使用AD LDAP和Kerberos的SAP Single Sign-on。

2020-09-16 04:32发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


专家,

我们公司在不同的位置都有子公司。 并且我们为子公司提供了单独的域控制器。 我已经配置了单点登录,并使用AD凭据将用户lpogin配置到Windows,然后打开SAP门户,并且无需询问ID/密码即可登录到门户,然后可以通过单击链接访问其他SAP系统。

在我的下属位置,用户使用域ID/密码(即子域)登录,然后打开SAP门户并要求再次输入ID/密码(即Windows ID/密码),然后可以登录到SAP系统而无需询问登录信息 。

请指导是否有任何选项可以从我的子域中跳过SAP Portal ID/密码登录选项。 我希望用户无需询问ID/密码即可像主域一样登录。 如果有其他可用的解决方案,也要共享。

关于

Khuram Shehzad

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


专家,

我们公司在不同的位置都有子公司。 并且我们为子公司提供了单独的域控制器。 我已经配置了单点登录,并使用AD凭据将用户lpogin配置到Windows,然后打开SAP门户,并且无需询问ID/密码即可登录到门户,然后可以通过单击链接访问其他SAP系统。

在我的下属位置,用户使用域ID/密码(即子域)登录,然后打开SAP门户并要求再次输入ID/密码(即Windows ID/密码),然后可以登录到SAP系统而无需询问登录信息 。

请指导是否有任何选项可以从我的子域中跳过SAP Portal ID/密码登录选项。 我希望用户无需询问ID/密码即可像主域一样登录。 如果有其他可用的解决方案,也要共享。

关于

Khuram Shehzad

付费偷看设置
发送
3条回答
闻人可可
1楼-- · 2020-09-16 05:11

库拉姆,


我们已经与其他域一起完成了此操作。 我们有一家公司A购买了公司B,但他们仍想使用公司B的域名。


开始之前您需要做的几件事:

1。 LDAP服务帐户-来自新域

2。 域控制器名称。

3。 使用来自新公司的新服务帐户注册门户URL的服务主体名称(SPN)。 通常由网络团队针对新域名进行。 将密钥表文件发送回给您。

EXP服务帐户:例如 SVC_account-

服务帐户密码:12345

Setspn:HTTP/ 。 domain.com 例如。 HTTP/ compnayB.xx.abc.com

Setspn:HTTP/ webdispatcher.xx.abc.com -如果您 正在使用WD

4。 从新域上载Keytab文件

5。 修改Portal XML文件以包含域,并在配置工具中向其他密码添加密码。

6。 在新公司中创建与您在公司中相同的LDAP组,并将它们映射到您现有的门户网站角色。

7。 我还将验证PC或已加入新域,并在IE中检查Windows NT身份验证。


祝你好运....


Tong__Ming
2楼-- · 2020-09-16 05:15

Khuram,

没问题。 是的,您需要为每个新域遵循相同的过程。 但是,我想我把你的问题弄错了。 您的原始域是 mydomain.com ,然后新的子域是 new.mydomain.com 。 当我这样做的时候,这是一个来自另一家公司的全新域名,我们将其添加到门户中。 但是,如果服务帐户位于子域中,则肯定需要执行setpn。 那么,您能够在现有域UME下的"用户管理"中查找用户吗? 如果您可以查找用户,则听起来好像该域已设置。 如果他们可以不使用SSO登录,则可能只需要执行setspn并上传keytab文件。 如果要使用门户网站实例和WD,请记住同时对它们运行setpn。

无论哪种方式。 添加新域

1。在\ usr \ sap \ \ J \ j2ee \ configtool中启动configtool.bat

2。单击"是"以使用默认数据库设置

3。切换到配置编辑器模式图标

  • 4。单击编辑模式图标,然后选择是
  • 5。扩展cluster_config->系统-> custom_global-> cfg->服务-> com.sap.security.core.ume.service并双击属性表属性
  • 6。双击ume.ldap.access.additional_password.1或2或3。这取决于您已经拥有多少个域。 听起来像是您的密码2。 输入服务帐户密码。 点击确定。
  • 7。单击顶部图标返回左上方的configtool主页

8。单击文件,然后选择应用更改

9.In 门户网站转到系统管理-> UME配置并下载数据源配置 文件。 该矿被命名为dataSourceConfiguration_ads_deep_readonly_db.xml。

然后在配置文件中添加新域。您应该已经看到了现有域。 只需复制并粘贴之间的所有内容,并更新以下内容(如果不同)。

$ ume.ldap.access.additional_password.2

2。 现在,将文件上传回门户UME部分。 请确保您所有的信息都是正确的,否则当您重新启动门户时它将不会启动。 如果未启动,则可以使用配置工具简单地删除域。

3。 现在,将密钥表文件从SETSPN上传到 http://portal.xyz.com :5 ## 00/spnego。 只需单击,然后上传Keytab文件。 当您选择文件并通过向导时,您应该在步骤2中看到新域的名称。通过向导的其余部分并保留默认值,您的默认值可能会略有不同。 您可以运行SETSPN –l服务帐户名,然后查看它是否在域中正确注册。

C:\ WINDOWS \ system32> setspn -l Svc_SAPPORTPP2

CN = svc_sapportpp2,OU = ServiceAccounts,OU = ServicesManagement,DC = XYZ,DC = XYZ,DC = com的已注册ServicePrincipalName:

http/ portal.xyz.XYZ.com

HTTP/ olypp2.xyz.xyz.com

C:\ WINDOWS \ system32>

4。 到达最后时,您应该看到您的新域,然后单击启用按钮。 您实际上还应该看到其他域。

5。 重新启动门户

jovirus
3楼-- · 2020-09-16 05:18

关于"如果有其他解决方案,也可以共享。" 您还可以将SAP合作伙伴产品用于ABAP或JAVA堆栈上的SSO,而不仅仅是SAP SSO产品。

如果在用户登录到门户网站时只需要Kerberos SSO,也可以在JAVA堆栈上使用SPNEGO(免费)。

一周热门 更多>