2020-09-14 14:40发布
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
使用MS AD,例如可以使用第三方工具将用户帐户和密码与SAP(ABAP)系统同步。
在不使用MS AD的情况下,Azure AD是否还有可能实现某些目标。 因此,Azure AD和SAP之间直接链接。
请注意,我并不是在寻找SSO,这实际上是向ABAP UME中输入相同密码的目的。
谢谢
马塞尔
亲爱的马塞尔,
我想我知道您要启动的情况。 我认为您想将Azure AD用作ABAP或Java系统的数据源(从描述中对我而言这并不明显。由于Azure AD是某种Microsoft AD,并且它可能使用LDAP协议。 AS Java和AS ABAP(带有LDAP同步的ABAP后端)以特殊方式支持数据源。以下SAP帮助文档中介绍了这两种方案:
https://help.sap.com/ saphelp_nw73/helpdata/zh/48/d1d13f7fb44c21e10000000a1550b0/content.htm?no_cache = true
此外,该注释还描述了所有认证的目录服务:983808-认证的LDAP服务器
请参阅MS Directory Services的"本文档引用"部分:
1016176-Microsoft ADAM的UME配置文件 1168727-LDAP认证的ABAP:Windows Server 2003和2008 1480838-LDAP认证的ABAP:Windows Server 2008 R2 704895-Windows的LDAP认证 2003 ADS和AD/AM
我认为Azure广告始终使用最新的MS AD,因为我不确定它是否在Win Server 2008上,因此我认为它不受支持。 我进行了研究,但找不到其他任何受支持的目录服务,例如 适用于Win Server 2012。
有关更多信息,请参见其他问题的注释:
2003135-常见问题解答:LDAP认证BC-LDAP-USR
通过这种方式,您可以使用具有多种方案的"替代方法" SSO。
最好的问候,BarnabásPaksi
只是因为我很好奇-您能告诉哪个第三方工具可以在AD和SAP之间同步密码吗?
我认为这是一个糟糕的主意。 这就是为什么您拥有诸如SSO之类的产品的原因:)
坦白地说,我不明白为什么您不想使用适当的SSO解决方案(例如Kerberos:用于HTTP客户端的SPNego和用于SAP GUI的SNC,以及 RFC客户端)。 尝试使密码保持同步很可能会失败-尤其是针对不同的密码策略。
我看到了不希望使用SSO的情况(甚至可能被策略禁止), 在这种情况下,可能需要启用LDAP查找以进行身份验证; 也就是说,用户仍然必须输入用户名和密码才能登录到SAP,但是检查是针对LDAP(或Active Directory)进行的,以查看是否存在匹配项,而不是ABAP UME。 这比在两个系统之间实际同步密码要好(并且可能会更容易)。
非常棒的注释!
我同意用于身份验证的LDAP查找是一个合理的选择。 我认为确实(还是?)甚至是SAP IM/SSO的一部分。 我问起了第三方工具,因为我从未遇到过一种可以从AD检索密码的解决方案。 我仍然认为同步密码是一个糟糕的主意:)
作者严格地说,目标是在两个地方都使用相同的密码...
您好,Barnabás,
感谢您的回答。 实际上,目标不是使用LDAP作为(ABAP)UME源,而是目标是使密码同步。 对我而言,这没有多大意义,但该客户已使用第三者工具通过本地AD实现了他们的业务环境,现在他们正在向AzureAD迈进。 当前两者之间存在同步,但最终仅保留AzureAD。 我很好奇是否有人已经在使用它。 第三方工具尚不兼容AzureAD。
Rgds
Marcel
嗨沃尔夫冈,
是的,那当然是最好的路线。 这来自一个特定的客户请求,我也不太了解。 但是我很惊讶地发现他们目前能够使用本地AD做到这一点,所以我很好奇AzureAD是否也可以做到这一点。
感谢马塞尔
最多设置5个标签!
亲爱的马塞尔,
我想我知道您要启动的情况。 我认为您想将Azure AD用作ABAP或Java系统的数据源(从描述中对我而言这并不明显。由于Azure AD是某种Microsoft AD,并且它可能使用LDAP协议。 AS Java和AS ABAP(带有LDAP同步的ABAP后端)以特殊方式支持数据源。以下SAP帮助文档中介绍了这两种方案:
https://help.sap.com/ saphelp_nw73/helpdata/zh/48/d1d13f7fb44c21e10000000a1550b0/content.htm?no_cache = true
此外,该注释还描述了所有认证的目录服务:983808-认证的LDAP服务器
请参阅MS Directory Services的"本文档引用"部分:
1016176-Microsoft ADAM的UME配置文件
1168727-LDAP认证的ABAP:Windows Server 2003和2008
1480838-LDAP认证的ABAP:Windows Server 2008 R2
704895-Windows的LDAP认证 2003 ADS和AD/AM
我认为Azure广告始终使用最新的MS AD,因为我不确定它是否在Win Server 2008上,因此我认为它不受支持。 我进行了研究,但找不到其他任何受支持的目录服务,例如 适用于Win Server 2012。
有关更多信息,请参见其他问题的注释:
2003135-常见问题解答:LDAP认证BC-LDAP-USR
通过这种方式,您可以使用具有多种方案的"替代方法" SSO。
最好的问候,
BarnabásPaksi
只是因为我很好奇-您能告诉哪个第三方工具可以在AD和SAP之间同步密码吗?
我认为这是一个糟糕的主意。 这就是为什么您拥有诸如SSO之类的产品的原因:)
坦白地说,我不明白为什么您不想使用适当的SSO解决方案(例如Kerberos:用于HTTP客户端的SPNego和用于SAP GUI的SNC,以及 RFC客户端)。 尝试使密码保持同步很可能会失败-尤其是针对不同的密码策略。
我看到了不希望使用SSO的情况(甚至可能被策略禁止), 在这种情况下,可能需要启用LDAP查找以进行身份验证; 也就是说,用户仍然必须输入用户名和密码才能登录到SAP,但是检查是针对LDAP(或Active Directory)进行的,以查看是否存在匹配项,而不是ABAP UME。 这比在两个系统之间实际同步密码要好(并且可能会更容易)。
非常棒的注释!
我同意用于身份验证的LDAP查找是一个合理的选择。 我认为确实(还是?)甚至是SAP IM/SSO的一部分。 我问起了第三方工具,因为我从未遇到过一种可以从AD检索密码的解决方案。 我仍然认为同步密码是一个糟糕的主意:)
作者严格地说,目标是在两个地方都使用相同的密码...
您好,Barnabás,
感谢您的回答。 实际上,目标不是使用LDAP作为(ABAP)UME源,而是目标是使密码同步。 对我而言,这没有多大意义,但该客户已使用第三者工具通过本地AD实现了他们的业务环境,现在他们正在向AzureAD迈进。 当前两者之间存在同步,但最终仅保留AzureAD。 我很好奇是否有人已经在使用它。 第三方工具尚不兼容AzureAD。
Rgds
Marcel
嗨沃尔夫冈,
是的,那当然是最好的路线。 这来自一个特定的客户请求,我也不太了解。 但是我很惊讶地发现他们目前能够使用本地AD做到这一点,所以我很好奇AzureAD是否也可以做到这一点。
感谢
马塞尔
一周热门 更多>