整合 Active Directory 與 SAP 單一登入 (Kerberos-SPNEGO)

已完成

您可以藉由使用 SNC (安全網路通訊) 來設定 SAP 系統，讓 Active Directory 與 SAP 單一登入整合。 SNC 的主要目的是保護 NetWeaver ABAP 應用程式伺服器與外部應用程式 (包括 SAP GUI) 之間的連線。 SNC 提供外部安全性產品的介面，可用來啟用單一登入。

整合 SAP SSO 與 Active Directory

1. 設定 SAP 系統：從 NetWeaver ABAP 7.31 版開始，在您的 SAP 系統中使用設定精靈 (交易 SNCWIZARD 和 SPNEGO) 來設定 SSO。 針對舊版的 NetWeaver ABAP，或者如果您沒有設定精靈的存取權，您可以手動設定 SSO：

   1. 建立新的 AD 使用者，以作為 NetWeaver ABAP 系統的服務帳戶 (最好搭配非過期的密碼)。
   2. 使用 SETSPN 註冊在上一個步驟中所建立使用者的服務主體名稱 (SPN)。
   3. 在 SAP 系統上安裝 CommonCryptoLib。
   4. 設定 SECUDIR 目錄 (SECUDIR 目錄是 CommonCryptoLib 授權票證檔案和 PSE 檔案所在的目錄)。 若要將目錄設定為 SECUDIR 目錄。 請建立名為 SECUDIR 的新環境變數，並將其指向目錄。 例如：\usr\sap[SID]\DVEBMGS00\sec
   5. 在 SAP 執行個體中，設定參考 sapcrypto.dll 和新建立 SPN 位置的設定檔參數。
   6. 重新啟動 SAP 執行個體。
   7. 為 Kerberos 型 SNC 建立 Kerberos Keytab 檔案和對應的 SAP Cryptolib PSE 檔案。

2. 設定使用者對應：

   1. 透過 SAPGUI 登入您的 SAP 執行個體，並執行交易 SU01。
   2. 在 [名稱] 欄位中輸入 SAP 使用者 (或您想要對應 SSO 的使用者)，然後選取 [編輯]。
   3. 選取 [SNC] 索引標籤，然後輸入您在上一個工作中設定的 SNC 名稱，格式為 p:CN=UserPrincipalName@domain。

3. 在用戶端電腦上安裝安全登入軟體。

4. 設定 SNC 通訊的 SAP GUI。

   1. 在 [安全網路設定] 介面中，以 p:CN=ServicePrincipalName@domain 格式輸入 SNC 名稱。
   2. 起始連線。 您應該可以登入，而不會由系統提示您輸入密碼。