当前位置:主页 > 游戏服务器 > 资讯 >

轻量服务器_百度云管家下载_排行榜

  • 资讯
  • 2021-09-08 12:19
  • 动埠云

在我以前关于为SAP BusinessObjects Cloud(BOC)和HANA设置单点登录(SSO)的博客中(更改内容-在SAP BusinessObjects Cloud中使用SAML SSO设置远程HANA连接,以及从BusinessObject Cloud到HANA的单点登录-SAP Cloud标识的反向代理规则),我重点介绍了BOC中的SAML 2 SSO过程,HANA和SAML2身份提供程序(IdP)。虽然这满足了从BOC到HANA的SSO要求,但最终用户仍然必须首先针对SAML 2 IdP进行身份验证;通常情况下,这是大多数SAML 2 IdP默认的用户ID和密码登录。如今,谁还想记住另一对用户名和密码?用户只需打开浏览器书签中的BOC URL,就可以立即看到主屏幕或故事板?从技术上讲,这意味着用户需要能够从Web浏览器自动登录到SAML2IDP。主流的Web浏览器提供了三种不安装任何本机加载项的方法:X.509客户端证书身份验证、Kerberos/SPNego身份验证和NTLM。由于NTLM的安全性问题,目前唯一可行的解决方案是客户端证书认证和Kerberos/SPNego。这通常被称为Windows集成身份验证,但它也适用于其他操作系统平台,如MacOS。

在本文中,360大数据,我将向您介绍使用Kerberos/SPNego和SAML的端到端SSO的概念和配置。如果您对使用X.509客户端证书验证和SAML设置端到端SSO感兴趣,请查看另一个博客:使用客户端证书和SAML验证为SAP BusinessObjects Cloud和HANA创建端到端SSO体验。

下图显示了它的工作原理。该图是不言自明的,但需要指出的一点是,Kerberos身份验证是一种intranet解决方案,因为Web浏览器需要访问activedirectory的域控制器,而该域控制器几乎从未暴露在Internet上。尽管如此,如果您的最终用户仅在intranet中,Kerberos/SPNego身份验证仍然是首选的身份验证方法,轻淘客,因为Kerberos具有出色的身份验证性能。

除了我在以前的博客中阐述的SAML 2设置之外,为了实现上述设计,Kerberos/SPNego必须执行以下操作:

1。saml2idp需要配置Kerberos/SPNego。这一步骤因IdP而异,但通常意味着:1) 在Active Directory域控制器上创建表示SAML 2 IdP服务的服务用户。2) 向saml2idp提供服务用户的凭证,返利手游平台,人工智能工作,并将其配置为Kerberos。3) 在域控制器上,为SAML2IDPWeb服务器创建服务主体名称(SPN)。

2。由于SAML 2 IdP通过反向代理向Web浏览器公开,因此需要为反向代理创建额外的SPN。

如前所述,云服务器和普通服务器,实际步骤因您使用的SAML 2 IdP类型而异,但请看一下如何使用SAP NetWeaver SSO SAML 2 IdP和SAP Cloud Identity作为参考。

1。SAP NetWeaver SSO SAML 2 IdP1) 将Active Directory和NetWeaver上的Kerberos/SPNego配置为Java:将SAP NetWeaver上的Kerberos身份验证配置为Java

2)在IdP的基础上将Kerberos/SPNego配置为Java后,将Kerberos添加到IdP服务的身份验证上下文:添加自定义身份验证上下文2SAP云标识请参阅本文档,了解如何配置SAP Cloud Identity以支持Kerberos/SPNego:配置Kerberos身份验证。

如果您完成了上述步骤,现在可以放松一下,享受端到端SSO体验…如果您的Active Directory用户属于大量组,则不太可能。在这些情况下,SPNego令牌可能会变大到12392字节,这超过了Apache反向代理的默认最大头长度(8190字节);因此,所有带有SPNego令牌的HTTP请求都将被阻止。要解决此问题,请在Apache反向代理的配置文件中添加以下行以将限制提升到12392字节:

LimitRequestFieldSize 12392

现在您可以坐下来,只需单击浏览器书签中的BOC URL,然后直接登录到BOC并查看基于HANA的远程故事,而无需键入用户凭据。是不是很酷:)?

猜你喜欢

微信公众号