《基于SAP NetWeaver EP的单点登录(SSO)》由会员分享,可在线阅读,更多相关《基于SAP NetWeaver EP的单点登录(SSO)(30页珍藏版)》请在金锄头文库上搜索。
1、 三一重工门户/商业智能项目培训文档 基于SAP NetWeaver EP的单点登陆(SSO)1 介绍几乎所有的门户系统在实施的过程中都会出现门户系统和后台Web应用集成的场景。有一些应用系统可能就是SAP系统(这些提供Web访问的工具包括:ITS、BSP或者Web Dynpro),同时有些系统也可能是non-SAP系统。该文档针对两种种基于SAPP NetWWeaverr EP的实实现单点登录录的方法:SSAP Loogon TTickett(SAP登登录票)和UUser MMappinng(用户映映射)。注:本文档不不描述针对数数字证书的方方式和非浏览览器环境的后后台系统2 什么是Sing
2、gle-Siign-OnnSingle-Sign-On简称SSSO,通常常被描述为允允许终端用户户只进行一次次验证就可以以登录多个应应用。SAP NettWeaveer EP允允许多种方式式来实现于WWeb应用的的单点登录,该该文档假设用用户的业务场场景是采用门门户系统来代代替后台Weeb应用来实实现用户的认认证。3 Portal到到Web的单单点登陆策略略3.1 SAP Loggon Tiicket这种策略是采用用存放在用户户浏览器端的的cookiie来实现认认证信息的存存放。一旦在在浏览器中存存放了coookie以后后,cookkie会随着着用户访问PPortall中的各个业业务系统转发发
3、到各个后台台系统中,但但这里有个前前提,就是PPortall和各个后台台系统是分布布在同一个域域里面的。当后台Web应应用获取到ccookiee信息以后,它它必须知道如如何来处理认认证信息。如如果后台是SSAP系统,那那么两者的集集成是有先天天的优势的,SSAP系统之之间已经内建建了相互的认认证机制,可可以很方便的的解析这些加加密的认证信信息,如果是是non-SSAP系统,SSAP也提供供了多种可以以处理加密认认证信息的工工具和管理SSAP Loogon TTickett cookkie的框架架。优点:降低企业IT系系统的维护成成本:使用SAPP Logoon Ticcket后,后台系统统完全
4、“信任”SAP PPortall的认证信息息,porttal不在cookkie中传递递用户的密码码给后端Weeb应用。所所以后端系统统就不需要手手工管理用户户密码,也不不需要在各个个业务系统之之间同步密码码,大大降低低了IT系统统的维护成本本。SAP标准的单单点登陆(SSSO)机制制:所有新发发布的SAPP系统(包括括一些旧的SSAP系统)内内建了基于SSAP Loogon TTickett实现单点登登陆的机制,所所以当我们集集成SAP系系统时,需要要作很少的工工作,通过简简单的配置就就可以实现。限制:用户存储策略:SAP的企企业门户只能能为每个登陆陆用户建立一一个存放用户户信息的Coooki
5、e,所所以当采用SSAP Loogon TTickett这种方式来来连接多个后后台系统时,先先决条件是所所有的这些系系统必须要有有一个相同的的用户存储(在在门户系统项项目中,统一一用户存储将将是一个项目目的难点)。使用登陆票来实现单点登陆最简单的场景是:门户系统的用户名与各后台系统的用户名相同。与用户映射的冲冲突:某些SAPP开发框架,例例如BSP,支支持SAP Logonn Tickket或者UUser MMappinng,一个后后端系统一旦旦采用了SAAP Loggon Tiicket cookiie来传送用用户信息就不不能使用Usser Maappingg。原因是一个采采用相同用户户名来
6、建Seessionn,一个是不不一样的用户户名。3.2 User Maappingg用户映射是一种种单点登录的的实现方式,它它的实现过程程是porttal服务器器向后台系统统传递用户名名和密码,从从而完成登录录过程。当连连接到webb应用系统时时,用户映射射意味着通过过请求的POOST或GEET方法传递递用户名和密密码。有两种主要的用用户映射实现现方法单独的用用户映射和一一般的用户映映射单独的用户映射射单独的用户映射射中每个Poortal用用户被指定到到一个唯一的的后台系统用用户。用户自自己或管理员员都可以完成成指定。一般的用户映射射一般的用户映射射中多个用户户被映射到一一个后台系统统的用户。
7、用用这种方法时时,为了避免免多个用户用用同一个后台台系统用户而而产生冲突,通通常由管理员员来维护用户户名和密码的的映射。用户映射的好处处和优点最小的技术调整整:只要后台系系统能从请求求中接受用户户名和密码,就就不需要在后后台系统上做做任何配置。在在portaal端,也只只需很少的配配置,只需要要创建一个系系统对象并选选好用户映射射类型(“UIDPWW”代表用户名名和密码)。 简化后台台用户管理(用用一般用户映映射时):用凭票方式式实现单点登登录,需要后后台系统管理理所有可能登登录进该系统的用户。这这可能需要在在后台系统中中创建成千上上万个与poortal系系统对应的用用户。在这种情况下,用用后
8、台系统中中的几个一般般性的用户来来代表几种不不同访问权限限,而不需要要为每个Poortal用用户建立单独独的用户将更更有吸引力。举举个例子,假假设后台系统统有两种显示示数据的级别经理和员员工。用一般般性用户映射射时,只需要要建立两个后后台系统的用用户用户“经理”和用户“员工”。每个poortal用用户映射到这这两个用户之之一。这种方方法简化了后后台系统的用用户管理(只只需管理两个个用户)。缺点和局限性 映射的的维护量大:需要在poortal系系统中维护后后台系统的用用户名/密码码。这个维护护的工作量可可能比较大,比比如假如后台台系统的密码码需要每个月月换一次,则则portaal里也需要要做相应
