施工企业质量管理制度广州市口碑seo推广外包

在日常实践中，为了确保用户账户安全和用户体验，SAP客户会配置单点登录(SSO)，用户在使用SAP系统时不需要输入用户名密码，只需单击系统就可以直接开始系统操作。如下图所示，SAP针对不同环境和终端模式提供了不同的SSO技术方式。本篇分享的是ABAP系统通过与Windows AD域集成以Kerberos的方式实现SAPGUI的单点登录。

下图是通过与公司Windows域集成实现单点登录的流程图。用户通过域账号登录Windows系统后，AD会将Kerberos Token返回给用户，然后用户通过SAPGUI打开SAP系统，Kerberos Token就会以SNC的方式传递给SAP系统，Token经过校验后可以直接进入SAP界面。

具体的配置步骤如下。

介质下载

需要说明的是，SAP SSO产品是需要License的，需要提前确认是否购买。配置过程中至少需要下面的介质。

• SAPCRYPTOLIBP 比如SAPCRYPTOLIBP_8536-20011697.SAR

• Secure Login Client 比如SAPSetupSLC02_8-80001954.EXE

AD账号创建

配置过程中需要用到一个AD账号以实现SAP系统与AD系统的通讯。AD账号创建的要求如下：

• AD账号名：SAPService

• AD账号密码：强复杂度密码，并设置不允许修改密码和用户永不过期

• 设置账号属性servicePrincipalName=SAP/SAPService

ABAP系统配置

登录SAP系统后，执行事务码SNCWIZARD根据向导进行配置。

SNC Identity

Default Profile Parameters，单击继续会将相关参数写到Default参数文件中。

Server Instance Status

重启SAP系统后，执行事务码SNCWIZARD继续配置。

新打开的窗口中，单击新建按钮将之前创建的AD账号加入。

本篇未配置X.509 Credentials。

单击Complete完成配置。

安装Secure Login Client

在用户安装SAPGUI的电脑上安装客户端Secure Login Client。安装步骤非常简单，只需单击下一步到完成即可。

安装完成后，在Windows电脑状态栏就会出现Secure Login Client客户端，双击打开就会看到自己的AD账号及Token。

用户映射

SSO配置完成后，需要将SAP账号和AD账号进行匹配。在实践中都是通过批处理的方式进行用户映射。如下图所示，SAP用户SNC属性页中配置的是自己的域账号信息。

SAPGUI配置

所有一切准备完成后，SAPGUI需要打开SNC选项并配置SPN属性信息。

最后双击系统进行测试，成功登录后会有如下提示。

升级CommonCryptoLib

CommonCryptoLib介质包括SSO配置的库文件与工具，这些库文件和工具在Kernel中已集成，但在实践中强烈建议升级到最新版本。升级步骤与Kernel升级步骤一样，请阅读SAP Kernel那点事(一)。可以通过如下命令确认版本，比如版本8.5.36。

> sapgenpse cryptinfo

SSO配置回滚

在实践中，由于一些原因需要更改SSO配置信息，比如域名更改或者域账号更改等，首先需要进行SSO配置回滚，然后再重新进行配置。回滚的步骤主要包括参数删除和VNC PSE删除。

SSO相关配置参数都保存在DEFAULT参数文件中，只需删除相关配置参数即可。

VNC PSE配置会在SAP服务器上生成文件$(DIR_INSTANCE)/sec/SAPSNCS.pse，直接删除文件是不行的。正确的步骤是需要执行事务码STRUST，然后选择SNC PSE节点，进入编辑模式，右键SNC SAPCryptolib，选择delete。最后可以进入事务码SNCCONFIG确认Default SNC Identity变为空，最后重启SAP系统。

欢迎分享-点赞-点击“在看”