三一重工门户/商业智能项目培训文档基于SAPNetWeaverEP的单点登陆(SSO)1介绍几乎所有的门户系统在实施的过程中都会出现门户系统和后台Web应用集成的场景。有一些应用系统可能就是SAP系统(这些提供Web访问的工具包括:ITS、BSP或者WebDynpro),同时有些系统也可能是non-SAP系统。该文档针对两种基于SAPNetWeaverEP的实现单点登录的方法:SAPLogonTicket(SAP登录票)和UserMapping(用户映射)。[注:本文档不描述针对数字证书的方式和非浏览器环境的后台系统]2什么是Single-Sign-OnSingle-Sign-On简称SSO,通常被描述为允许终端用户只进行一次验证就可以登录多个应用。SAPNetWeaverEP允许多种方式来实现于Web应用的单点登录,该文档假设用户的业务场景是采用门户系统来代替后台Web应用来实现用户的认证。3Portal到Web的单点登陆策略3.1SAPLogonTicket这种策略是采用存放在用户浏览器端的cookie来实现认证信息的存放。一旦在浏览器中存放了cookie以后,cookie会随着用户访问Portal中的各个业务系统转发到各个后台系统中,但这里有个前提,就是Portal和各个后台系统是分布在同一个域里面的。当后台Web应用获取到cookie信息以后,它必须知道如何来处理认证信息。如果后台是SAP系统,那么两者的集成是有先天的优势的,SAP系统之间已经内建了相互的认证机制,可以很方便的解析这些加密的认证信息,如果是non-SAP系统,SAP也提供了多种可jil@neusoft.com三一重工门户/商业智能项目培训文档以处理加密认证信息的工具和管理SAPLogonTicketcookie的框架。优点:降低企业IT系统的维护成本:使用SAPLogonTicket后,后台系统完全“信任”SAPPortal的认证信息,portal不在cookie中传递用户的密码给后端Web应用。所以后端系统就不需要手工管理用户密码,也不需要在各个业务系统之间同步密码,大大降低了IT系统的维护成本。SAP标准的单点登陆(SSO)机制:所有新发布的SAP系统(包括一些旧的SAP系统)内建了基于SAPLogonTicket实现单点登陆的机制,所以当我们集成SAP系统时,需要作很少的工作,通过简单的配置就可以实现。限制:用户存储策略:SAP的企业门户只能为每个登陆用户建立一个存放用户信息的Cookie,所以当采用SAPLogonTicket这种方式来连接多个后台系统时,先决条件是所有的这些系统必须要有一个相同的用户存储(在门户系统项目中,统一用户存储将是一个项目的难点)。使用登陆票来实现单点登陆最简单的场景是:门户系统的用户名与各后台系统的用户名相同。与用户映射的冲突:某些SAP开发框架,例如BSP,支持SAPLogonTicket或者UserMapping,一个后端系统一旦采用了SAPLogonTicketcookie来传送用户信息就不能使用UserMapping。原因是一个采用相同用户名来建Session,一个是不一样的用户名。3.2UserMapping用户映射是一种单点登录的实现方式,它的实现过程是portal服务器向后台系统传递用户名和密码,从而完成登录过程。当连接到web应用系统时,用户映射意味着通过请求的POST或GET方法传递用户名和密码。有两种主要的用户映射实现方法——单独的用户映射和一般的用户映射单独的用户映射单独的用户映射中每个Portal用户被指定到一个唯一的后台系统用户。用户自己或管理员都可以完成指定。jil@neusoft.com三一重工门户/商业智能项目培训文档一般的用户映射一般的用户映射中多个用户被映射到一个后台系统的用户。用这种方法时,为了避免多个用户用同一个后台系统用户而产生冲突,通常由管理员来维护用户名和密码的映射。用户映射的好处和优点最小的技术调整:只要后台系统能从请求中接受用户名和密码,就不需要在后台系统上做任何配置。在portal端,也只需很少的配置,只需要创建一个系统对象并选好用户映射类型(“UIDPW”代表用户名和密码)。简化后台用户管理(用一般用户映射时):用凭票方式实现单点登录,需要后台系统管理所有可能登录进该系统的用户。这可能需要在后台系统中创建成千上万个与portal系统对应的用户。在这种情况下,用后台系统中的几个一般性的用户来代表几种不同访问权限,而不需要为每个Portal用户建立单独的用户将更有吸引力。举个例子,假设后台系统有两种显示...
