点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
大家好
我们正在尝试为内部和外部访问设置FIORI Frontend Server。
在F5负载均衡器上的https://
FIORI启动板可从多个后端系统加载Web Dynpro。 这些系统由
整个通信路径都使用HTTPS/SSL。
到目前为止,加载Web Dynpros时SSO失败。 我们假定.ch域中的系统没有有效的MYSAPSSO2 Cookie。 *。
有人遇到过同样的问题吗? 在这种情况下,我们是否需要包括其他组件?
乔纳斯,你好
在客户项目期间,我遇到了类似的情况。 不幸的是,您不能像AS Java那样对AS Java的ume.logon.security.relax_domain.level使用域松弛。
问题:您如何对FIORI Frontend Server上当前的用户进行身份验证? 如果您将SAML 2.0与SAP IdP一起使用,则应该有可能说服IdP发出断言票证。 如果您使用的是其他IdP(例如ADFS),则此操作将无效,但SAML会将其直接发送到后端。 在这种情况下,您需要将ABAP后端设置为服务提供商。 应该也可以。
除了网络边缘身份验证方案(NEA)对您来说可能是一种有效的方法->请参阅此处
这种情况将意味着用户尝试访问FLP,而WD充当第一个系统,并将用户的未经身份验证的请求转发到身份验证服务器,身份验证服务器又是在AS Java上运行的SAP安全登录服务器(SLS)。 可以使用任何JAAS模块(例如SPNEGO,SAML,TOTP甚至基本身份验证)配置该系统。 一旦对用户进行身份验证,WD便会颁发X.509证书,并且WD使用该证书将用户转发到FFS和使用X.509客户端(用户)证书进行身份验证的任何后端系统。 SAP Web Dispatcher中的NEA会话保存用户登录到的所有系统的凭据。 SAP Web Dispatcher向浏览器发出的cookie引用了NEA会话。 更多信息也此处 >
这种情况将需要当前的WD和SAP SSO 3.0许可证。
希望有帮助!
干杯,Carsten
你好,Carsten
非常感谢您的解释。 我们在FIORI Frontend和ADFS之间使用SAML。 因此,我们必须将后端配置为其他服务提供商并在ADFS中注册?
您知道SAP是否有针对该用例的官方文档吗?
再次感谢您的宝贵时间!
乔纳斯(Jonas)
乔纳斯(Hi Jonas),
将后端连接到ADFS的过程类似于将前端服务器连接到ADFS的过程。 同样的方法:启用SAML所需的SICF服务,启动TCode SAML2并设置本地提供程序,导出元数据并导入到ADFS,创建RP和设置规则,从ADFS导出元数据并在SAP上创建受信任的IdP,基于ID的设置ID联合 SAML NameID,等等。
我想您只是通过一个东西链接通过启动板执行了一些WDA,或者? 一旦后端是ADFS中已注册的依赖方,并且所有内容都通过客户端浏览器和SSL处理,则该方法即可与普通SAML(SP发起的SSO)一起使用。 在那种情况下,由于用户在访问FLP之前已经在IdP(ADFS)上进行了会话,因此获取后端的SAML-Assertion的过程是透明的,您将获得所需的SSO感觉,并希望用户感到满意;)
干杯,Carsten
现在一切都很好,它是HTTP_WHITELIST中的ENTRY_TYPE 30条目,因此已激活Clickjacking-Framing-protection保护,并阻止了webdynpros的负载。 >
再次非常感谢Carsten!
一周热门 更多>