SSO - SAPGUI 前端 - 常规 SAP 指南

SSO - SAPGUI 前端

SAPGUI 是 SAP ERP 三层架构(数据库、应用程序服务器和客户端)中的图形用户界面客户端,需安装在运行 Windows、macOS 或 Linux 系统的本地桌面设备上。

要在 RISE with SAP 中实现 SAPGUI 的单点登录(SSO),我们必须使用 Kerberos 或 X.509 方法。AWS 建议不要使用 Kerberos 方法,因为此方法需要用户始终连接到企业网络,并通过 Microsoft Active Directory 进行身份验证,而这会降低用户的移动办公灵活性。因此,建议使用 X.509 方法。

借助 SAP Secure Login Service on BTP,可通过 X.509 方法实现 SAPGUI 单点登录,下图说明了此集成的工作原理。

适用于 SAPGUI 前端的 SSO

身份验证流程

  1. 用户通过桌面设备访问 SAPGUI。

  2. SAP S/4HANA 将身份验证请求重定向到 SAP Secure Login Service。

  3. SAP Secure Login Service 将身份验证工作委派给 SAP Cloud Identity Service。

  4. 在 SAP Cloud Identity Service 集成到 IdP(即 Azure AD、Okta、Ping 等)后,IdP 将对用户进行身份验证。

  5. 在用户通过 IdP 的身份验证后,SAP Secure Login Service 会将 X.509 提供给 SAPGUI。

  6. 用户可在 RISE with SAP VPC 中访问 SAP S/4HANA。

有关如何执行此操作的更多信息,您可以参阅 Securing SAP GUI with SAP Secure Login Service