基于sap netweaver ep的單點(diǎn)登錄(sso)

1、三一重工門戶商業(yè)智能項(xiàng)目培訓(xùn)文檔jil@基于基于SAPWeaverEP的單點(diǎn)登陸的單點(diǎn)登陸（SSO）1介紹介紹幾乎所有的門戶系統(tǒng)在實(shí)施的過程中都會(huì)出現(xiàn)門戶系統(tǒng)和后臺(tái)Web應(yīng)用集成的場(chǎng)景。有一些應(yīng)用系統(tǒng)可能就是SAP系統(tǒng)（這些提供Web訪問的工具包括：ITS、BSP或者WebDynpro），同時(shí)有些系統(tǒng)也可能是nonSAP系統(tǒng)。該文檔針對(duì)兩種基于SAPWeaverEP的實(shí)現(xiàn)單點(diǎn)登錄的方法：SAPLogonTicket（SAP登錄票）和Us

2、erMapping（用戶映射）。[注：本文檔不描述針對(duì)數(shù)字證書的方式和非瀏覽器環(huán)境的后臺(tái)系統(tǒng)]2什么是什么是SingleSignOnSingleSignOn簡(jiǎn)稱SSO，通常被描述為允許終端用戶只進(jìn)行一次驗(yàn)證就可以登錄多個(gè)應(yīng)用。SAPWeaverEP允許多種方式來實(shí)現(xiàn)于Web應(yīng)用的單點(diǎn)登錄，該文檔假設(shè)用戶的業(yè)務(wù)場(chǎng)景是采用門戶系統(tǒng)來代替后臺(tái)Web應(yīng)用來實(shí)現(xiàn)用戶的認(rèn)證。3Ptal到Web的單點(diǎn)登陸策略的單點(diǎn)登陸策略3.1SAPLogonTic

3、ket這種策略是采用存放在用戶瀏覽器端的cookie來實(shí)現(xiàn)認(rèn)證信息的存放。一旦在瀏覽器中存放了cookie以后，cookie會(huì)隨著用戶訪問Ptal中的各個(gè)業(yè)務(wù)系統(tǒng)轉(zhuǎn)發(fā)到各個(gè)后臺(tái)系統(tǒng)中，但這里有個(gè)前提，就是Ptal和各個(gè)后臺(tái)系統(tǒng)是分布在同一個(gè)域里面的。當(dāng)后臺(tái)Web應(yīng)用獲取到cookie信息以后，它必須知道如何來處理認(rèn)證信息。如果后臺(tái)是SAP系統(tǒng)，那么兩者的集成是有先天的優(yōu)勢(shì)的，SAP系統(tǒng)之間已經(jīng)內(nèi)建了相互的認(rèn)證機(jī)制，可以很方便的解析這些加

4、密的認(rèn)證信息，如果是nonSAP系統(tǒng)，SAP也提供了多種可以處理加密認(rèn)證信息的工具和管理SAPLogonTicketcookie的框架。優(yōu)點(diǎn)：優(yōu)點(diǎn)：降低企業(yè)降低企業(yè)IT系統(tǒng)的維護(hù)成本系統(tǒng)的維護(hù)成本：使用SAPLogonTicket后，后臺(tái)系統(tǒng)完全“信任”SAPPtal的認(rèn)證信息，ptal不在cookie中傳遞用戶的密碼給后端Web應(yīng)用。所以后端系統(tǒng)就不需要手工管理用戶密碼，也不需要在各個(gè)業(yè)務(wù)系統(tǒng)之間同步密碼，大大降低了IT系統(tǒng)的維護(hù)成本

5、。三一重工門戶商業(yè)智能項(xiàng)目培訓(xùn)文檔jil@在這種情況下，用后臺(tái)系統(tǒng)中的幾個(gè)一般性的用戶來代表幾種不同訪問權(quán)限，而不需要為每個(gè)Ptal用戶建立單獨(dú)的用戶將更有吸引力。舉個(gè)例子，假設(shè)后臺(tái)系統(tǒng)有兩種顯示數(shù)據(jù)的級(jí)別——經(jīng)理和員工。用一般性用戶映射時(shí)，只需要建立兩個(gè)后臺(tái)系統(tǒng)的用戶——用戶“經(jīng)理”和用戶“員工”。每個(gè)ptal用戶映射到這兩個(gè)用戶之一。這種方法簡(jiǎn)化了后臺(tái)系統(tǒng)的用戶管理（只需管理兩個(gè)用戶）。缺點(diǎn)和局限性缺點(diǎn)和局限性映射的維護(hù)量大映射的維

6、護(hù)量大：需要在ptal系統(tǒng)中維護(hù)后臺(tái)系統(tǒng)的用戶名密碼。這個(gè)維護(hù)的工作量可能比較大，比如假如后臺(tái)系統(tǒng)的密碼需要每個(gè)月?lián)Q一次，則ptal里也需要做相應(yīng)的修改。此外，如果允許用戶維護(hù)自己的用戶映射屬性，就需要成立一個(gè)支持團(tuán)隊(duì)來處理用戶鎖定、忘記密碼等情況。安全：安全：ptal中存儲(chǔ)密碼始終是一個(gè)安全隱患。在兩個(gè)地方（ptal和后臺(tái)系統(tǒng)中）維護(hù)密碼也是不安全的。另外，用戶映射方式在網(wǎng)路上傳輸用戶名和密碼到后臺(tái)系統(tǒng)，在網(wǎng)絡(luò)上也可能監(jiān)聽到密碼。用戶

7、映射需要的擴(kuò)展或工作方式用戶映射需要的擴(kuò)展或工作方式安全通信安全通信：當(dāng)使用用戶映射方式時(shí)必須強(qiáng)制使用SSL和后臺(tái)系統(tǒng)進(jìn)行通信，否則密碼會(huì)被完全暴露給網(wǎng)上進(jìn)行監(jiān)聽的不懷好意的人?；诮M或角色的映射基于組或角色的映射：映射ptal中的組或角色到后臺(tái)系統(tǒng)會(huì)減少管理員的工作量。盡管如此，需要指出的是用戶映射不容易管理，同時(shí)只要一個(gè)用戶能管理自己用戶映射到單個(gè)系統(tǒng)，他就能對(duì)ptal中所有被映射的系統(tǒng)進(jìn)行管理。改進(jìn)的個(gè)性化改進(jìn)的個(gè)性化：SAPPt

8、al為每個(gè)可以進(jìn)行用戶映射的用戶提供了標(biāo)準(zhǔn)的個(gè)性化窗口。但是，個(gè)性化工具有一個(gè)明顯的缺點(diǎn)：需要用戶知道ptal中的系統(tǒng)別名和后臺(tái)系統(tǒng)的關(guān)系。在廣泛使用用戶映射，并且以上描述情況很可能會(huì)發(fā)生的情況下，建議創(chuàng)建一個(gè)可以被用來為特別系統(tǒng)處理用戶映射的定制iView。這個(gè)iView可以嵌進(jìn)相關(guān)的wkset，因此最終用戶會(huì)更加清楚他正在管理的是什么用戶映射。從技術(shù)的角度，上面所描述的iView只需要簡(jiǎn)單地使用UME（用戶管理引擎）的API。API