SAP SSO 单点登录管理系统
SAP SSO 、SAML、OAuth、LDAP、SR-AC
SR-AC SAP SSO单点登录系统
SR-AC SAP SSO单点登录系统(又称 SAP访问控制系统)基于 Red Hat 基金会的 Keycloak 开源项目 定制开发实现; SR-AC 产品是基于 Keycloak 增强扩展的单点登录门户,支持包含 SAP 应用在内的各企业应用单点登录接入。
SR-AC 产品是一个基于开源项目实现的广泛应用于用户身份管理与授权的 解决方案。 SR-AC 产品支持多种协议和标准,包括 OpenID Connect, OAuth2.0 和 SAML2.0;支持与 LDAP 或者 MS Active Directory 服务集成, 用于单点登录,支持通过 JWT Token(JSON Web Token)完成对微信、钉钉 等社交网络 API 的鉴权。
- 技术栈:GraalVM-java17 + quarkus + Freemaker + Mysql
- 验证协议支持:OAuth2、 OpenID、 SAML2、 Kerberos
SAP ERP 典型应用场景
- SAP ERP 及 MS Active Directory 应用企业,统一使用 AD 作为身份验 证源,免去 SAP ERP 等各企业应用系统各自独立维护用户名、密码等身份及验 证数据。
- 基于 Kerberos 协议接入 AD ,将 AD 作为统一身份及验证源;采用 SAML2 协议配置 SR-AC 与 SAP ERP 间验证互信;入域终端使用 https 协议访问指定的 SR-AC 地址,SR-AC 根据域控用户与AMS-V安全网关帐号(SAP 用户账 号)映射关系,完成验证,并分配池帐号资源后,向入域终端返回 shortcut 文件,由终端直接打开完成身份验证的 SAP GUI,免去用户名密码登录验证,使用 AD 的 Kerberos 令牌完成 SAP GUI 登录 SAP ERP。
- 同样的,也可通过 SR-AC 产品使用 AD 身份凭据(或第三方 IDM 统一身份 权限平台),完成其它企业应用的单点登录接入。
SAP SSO 、SAML、OAuth、LDAP、SR-AC
SR-AC 功能及特性
- 多协议支持:SR-AC 支持三种常见的认证协议,OpenID 连接、 OAuth 2.0 和 SAML 2.0。
- SSO 单点登录:SR-AC 能够完全支持单点登录(Single Sign-On) 与单点登出(Single Sign-Out)。
- 管理控制台:SR-AC 提供了基于 Web 的 GUI,可以按需配置不同实例。
- 用户身份和访问:SR-AC 可以作为一个独立的用户身份和访问管理器,创建用户数据库,自定义角色和用户组,基于预定义的角色,在应用程序的内部进行相关安全设置,以实现对于用户身份的验证。
- 外部身份源同步:SR-AC 支持与用户数据库进行同步,默认情况下, 它支持 LDAP 和活动目录(AD)。
- 身份代理:SR-AC 可以作为用户和外部系统身份提供者之间代理。
SAP、AD域控、SR-AC 集成方案及收益
- 用户便利性:简化登录过程,提供用户自主服务,提高用户体验,有效改善访问SAP系统体验。
- 安全性增强:提供更强的安全性,减少弱密码或相同密码的风险,保障了系统的安全性。
- 简化用户管理:更轻松地管理访问权限和凭据,基于AD或HR系统自动管理账号,降低运维成本。
- 减少密码重置:降低密码重置请求,用户无需记录SAP账号密码,减少 IT 的密码重置请求。
