基于sapnetweaverep的单点登录(sso).pdf

三一重工门户/商业智能项目培训文档 基 于 SAP NetWeaver EP 的 单 点 登 陆 （SSO） 1 介绍 几乎所有的门户系统在实施的过程中都会出现门户系统和后台 Web 应用集成的场景。 有一些应用系统可能就是 SAP 系统（这些提供 Web 访问的工具包括：ITS 、BSP 或者 Web Dynpro ），同时有些系统也可能是non-SAP 系统。 该文档针对两种基于 SAP NetWeaver EP 的实现单点登录的方法：SAP Logon Ticket （SAP 登录票）和 User Mapping （用户映射）。 [注：本文档不描述针对数字证书的方式和非浏览器环境的后台系统] 2 什么是 Single-Sign-On Single-Sign-On 简称 SSO，通常被描述为允许终端用户只进行一次验证就可以登录多个 应用。 SAP NetWeaver EP 允许多种方式来实现于 Web 应用的单点登录，该文档假设用户的业 务场景是采用门户系统来代替后台 Web 应用来实现用户的认证。 3 Portal 到 Web 的单点登陆策略 3.1 SAP Logon Ticket 这种策略是采用存放在用户浏览器端的 cookie 来实现认证信息的存放。一旦在浏览器 中存放了cookie 以后，cookie 会随着用户访问 Portal 中的各个业务系统转发到各个后台系统 中，但这里有个前提，就是Portal 和各个后台系统是分布在同一个域里面的。 当后台Web 应用获取到 cookie 信息以后，它必须知道如何来处理认证信息。如果后台 是 SAP 系统，那么两者的集成是有先天的优势的，SAP 系统之间已经内建了相互的认证机 制，可以很方便的解析这些加密的认证信息，如果是 non-SAP 系统，SAP 也提供了多种可 以处理加密认证信息的工具和管理SAP Logon Ticket cookie 的框架。 优点： 降低企业 IT 系统的维护成本：使用 SAP Logon Ticket 后，后台系统完全 “信任”SAP Portal 的认证信息，portal 不在 cookie 中传递用户的密码给后端Web 应用。所以后端系统就 不需要手工管理用户密码，也不需要在各个业务系统之间同步密码，大大降低了 IT 系统的 维护成本。 jil@ 三一重工门户/商业智能项目培训文档 SAP 标准的单点登陆（SSO）机制：所有新发布的 SAP 系统（包括一些旧的 SAP 系统） 内建了基于SAP Logon Ticket 实现单点登陆的机制，所以当我们集成 SAP 系统时，需要作 很少的工作，通过简单的配置就可以实现。 限制： 用户存储策略：SAP 的企业门户只能为每个登陆用户建立一个存放用户信息的Cookie ， 所以当采用 SAP Logon Ticket 这种方式来连接多个后台系统时，先决条件是所有的这些系统 必须要有一个相同的用户存储（在门户系统项目中，统一用户存储将是一个项目的难点）。 使用登陆票来实现单点登陆最简单的场景是：门户系统的用户名与各后台系统的用户名相同。 与用户映射的冲突：某些 SAP 开发框架，例如 BSP ，支持 SAP Logon Ticket 或者 User Mapping ，一个后端系统一旦采用了 SAP Logon Ticket cookie 来传送用户信息就不能使用 User Mapping 。原因是一个采用相同用户名来建 Session，一个是不一样的用户名。 3.2 User Mapping 用户映射是一种单点登录的实现方式，它的实现过程是 portal 服务器向后台系统传递用 户名和密码，从而完成登录过程。当连接到 web 应用系统时，用户映射意味着通过请求的 POST 或 GET 方法传递用户名和密码。 有两种主要的用户映射实现方法——单独的用户映射和一般的用户映射 单独的用户映射 单独的用户映射中每个 Portal 用户被指定到一个唯一的后台系统用户。用户自己或管理 员都可以完成指定。 一般的用户映射 一般的用户映射中多个用户被映射到一个后台系统的用户。用这种方法时，为了避免多 个用户用同一个后台系统用户而产生冲突，通常由管理员来维护用户名和密码的映射。 用户映射的好处和优点