什么是 SAP SSO with Logon ticket

SSO（Single Sign-On） with Logon Ticket 是 SAP 系统中的一种单点登录技术，旨在提高用户在多个系统间切换时的便利性和安全性。通过 SSO，用户只需要登录一次，就可以访问所有受信任的 SAP 系统，而无需每次都输入用户名和密码。这种方式不仅简化了用户体验，还降低了由于频繁输入密码而带来的安全风险。

SSO with Logon Ticket 的工作原理

SSO with Logon Ticket 的核心在于 Logon Ticket，即登录票据。当用户首次登录 SAP 系统时，系统会生成一个包含用户身份信息的票据，并将其分发到用户的浏览器或客户端。此后，当用户访问其他受信任的 SAP 系统时，这些系统会验证该票据，以确认用户的身份，从而允许用户无缝访问。

具体工作流程如下：

1. 用户首次登录：用户通过用户名和密码登录到一个 SAP 系统（如 SAP NetWeaver）。
2. 生成 Logon Ticket：成功登录后，系统生成一个 Logon Ticket，该票据包含用户的身份信息和一些安全属性。
3. 分发 Logon Ticket：系统将生成的 Logon Ticket 发送到用户的浏览器或客户端。
4. 访问其他系统：当用户访问另一个受信任的 SAP 系统时，该系统会请求用户提供 Logon Ticket。
5. 验证 Logon Ticket：接收 Logon Ticket 的系统会验证票据的有效性，包括检查票据的签名、有效期等。
6. 无缝登录：如果 Logon Ticket 验证通过，用户将被允许访问该系统，而无需再次输入用户名和密码。

真实世界的例子

假设一家跨国公司使用 SAP 系统管理其全球业务。这家公司在全球各地有多个办公室，每个办公室都有自己的 SAP 系统，如 SAP ERP、SAP CRM、SAP HCM 等。为了提高员工的工作效率和系统的安全性，公司决定实施 SSO with Logon Ticket。

场景描述

1. 登录流程：公司员工小张每天早上登录位于德国的 SAP ERP 系统，他输入用户名和密码，成功登录后，系统生成了一个 Logon Ticket 并将其存储在小张的浏览器中。
2. 无缝切换系统：随后，小张需要访问公司位于美国的 SAP CRM 系统。此时，他不需要再次输入用户名和密码，而是直接访问 SAP CRM 系统。SAP CRM 系统会从浏览器中获取 Logon Ticket 并验证其有效性。
3. 验证通过：由于 Logon Ticket 是由受信任的 SAP ERP 系统生成并签名的，SAP CRM 系统验证通过，小张成功登录。
4. 工作效率提升：通过这种方式，小张可以无缝切换不同的 SAP 系统，极大地提高了工作效率，减少了繁琐的登录操作。

实现 SSO with Logon Ticket 的技术细节

为了在 SAP 环境中实现 SSO with Logon Ticket，需要配置和设置以下几个方面：

用户管理和认证

确保所有参与 SSO 的 SAP 系统共享同一用户库，或者各系统之间的用户映射关系明确。这可以通过以下方式实现：

• Central User Administration (CUA)：集中用户管理，确保所有系统中的用户信息一致。
• LDAP Integration：将 SAP 系统与 LDAP 目录服务集成，通过 LDAP 进行统一的用户认证和管理。

Logon Ticket 配置

1. 配置 Ticket Issuer：在 SAP 系统中配置能够生成 Logon Ticket 的系统（即 Ticket Issuer）。通常，这个系统是用户首次登录的 SAP 系统。
2. 配置受信任系统：配置其他 SAP 系统，使其能够接受并验证 Logon Ticket。确保这些系统被配置为信任 Ticket Issuer。

安全性设置

确保 Logon Ticket 的生成和验证过程安全可靠，包括以下方面：

• Ticket 签名和加密：使用强加密算法对 Logon Ticket 进行签名和加密，防止票据被篡改或伪造。
• Ticket 有效期：设置合理的 Logon Ticket 有效期，既能保证用户体验，又能减少安全风险。

系统间通信

确保参与 SSO 的 SAP 系统之间能够顺畅通信。这通常通过配置系统间的 RFC（Remote Function Call）连接实现。

案例研究：一家金融机构的实施经验

一家大型金融机构决定实施 SSO with Logon Ticket，以简化员工在多个 SAP 系统间的登录流程。该机构的 IT 团队面临以下挑战和解决方案：

挑战一：用户同步

金融机构的不同部门使用不同的 SAP 系统，用户信息分散。IT 团队决定采用 CUA，将所有用户信息集中管理。通过 CUA，所有 SAP 系统的用户信息保持一致，为实现 SSO 奠定了基础。

挑战二：安全性

金融行业对安全性要求极高。IT 团队选择使用强加密算法（如 AES）对 Logon Ticket 进行加密，并配置定期更换加密密钥的机制。此外，团队还设置了较短的 Ticket 有效期（例如 15 分钟），以减少潜在的安全风险。

挑战三：系统间通信

确保所有 SAP 系统之间能够顺畅通信。IT 团队配置了系统间的 RFC 连接，并通过防火墙和网络配置保证通信的安全性和可靠性。

实施效果

经过一段时间的实施和优化，金融机构成功实现了 SSO with Logon Ticket。员工可以无缝切换不同的 SAP 系统，提高了工作效率，减少了因频繁登录带来的时间浪费和安全风险。

总结

SSO with Logon Ticket 是 SAP 系统中一种重要的单点登录技术，通过生成和验证 Logon Ticket，实现用户在多个 SAP 系统间的无缝登录。通过合理配置用户管理、Ticket 签发和验证、安全性设置以及系统间通信，可以成功实现 SSO，提升用户体验和系统安全性。上述案例研究展示了 SSO with Logon Ticket 在真实世界中的应用，说明了其对提高工作效率和增强系统安全性的积极作用。