作为 SAC SAP HANA 实时数据连接全新的 SSO 选项,推出目录身份验证

单一登录对 SAP Analytics Cloud (SAC) 中的 SAP HANA 实时数据连接尤为重要,因为 SAP HANA 实时数据连接因其工作机制不会保留任何用户凭据。过去,唯一的单一登录 (SSO) 选项是 SAML 2,该选项需要执行大量的实施工作,特别是在 SAML 2.0 身份提供者不存在或尚未为 SAML 2.0 SSO 配置 SAP HANA 系统的情况下。

在 2017 年 8 月发布的 SAC 版本中,我们提供了一种名为“无身份验证”的全新功能,这意味着你可以使用企业预置型 SAP HANA 系统支持的任何身份验证选项,其中包括 X.509 客户端证书身份验证、Kerberos/SPNego 身份验证等。

也就是说,通过启用 X.509 客户端证书身份验证或 Kerberos/SPNego 身份验证,你可以享受与 SAML 2 SSO 一样的 SSO 用户体验。此全新的身份验证/SSO 选项可以同时在目录和路径(即基于反向代理)连接类型中使用。下图介绍了此全新的身份验证/SSO 选项在直接的 SAP HANA 实时数据连接场景中的工作原理:

下面是每个选项的利弊:

基于 SAML 2.0 SSO

优点

  • 使用中央身份管理系统(即 SAML 2 身份提供者)的单一登录。
  • 同时用于外联网和互联网
  • 通过受支持的 Web 浏览器用于所有设备

缺点:

  • SAML 2 身份提供者必须设置为同时为 SAC 和 SAP HANA 管理身份。

 

基于 SAP HANA 自动身份验证的 SSO

优点:

  • 无需购买 SAML 2 身份提供者和实施 SAML 2,即可提供相同的 SSO 用户体验。
  • 通过降低架构复杂性,性能略有提升。

缺点:

  • SAP HANA 需以自动身份验证选项进行配置(如尚未完成)。
  • 虽然提供 SSO 用户体验,但并不会集中管理在 SAC 和 SAP HANA 上的身份。登录到 SAC 的用户可能不一定是登录到企业预置型 SAP HANA 的用户。
  • 身份验证选项可能并不适用于所有用户案例。例如:
  • 509 客户端证书身份验证要求企业网络中安装现有的 PKI 基础架构,而且最终用户的浏览器能够访问用户的证书。
  • Kerberos/SPNego 身份验证仅适用于外联网场景,因为 Kerberos 属于外联网身份验证协议。
  • SAP 登录权证身份验证仅用于嵌入场景,嵌入 SAC 内容的门户必须能够提前发布 SAP 登录权证。另外,门户和 SAP HANA 系统必须同属一个 DNS 子域。

 

当提及单一登录选项时,我们都明白,鉴于每个客户的安全架构不尽相同,所以并不存在“一刀切”的方法。我们希望,此全新的身份验证/SSO 选项能够提供更大的灵活性,同时为你降低 SAC 项目的总拥有成本。