SAP 安全 - 登录票证

您可以配置数字签名的 SAP 登录票证，以配置单点登录以访问 SAP 环境中的集成应用程序。您可以配置门户以向用户颁发 SAP 登录票证，并且用户需要验证该系统才能进行初始访问。当 SAP 登录票证发放给用户时，它们会保存在 Web 浏览器中，并允许用户使用 SSO 登录到不同的系统。

在 ABAP 应用程序服务器中，可以配置两种不同类型的登录票证 -

登录票证- 这些票证允许使用 SSO 方法进行基于 Web 的访问。
身份验证断言票证- 这些票证用于系统到系统的通信。

要配置 SAP 登录票证，应在用户配置文件中设置以下参数。

登录/accept_sso2_ticket

您可以使用单点登录 (SSO) 票证来允许 SAP 系统之间乃至非 SAP 系统之间进行 SSO。SSO 票证可以是登录票证或断言票证。登录票证作为名称为MYSAPSSO2 的cookie 进行传输。断言票证作为名称为 MYSAPSSO2 的 HTTP 标头变量进行传输。

注- 这需要额外的配置步骤来发布和接受系统。SSO 组件系统应允许通过 SSO 票证登录 (login/accept_sso2_ticket = 1)。

如果仅使用过程（X.509 客户端证书）进行单点登录，或者如果您不想为此系统使用单点登录，则可以通过 SSO 票证停用此登录 (login/accept_sso2_ticket = 0）。

要设置参数，请使用事务RZ11

允许的值- 0 / 1

登录/创建_sso2_ticket

您可以使用单点登录 (SSO) 票证允许 SAP 系统之间甚至非 SAP 系统之间进行 SSO。SSO 票证可以是登录票证或断言票证。登录票证作为名为 MYSAPSSO2 的 cookie 进行传输。断言票证作为名称为 MYSAPSSO2 的 HTTP 标头变量进行传输。

注- 这需要额外的配置步骤来发布和接受系统。

发行系统应允许生成 SSO 票证 -

允许的值- 0 / 1 / 2 / 3

登录/ticket_expiration_time

为了在使用 mySAP.com Workplace 时实现单点登录 (SSO)，可以使用 SSO 票证。创建SSO票据时，您可以设置有效期。一旦过期，SSO 票证将无法再用于登录工作场所组件系统。然后，用户需要再次登录工作场所服务器以获取新的 SSO 票证。

允许的值- <小时>[:<分钟>]

如果输入的值不正确，则使用默认值（8 小时）。

正确的值如下所示 -

24 → 24 小时
1:30 → 1小时30分钟
0:05 → 5 分钟

不正确的值如下 -

40（0:40 是正确的）
0:60（1 是正确的）
10:000（10 是正确的）
24：（24是正确的）
1：A3

X.509 客户端证书

通过 SSO 方法，您可以使用 X.509 客户端证书来验证 NetWeaver 应用程序服务器。客户端证书使用非常强大的加密方法来保护用户对 NetWeaver 应用程序服务器的访问，因此您的 NetWeaver 应用程序服务器应该启用强大的加密技术。

您应该在 SAP NetWeaver 应用程序服务器上配置 SSL，因为使用 SSL 协议进行身份验证，无需输入任何用户名和密码。要使用 SSL 协议，需要 HTTPS 连接才能在 Web 浏览器和 NetWeaver ABAP 应用程序服务器之间进行通信。

安全断言标记语言 (SAML2.0)

SAML2.0 可用作单点登录 SSO 的身份验证，并且支持跨不同域的 SSO。SAML 2.0 由名为 OASIS 的组织开发。它还提供单点注销选项，这意味着当用户从所有系统注销时，SAP 系统中的服务提供者会通知身份提供者，身份提供者又注销所有会话。

以下是使用 SAML2.0 身份验证的优点 -

您可以减少维护托管应用程序的系统到其他系统的身份验证的开销。
您还可以维护外部服务提供商的身份验证，而无需维护系统中的用户身份。
所有系统中的单一注销选项。
自动映射用户帐户。

Kerberos 身份验证

您还可以通过 Web 客户端和 Web 浏览器进行访问，对 SAP NetWeaver 应用程序服务器使用 Kerberos 身份验证。它使用简单且受保护的 GSS API 协商机制SPNego，该机制还需要单点登录 SSO 2.0 或更高版本以及附加许可证才能使用此身份验证。SPNego不支持传输层安全，因此建议使用 SSL 协议添加传输层安全来与 NetWeaver 应用服务器通信。

在上面的屏幕截图中，您可以看到可以在用户配置文件中配置用于身份验证目的的不同身份验证方法。

SAP中的每种身份验证方法都有自己的优点，并且可以在不同的场景中使用。