点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
专家们,
这是针对BI4(BOBJ)裂纹的。 我已经使用Tomcat/Vintela大量时间基于AD/Kerberos为BO配置了SSO。 现在,我有一个客户,他在Linux和NetWeaver Java AS上运行他的BOBJ。
当前使用SAP ID(SAP R3用户)认证,但是随着客户为有资格的系统(例如BW)引入SSO(SNC),BW用户在不久的将来将没有密码。 目标是实现BI启动板的SSO和客户端工具(例如WebI Rich Client oder Analytics Office)的LDAP身份验证。
我的想法是利用可信身份验证。 客户拥有SAP SSO 3.0和安全登录服务器,因此所有用户都具有X.509证书。 客户也正在运行ADFS(SAML IdP),因此可以同时使用X.509或SAML-Assertions。 肯定可以通过NetWeaver上的LoginModules支持这两者,很清楚如何进行设置。
挑战: SAP系统和AD中的用户名(例如证书或SAML声明)不同。
我发现了一些矛盾的信息,例如一张表,该表描述了对BI启动板的单点登录支持的方法,该表说,受信任的身份验证仅适用于身份验证模式"企业"而不适用于LDAP。 在其他文档中,我能够看到它似乎也适用于LDAP。
我们希望避免创建企业用户,因此我计划从一个AD组导入用户并使用LDAP身份验证,但是我不确定LDAP和可信身份验证在此特定环境中是否有效。
据我所知,受信任的身份验证仅适用于BI Launchpad或ODoc,但不适用于诸如WebI或AO之类的Rich Client,因此在任何情况下都将需要LDAP来允许用户使用 SAP R3凭据。
SSO到BW已通过STS(MYSAPSSO2)建立,并且应该在执行可信身份验证后才能工作。
有人在特定情况下有很好的经验吗? 希望获得更多有关此的信息。
干杯,Carsten
如果您使用的是可信身份验证,则BI 4.2 SP5中已对其进行了增强,以提供更清晰的文档和增强功能,以允许与SAML甚至ADFS进行更深入的集成。
受信任的身份验证将与AD,LDAP和企业别名一起使用,此外,通过设置(trusted.auth.namespace.enabled),如果受信任的身份验证用户名不等于映射的帐户名,您可以创建一个绑定。 此操作将在第一次尝试SSO时提示用户),此后将为该帐户附加一个secexternal别名,即SAML用户名" user1"现在可以使用LDAP用户名" userone"将SSO转换为BI。 我不确定这是否适合您的情况(用户必须知道其映射的用户/密码)。
关于客户端工具,SSO的唯一方法是AD kerberos,它需要AD插件(Windows上为CMS)可以手动登录所有方法(AD,LDAP,Enterprise或SAP
https://apps.support.sap.com/ sap/support/knowledge/preview/zh/1795949
-蒂姆
非常有用,谢谢蒂姆!
一周热门 更多>