1、 三一重工门户/商业智能项目培训文档 基于 SAP NetWeaver EP 的单点登陆(SSO)1 介绍几乎所有的门户系统在实施的过程中都会出现门户系统和后台 Web 应用集成的场景。有一些应用系统可能就是 SAP 系统(这些提供 Web 访问的工具包括:ITS、BSP 或者 Web Dynpro) ,同时有些系统也可能是 non-SAP 系统。该文档针对两种基于 SAP NetWeaver EP 的实现单点登录的方法:SAP Logon Ticket(SAP 登录票)和 User Mapping(用户映射) 。注:本文档不描述针对数字证书的方式和非浏览器环境的后台系统2 什么是 Singl
2、e-Sign-OnSingle-Sign-On 简称 SSO,通常被描述为允许终端用户只进行一次验证就可以登录多个应用。SAP NetWeaver EP 允许多种方式来实现于 Web 应用的单点登录,该文档假设用户的业务场景是采用门户系统来代替后台 Web 应用来实现用户的认证。3 Portal 到 Web 的单点登陆策略3.1 SAP Logon Ticket这种策略是采用存放在用户浏览器端的 cookie 来实现认证信息的存放。一旦在浏览器中存放了 cookie 以后,cookie 会随着用户访问 Portal 中的各个业务系统转发到各个后台系统中,但这里有个前提,就是 Portal 和各
3、个后台系统是分布在同一个域里面的。当后台 Web 应用获取到 cookie 信息以后,它必须知道如何来处理认证信息。如果后台是 SAP 系统,那么两者的集成是有先天的优势的,SAP 系统之间已经内建了相互的认证机制,可以很方便的解析这些加密的认证信息,如果是 non-SAP 系统,SAP 也提供了多种可以处理加密认证信息的工具和管理 SAP Logon Ticket cookie 的框架。优点:降低企业 IT 系统的维护成本:使用 SAP Logon Ticket 后,后台系统完全“信任”SAP Portal 的认证信息,portal 不在 cookie 中传递用户的密码给后端 Web 应用。
4、所以后端系统就不需要手工管理用户密码,也不需要在各个业务系统之间同步密码,大大降低了 IT 系统的维护成本。三一重工门户/商业智能项目培训文档 SAP 标准的单点登陆(SSO)机制:所有新发布的 SAP 系统(包括一些旧的 SAP 系统)内建了基于 SAP Logon Ticket 实现单点登陆的机制,所以当我们集成 SAP 系统时,需要作很少的工作,通过简单的配置就可以实现。限制:用户存储策略:SAP 的企业门户只能为每个登陆用户建立一个存放用户信息的Cookie,所以当采用 SAP Logon Ticket 这种方式来连接多个后台系统时,先决条件是所有的这些系统必须要有一个相同的用户存储(
5、在门户系统项目中,统一用户存储将是一个项目的难点) 。使用登陆票来实现单点登陆最简单的场景是:门户系统的用户名与各后台系统的用户名相同。与用户映射的冲突:某些 SAP 开发框架,例如 BSP,支持 SAP Logon Ticket 或者 User Mapping,一个后端系统一旦采用了 SAP Logon Ticket cookie 来传送用户信息就不能使用User Mapping。原因是一个采用相同用户名来建 Session,一个是不一样的用户名。3.2 User Mapping用户映射是一种单点登录的实现方式,它的实现过程是 portal 服务器向后台系统传递用户名和密码,从而完成登录过程
6、。当连接到 web 应用系统时,用户映射意味着通过请求的 POST 或 GET 方法传递用户名和密码。有两种主要的用户映射实现方法单独的用户映射和一般的用户映射单独的用户映射单独的用户映射中每个 Portal 用户被指定到一个唯一的后台系统用户。用户自己或管理员都可以完成指定。一般的用户映射一般的用户映射中多个用户被映射到一个后台系统的用户。用这种方法时,为了避免多个用户用同一个后台系统用户而产生冲突,通常由管理员来维护用户名和密码的映射。用户映射的好处和优点最小的技术调整:只要后台系统能从请求中接受用户名和密码,就不需要在后台系统上做任何配置。在 portal 端,也只需很少的配置,只需要创
