SSO3.0应该如何具有用户存储(设置)以验证用户身份?

因此,应该将SSO3.0与MS AD集成在一起,并且应该从AD到SSO3.0运行一些常规的同步作业? 还是其他选择? 内部的SAP IDM8.0是否会将用户传递到SSO3.0,并将所有用户存储到SSO3.0? 请在这里提供建议,我看不到任何文档。

2. 云系统的SSO:

场景1 :来自家庭(外部办公网络)的用户访问云系统,用于验证用户身份的流程是什么? IAS会从本地系统(AD或SSO3.0)读取用户存储的内容吗?

方案2::来自办公室(企业网络)的用户访问云系统,用于认证用户的流程是什么? IAS的作用是什么?

感谢您是否可以提供输入和文档链接等。

sso-hybrid-setup.jpg (121.1 kB)
付费偷看设置
发送
2条回答
jovirus
1楼 · 2020-09-11 00:02.采纳回答

嗨,伊姆兰!

首先,请不要介意,但是这张图片确实令人困惑;-)描述和所示的auth-flow不匹配,但是我可以想象这是什么意思。 特别是,组件SAP SSO 3.0的表示表明它是一个"盒子",事实并非如此。 它是由多个解决方案组件组成的套件。 SAP Identity Provider是其中的一部分。

除了SAP SSO 3.0之外,关于SAP身份管理领域中的其他组件(本地IDM和云IPS),由于总体原因,我还是建议在适当的研讨会上启动该项目 复杂。 由于您的要求可能无法涵盖您所有的具体技术要求,因此我只能猜测并希望我的解释有所帮助。

让我们开始。

要回答您的问题1:通常,无论在任何SP上运行,ADFS,SAP的IdP或任何其他IdP都可以始终用于任何SP。 这是SAML的基本原理,与IdP或SP的位置无关。 集成在自身网络或域(合作伙伴,Extranet,云),跨平台和跨域方案以及Identity Federation方案之外运行的Web服务,所有这些都可以通过SAP IdP实现。 在AS Java上运行的SAP IdP确实支持各种用户数据源,例如数据库,LDAP服务器和AS ABAP,基本上,UME允许您进行连接。 因此,您不必"存储"用户或在Box中隐式同步用户;-)而是通过LDAP将您的IdP直接连接到AD。 您也可以将SAP IDM连接到您的IdP,以供应帐户,例如 适用于外部,例如业务合作伙伴等。

由于IdP本身支持NetWeaver AS Java提供的身份验证方法,因此,企业用户在访问内部部署或云Web应用程序时都会体验到SSO。 在IdP上支持SPNEGO/Kerberos,X.509和其他机制进行初始用户身份验证。

BTW:对于问题2,几乎也可以使用IAS

问题2:场景1:该问题已经包含以下声明:应使用两个IdP(一个在云中,另一个在云中) 内部部署),至少看起来是这样。 无论何时何处,最常使用的SAML流是前端通道和SP启动的流。 用户在这里访问SP,然后转发到IdP。 决策(发现或选择正确的IdP)取决于并且可以不同地配置。 与身份验证方法相同,应该如何对外部或内部用户(在家工作)进行身份验证。 在这种情况下,您可以使用Cloud IdP(IAS),并且可以通过Cloud Connector将其连接到本地用户存储(AD)。 基于访问策略的IP范围,时间,角色成员资格等也是可能的。

方案2:同样,为什么要使用IAS和本地IdP? 变得没有意义。 在这种情况下,请使用IAS或本地IdP。 流程是相同的,但是与方案1相比,身份验证通常是透明的(从SSO到IdP)。

SAP提供了两种产品SAP Single Sign-On和SAP Cloud Platform Identity Authentication。 两者可以结合。 在这种情况下,建议对浏览器应用程序,内部部署和云使用SAP Cloud Platform身份验证,对于内部部署的桌面客户端使用带有X.509证书或Kerberos的SAP Single Sign-On(当然也要支持 非Web应用程序(例如SAP GUI等)。要从本地桌面访问云服务,请使用Kerberos或X.509证书将身份验证自动进行到SAP Cloud Platform Identity Authentication。

欢呼声

Carsten

浮生未央
2楼-- · 2020-09-11 00:18

谢谢Carsten的详细解释,非常感谢。

我同意,图中的身份验证流程并不完全正确:-)。 我只是说明了高级图,以显示该项目范围内的SAP组件。

根据建议,我将在项目进行期间设置适当的车间,以最终确定具有适当流程和组件的解决方案。

再次感谢!

一周热门 更多>