库拉姆，

我们已经与其他域一起完成了此操作。 我们有一家公司A购买了公司B，但他们仍想使用公司B的域名。

开始之前您需要做的几件事：

1。 LDAP服务帐户-来自新域

2。 域控制器名称。

3。 使用来自新公司的新服务帐户注册门户URL的服务主体名称（SPN）。 通常由网络团队针对新域名进行。 将密钥表文件发送回给您。

EXP服务帐户：例如 SVC_account-

服务帐户密码：12345

Setspn：HTTP/ 。 domain.com 例如。 HTTP/ compnayB.xx.abc.com

Setspn：HTTP/ webdispatcher.xx.abc.com -如果您 正在使用WD

4。 从新域上载Keytab文件

5。 修改Portal XML文件以包含域，并在配置工具中向其他密码添加密码。

6。 在新公司中创建与您在公司中相同的LDAP组，并将它们映射到您现有的门户网站角色。

7。 我还将验证PC或已加入新域，并在IE中检查Windows NT身份验证。

祝你好运....

Khuram，

没问题。 是的，您需要为每个新域遵循相同的过程。 但是，我想我把你的问题弄错了。 您的原始域是 mydomain.com ，然后新的子域是 new.mydomain.com 。 当我这样做的时候，这是一个来自另一家公司的全新域名，我们将其添加到门户中。 但是，如果服务帐户位于子域中，则肯定需要执行setpn。 那么，您能够在现有域UME下的"用户管理"中查找用户吗？ 如果您可以查找用户，则听起来好像该域已设置。 如果他们可以不使用SSO登录，则可能只需要执行setspn并上传keytab文件。 如果要使用门户网站实例和WD，请记住同时对它们运行setpn。

无论哪种方式。 添加新域

1。在\ usr \ sap \ \ J \ j2ee \ configtool中启动configtool.bat

2。单击"是"以使用默认数据库设置

3。切换到配置编辑器模式图标

• 4。单击编辑模式图标，然后选择是
• 5。扩展cluster_config->系统-> custom_global-> cfg->服务-> com.sap.security.core.ume.service并双击属性表属性
• 6。双击ume.ldap.access.additional_password.1或2或3。这取决于您已经拥有多少个域。 听起来像是您的密码2。 输入服务帐户密码。 点击确定。
• 7。单击顶部图标返回左上方的configtool主页

8。单击文件，然后选择应用更改

9.In 门户网站转到系统管理-> UME配置并下载数据源配置 文件。 该矿被命名为dataSourceConfiguration_ads_deep_readonly_db.xml。

然后在配置文件中添加新域。您应该已经看到了现有域。 只需复制并粘贴和之间的所有内容，并更新以下内容（如果不同）。

$ ume.ldap.access.additional_password.2

2。 现在，将文件上传回门户UME部分。 请确保您所有的信息都是正确的，否则当您重新启动门户时它将不会启动。 如果未启动，则可以使用配置工具简单地删除域。

3。 现在，将密钥表文件从SETSPN上传到 http://portal.xyz.com ：5 ## 00/spnego。 只需单击，然后上传Keytab文件。 当您选择文件并通过向导时，您应该在步骤2中看到新域的名称。通过向导的其余部分并保留默认值，您的默认值可能会略有不同。 您可以运行SETSPN –l服务帐户名，然后查看它是否在域中正确注册。

C：\ WINDOWS \ system32> setspn -l Svc_SAPPORTPP2

CN = svc_sapportpp2，OU = ServiceAccounts，OU = ServicesManagement，DC = XYZ，DC = XYZ，DC = com的已注册ServicePrincipalName：

http/ portal.xyz.XYZ.com

HTTP/ olypp2.xyz.xyz.com

C：\ WINDOWS \ system32>

4。 到达最后时，您应该看到您的新域，然后单击启用按钮。 您实际上还应该看到其他域。

5。 重新启动门户

关于"如果有其他解决方案，也可以共享。" 您还可以将SAP合作伙伴产品用于ABAP或JAVA堆栈上的SSO，而不仅仅是SAP SSO产品。

如果在用户登录到门户网站时只需要Kerberos SSO，也可以在JAVA堆栈上使用SPNEGO（免费）。