7、建一个系统对象并选好用户映射类型(“UIDPW”代表用户名和密码) 。简化后台用户管理(用一般用户映射时):用凭票方式实现单点登录,需要后台系统管理所有可能登录进该系统的用户。这可能需要在后台系统中创建成千上万个与 portal 系统对应的用户。三一重工门户/商业智能项目培训文档 在这种情况下,用后台系统中的几个一般性的用户来代表几种不同访问权限,而不需要为每个 Portal 用户建立单独的用户将更有吸引力。举个例子,假设后台系统有两种显示数据的级别经理和员工。用一般性用户映射时,只需要建立两个后台系统的用户用户“经理”和用户“员工” 。每个 portal 用户映射到这两个用户之一。这种方法简
8、化了后台系统的用户管理(只需管理两个用户) 。缺点和局限性映射的维护量大:需要在 portal 系统中维护后台系统的用户名/密码。这个维护的工作量可能比较大,比如假如后台系统的密码需要每个月换一次,则 portal 里也需要做相应的修改。此外,如果允许用户维护自己的用户映射属性,就需要成立一个支持团队来处理用户锁定、忘记密码等情况。安全:portal 中存储密码始终是一个安全隐患。在两个地方(portal 和后台系统中)维护密码也是不安全的。另外,用户映射方式在网路上传输用户名和密码到后台系统,在网络上也可能监听到密码。用户映射需要的扩展或工作方式安全通信:当使用用户映射方式时必须强制使用 S
9、SL 和后台系统进行通信,否则密码会被完全暴露给网上进行监听的不怀好意的人。基于组或角色的映射:映射 portal 中的组或角色到后台系统会减少管理员的工作量。尽管如此,需要指出的是用户映射不容易管理,同时只要一个用户能管理自己用户映射到单个系统,他就能对 portal 中所有被映射的系统进行管理。改进的个性化:SAP Portal 为每个可以进行用户映射的用户提供了标准的个性化窗口。但是,个性化工具有一个明显的缺点:需要用户知道 portal 中的系统别名和后台系统的关系。在广泛使用用户映射,并且以上描述情况很可能会发生的情况下,建议创建一个可以被用来为特别系统处理用户映射的定制 iView
10、。这个 iView 可以嵌进相关的 workset,因此最终用户会更加清楚他正在管理的是什么用户映射。从技术的角度,上面所描述的 iView 只需要简单地使用 UME(用户管理引擎)的 API。API 提供了的 storeLogonData 方法,提供了存储用户映射数据到 UME 的功能。开发手册参见:http:/ 4 利用 SAP Logon Ticket 集成 SAP ECC 系统4.1 原理与流程SAP 登录票据代表着用户的有效令牌,它在用户成功登陆 portal 之后产生。它是以cookie 的形式存在于客户机的浏览器端,客户机的每一次请求它都会被发送。SAP 登录票据存储了登录用户的
11、验证信息,但是并不存储用户的密码。SAP Logon Ticket 包含以下信息:有效期、发布系统、发布系统的数字签名、portal ID 、User ID。Logon Ticket 方式实现登录过程的流程:P o r t a l 服务器C l i e n t1 、 用户名密码登录3 、 L o g o n T i c k e tU s e r P e r s i s t e n c e S t o r e( 如 L D A P )2 、 用户验证S A P 或非 S A P 系统4、凭票访问登录过程:门户本身作为生成票据的服务器,运作的原理如下:Portal 服务器第一次启动的时候,它会生成
12、一对密钥,其中私钥用于登录票据的生成,公钥用于票据的解析,所以需要在 portal 里下载公钥文件并拷贝到 J2EE 服务器上。登录流程:用户凭用户名、密码登录 PortalPortal 的用户管理引擎在存储用户的数据库或 LDAP 服务器上验证用户的登录信息。3、验证成功后,Portal 生成票据(Logon Ticket) ,并存储到用户的浏览器的 cookie 中4、用户凭票登录 SAP 或非 SAP 系统5、SAP 系统和某些非 SAP 系统提供 Logon Ticket 的解析机制,某些不提供 LogonTicket 解析机制的非 SAP 系统需要编程来解析出用户名,并到自己的用户中
13、去查询是否有这个用户,如果有这用这个用户登录,若没有,则登录失败,显示登陆界面。系统要求:SAP NetWeaver Enterprise Portal 6.40 sp9 以上SAP R3 系统,本例中为 ECC5.0三一重工门户/商业智能项目培训文档 4.2 实施步骤验证 ITS 和 ICM 配置用 T-Code RZ11 和 SITSPMON 察看集成 ITS 的状态。T-Code SMICM 察看 ICM 配置和状态,确保 ICM 在运行。并通过 Menu-Goto- Parameters-Display 察看 icm/server_port_0 和 icm/host_name_full