9、的修修改。此外,如如果允许用户户维护自己的的用户映射属属性,就需要要成立一个支支持团队来处处理用户锁定定、忘记密码码等情况。安全:porttal中存储储密码始终是是一个安全隐隐患。在两个个地方(poortal和和后台系统中中)维护密码码也是不安全全的。另外,用用户映射方式式在网路上传传输用户名和和密码到后台台系统,在网网络上也可能能监听到密码码。用户映射需要的的扩展或工作作方式安全通信:当使使用用户映射射方式时必须须强制使用SSSL和后台台系统进行通通信,否则密密码会被完全全暴露给网上上进行监听的的不怀好意的的人。基于组或角色的的映射:映射porrtal中的的组或角色到到后台系统会会减少管理员
10、员的工作量。尽尽管如此,需需要指出的是是用户映射不不容易管理,同同时只要一个个用户能管理理自己用户映映射到单个系系统,他就能能对porttal中所有有被映射的系系统进行管理理。改进的个性化:SAP PPortall为每个可以以进行用户映映射的用户提提供了标准的的个性化窗口口。但是,个个性化工具有有一个明显的的缺点:需要要用户知道pportall中的系统别别名和后台系系统的关系。在广泛使用用户户映射,并且且以上描述情情况很可能会会发生的情况况下,建议创创建一个可以以被用来为特特别系统处理理用户映射的的定制iViiew。这个个iVieww可以嵌进相相关的worrkset,因因此最终用户户会更加清楚
11、楚他正在管理理的是什么用用户映射。从从技术的角度度,上面所描描述的iViiew只需要要简单地使用用UME(用用户管理引擎擎)的APII。API提提供了的sttoreLoogonDaata方法,提提供了存储用用户映射数据据到UME的的功能。开发发手册参见:httpp:/m/htmll/submmittedd_docss/ume/ume400_0_inndex.hhtm4利用SAP Logonn Tickket集成SSAP ECCC系统4.1原理与流流程SAP登录票据据代表着用户户的有效令牌牌,它在用户户成功登陆pportall之后产生。它它是以coookie的形形式存在于客客户机的浏览览器端,客
12、户户机的每一次次请求它都会会被发送。SSAP登录票票据存储了登登录用户的验验证信息,但但是并不存储储用户的密码码。SAP Logonn Tickket包含以以下信息:有有效期、发布布系统、发布布系统的数字字签名、poortal ID、Usser IDD。Logon TTickett方式实现登登录过程的流流程:登录过程:门户本身作为生生成票据的服服务器,运作作的原理如下下:Portal服服务器第一次次启动的时候候,它会生成成一对密钥,其其中私钥用于于登录票据的的生成,公钥钥用于票据的的解析,所以以需要在poortal里里下载公钥文文件并拷贝到到J2EE服服务器上。登录流程:用户凭用户名、密密码登
13、录PoortalPortal的的用户管理引引擎在存储用用户的数据库库或LDAPP服务器上验验证用户的登登录信息。3、验证成功后后,Porttal生成票票据(Loggon Tiicket),并并存储到用户户的浏览器的的cookiie中4、用户凭票登登录SAP或或非SAP系系统5、SAP系统统和某些非SSAP系统提提供Logoon Ticcket的解解析机制,某某些不提供LLogonTicket解解析机制的非非SAP系统统需要编程来来解析出用户户名,并到自自己的用户中中去查询是否否有这个用户户,如果有这这用这个用户户登录,若没没有,则登录录失败,显示示登陆界面。系统要求:SAP NettWeave
14、er Entterpriise Portall 6.400 sp9以以上SAP R3系系统,本例中中为ECC55.04.2实施步骤骤验证ITS和IICM配置用T-Codee RZ111 和SITTSPMONN 察看集成成ITS的状状态。T-Code SMICMM察看ICMM配置和状态态,确保ICCM在运行。并并通过Mennu-Gooto-PParameeters-Dispplay察看看icm/sserverr_portt_0和iccm/hosst_namme_fulll这两个参参数,实验中中值分别为PPORT=HHTTP,PPORT=88002和nneusofft-sapp.neussoft.
15、ccom用httpp:/R:8002/sap/ppublicc/pingg检测设置的的正确性(如如果不能piing通,首首先察看/ssap/puublic/ping服服务有没有激激活,若没有有,用事务SSICF)激活并发布WeebGUI服服务激活ICF服务务SAP GUII登陆进R33系统,执行行事务SICCF并定位到到/sap/publiic/bc/its/mmines和和/sap/bc/guui/sapp/its/webguui,右击并并选择激活服服务。发布IAC服务务进入事务SE880,定位到到Utiliities-Settting-Interrnet TTransaactionn Servver(Taab)-PPublissh(Tabb),设置SSelectted Siite为”INTERRNAL”.发布SYSTEEM和WEBBGUI在Internnet Seervicees中定位到到SYSTEEM和WEBBGUI,右右击选择Puublishh-Commpletee Servvice验证Web GGUI服务用httpp:/ R3hosstnamee.domaain.coom :80002/saap/bc/gui/ssap/itts/guii登陆webbgui
