sap GUI的SSO 3.0配置

2020-09-15 00:54发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

为此,我们正在尝试使用SSO 3.0为SAP GUI配置SSO,为此我们正在使用ERP EHP 8系统。 我们的基本要求是无需询问凭据即可登录到SAP系统(在我们的情况下,SAP用户名和AD帐户相同)

之前我们进行了类似的设置,并且通过设置环境变量,实例概要文件中的所有相关SNC参数(指向gx64ntlm.dll(SAP NOTE 352295)之一)以及最终用户的此配置(包括将SNC_LIB设置为 以及"网络"标签下的GUI更改。

我们正在考虑使用sapcrypto.dll文件而不是gx64ntlm.dll的SSO 3.0尝试相同的步骤,但是Web调度程序停止了。 Google之后,似乎上述步骤不适用于SSO 3.0。

任何人都可以让我们知道将要执行的步骤顺序,任何SAP注释或任何有助于上述环境设置的文档。


此致

赛伯特。

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

为此,我们正在尝试使用SSO 3.0为SAP GUI配置SSO,为此我们正在使用ERP EHP 8系统。 我们的基本要求是无需询问凭据即可登录到SAP系统(在我们的情况下,SAP用户名和AD帐户相同)

之前我们进行了类似的设置,并且通过设置环境变量,实例概要文件中的所有相关SNC参数(指向gx64ntlm.dll(SAP NOTE 352295)之一)以及最终用户的此配置(包括将SNC_LIB设置为 以及"网络"标签下的GUI更改。

我们正在考虑使用sapcrypto.dll文件而不是gx64ntlm.dll的SSO 3.0尝试相同的步骤,但是Web调度程序停止了。 Google之后,似乎上述步骤不适用于SSO 3.0。

任何人都可以让我们知道将要执行的步骤顺序,任何SAP注释或任何有助于上述环境设置的文档。


此致

赛伯特。

付费偷看设置
发送
2条回答
闻人可可
1楼-- · 2020-09-15 01:38

您好Cyber​​tch,

由于我们没有使用Web调度程序,因此我可能无能为力,但是就使用SSO 3.0进行设置而言,这是我们已使用并正在与环境一起工作的过程的概述 ,其中几乎包括所有SAP产品(ECC,BI,CRM等)。

使用用于Kerberos和SPNEGO的SAP SSO 3.0在AIX上配置SAP

1。下载最新的SAPCRYPTOLIB,解开文件,然后将文件放入SAP系统的内核目录中。 确保文件由 adm:sapsys

拥有

2。编辑/home/adm/.login并添加以下环境变量(如果尚未存在):setenv SECUDIR/usr/sap//DVEBMGS /sec

3。在Active Directory中创建服务用户-

设置"用户无法更改密码"和"密码永不过期"

打开刚刚创建的用户的属性,然后单击``帐户''选项卡。滚动到``帐户选项''的底部并启用``此帐户支持Kerberos AES 128位加密''和``此帐户支持Kerberos AES 256位加密'' 然后点击"应用"

现在单击"属性编辑器"选项卡,然后编辑" servicePrincipalName"属性以添加SPN,然后单击"确定"。

SPN输入为:

HTTP/

SAP/

4。登录到SAP系统,并通过RZ10将以下参数添加到DEFAULT配置文件中(*注意–检查这些参数的实例配置文件,如果存在,请删除它们):

参数名称 值snc/enable 0(禁用)/1(启用)– 最初将此值设置为" 0" snc/gssapi_lib/usr/sap/ /SYS/EXE/运行/ libsapcrypto.so snc/identity/as p:CN = 示例-p:CN = sap_svc_ @ (这仅适用于Kerberos& 域的大写字母)snc/data_protection/max 3 snc/data_protection/min 2 snc/data_protection/使用3 snc/r3int_rfc_secure 0 snc/r3int_rfc_qop 8 snc/accept_insecure_cpic 1 snc/nc/accept_insecure_gui 1 snc/accept_insecure_gui 1 snc/accept_insecure_gui 1 0 spnego/启用1 spnego/krbspnego_lib/usr/sap/ /SYS/EXE/运行/ libsapcrypto.so