14、 这两个参数,实验中值分别为 PORT=HTTP,PORT=8002 和 neusoft-用 http:/R:8002/sap/public/ping 检测设置的正确性(如果不能ping 通,首先察看/sap/public/ping 服务有没有激活,若没有,用事务 SICF)激活并发布 WebGUI 服务激活 ICF 服务SAP GUI 登陆进 R3 系统,执行事务 SICF 并定位到/sap/public/bc/its/mines 和/sap/bc/gui/sap/its/webgui,右击并选择激活服务。发布 IAC 服务进入事务 SE80,定位到 Utilities-Setting-In
15、ternet Transaction Server(Tab)-Publish( Tab) ,设置 Selected Site 为”INTERNAL”.发布 SYSTEM 和 WEBGUI在 Internet Services 中定位到 SYSTEM 和 WEBGUI,右击选择 Publish-Complete Service验证 Web GUI 服务用 http:/ R :8002/sap/bc/gui/sap/its/gui 登陆 webgui。如果登陆不能成功,注意两点事项:是否在同一个域下可能 R3 kernel 版本过低EP 和 R3 配置的详细步骤1、导出 portal 的证书用管理
16、员身份登陆 EP,navigate 到 System Administration-System Configuration-Keystore Administration,在 content tab 中选择 SAPLogonTicketpair-cert(默认) ,选择Download verify.der File,并存到本地。三一重工门户/商业智能项目培训文档 2、导入 portal 的证书到 R3 系统运行事务/nstrustsso2,在 Certificate section 部分,选择 Import certificate, 浏览到从portal 中导出的证书 verify.der
17、。选择“Add to Certificate List” 选择 “Add to ACL” ,填写相应的 Portal 名和 System ID(system ID 就是 Portal 系统的 SID, Client 根据 Portal UME 中一个叫“login.ticket_client“的参数的值来设置)3、插入相应的参数到 R3 系统运行事务/nRZ10,选择 Profile Browse,选择 Instance Profile。选择 Change,确保login/create_sso2_ticket=2,login/accept_sso2_ticket=1,如果没有这两个参数,需手动
18、加入。4、在 portal 中建立系统,配置相应的参数System Administration-System Configuration-System landscape,右击 Portal Content,建立System 文件夹,并在文件夹下建立 SAP system using dedicated application server 的系统。三一重工门户/商业智能项目培训文档 5、系统中 ITS 的配置6、配置 user management:三一重工门户/商业智能项目培训文档 7、Connector 的配置:8、建别名,测试连接。9、建 iview,page,workset,role三一重工门户/商业智能项目培训文档 选择 SAP Transaction iView 类型选择 sap gui 类型选择建立的系统并输入 Tcode,如下:测试在 R3 和 EP 中建 test 用户(用户名必须一样)在 system 的 permission 中加入这个用户,并把刚建立的 role 分配给这个用户。用 test 用户登录 portal,浏览到刚分配的 role,单点登陆到 R3 的 Web GUI。效果三一重工门户/商业智能项目培训文档