保存并激活新的配置文件。 在操作系统级别登录到SAP系统,然后重新启动SAP

5。系统重新联机后,登录并运行STRUSTSSO2。展开SNC SAPCryptolib PSE。 如果那里已经有证书,请将其删除。 如果不是,则选择创建。

单击"创建"时,您在RZ10中为snc/identity/as输入的值应与创建的值匹配并显示在"所有者"字段中。 如果此值不匹配,则说明存在问题,无法进行进一步的配置,因此必须先解决此问题,然后再继续。

一旦创建了证书,请双击它并将其添加到证书列表和ACL(登录客户端和客户端000两者)中

保存并退出STRUSTSSO2。

6。运行SPNEGO事务以创建密钥表文件。 选择显示/更改并添加

输入服务帐户的用户名,密码,然后选择所有加密算法

保存并退出此屏幕和SAPGUI。

7。在操作系统级别创建密钥表文件。 登录到服务器操作系统和su- adm

导航到/usr/sap//DVEBMGS /sec

输入以下内容,并使用大写的域:

sapgenpse密钥表-p SAPSNCSKERB.pse -a @

然后将提示您创建PSE PIN/密码。 看起来如下:

############################################## ##############################

免责声明SAP单一登录

您将为单点登录或SNC客户端加密配置信任。

请注意,单点登录需要获得许可证

SAP单一登录。

作为例外,仅在没有SSO的情况下免费使用SNC客户端加密

如SAP Note 1643878中所述。

############################################## ##############################

请输入PSE PIN码/密码:*********

请重新输入PSE PIN码/密码:*********

请输入keyTab密码:*********

请重新输入keyTab密码:*********

keytab:创建了新的keyTab条目。

keytab:存储的KeyTab内容:

VersionTime stampKeyTypeKerberos名称

1Wed Feb1 20:46:48 2017DES @

1Wed Feb1 20:46:48 2017AES128 @

1Wed Feb1 20:46:48 2017AES256 @

1Wed Feb1 20:46:48 2017RC4 @

密钥标签:创建的PSE/usr/sap//DVEBMGS/sec/SAPSNCSKERB.pse。

最后,执行:

sapgenpse seclogin -p/usr/sap//DVEBMGS/sec/SAPSNCSKERB.pse -x -O adm [其中是服务帐户ID的密码,< u>不 adm的密码]

sapgenpse get_my_name -p/usr/sap//DVEBMGS/sec/SAPSNCSKERB.pse [这是为了验证是否分配了所有加密方法]

8。通过SAPGUI重新登录系统以启用SNC,并将您的SAP ID映射到您的AD帐户,如下所示:

执行RZ10,并将snc/enable参数从0更改为1,然后保存并激活配置文件。

现在执行SU01并打开您的ID并以p:CN = @ 的格式设置您的SNC名称

规范名称正确时,红色的" x"将变为绿色的复选标记。 保存您的ID并退出SAPGUI。

9。重新启动SAP。

10。在工作站上安装SAP Secure Login Client(SAP SLC)软件,然后根据需要重新启动。

11.SAP SLC应该在系统托盘中运行

12。打开SAP SLC,您应该看到列出了Kerberos令牌。 右键单击该条目,然后选择选项"将配置文件用于SAP应用程序"。 现在,您可以关闭SLC。

13.In SAPGUI登录板中,需要为系统启用SNC通信。 右键单击系统,然后选择"属性–网络",然后选择"激活安全网络通信",并确保SNC名称与snc/identity/as值匹配。

14。完成! 现在,您应该可以将SSO集成到SAP中了。

希望这会有所帮助! 祝你好运!

汤姆

浮生未央
2楼-- · 2020-09-15 01:21

你好汤姆,

感谢您的回复。 我们已经参考以下视频(链接)为SAP GUI成功配置了SSO 3.0。

https://www.youtube.com/watch?v=ERgzPdQEE9I

此致

Cyber​​tech

一周热门 更多>