SAP HANA XS App与单点登录的完美结合

Posted 2021-04-27 HANACOE

随着信息和网络技术的迅猛发展，企业内部的应用系统越来越多，例如SAP HANA系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立，用户在使用每个应用系统之前都必须使用相对应的身份进行登录，所以必须记住每一个系统的用户名和密码，这给用户带来了不少麻烦。特别是随着系统的增多，出错的可能性也会随之增加，受到非法截获和破坏的可能性也不断增大，安全性相应降低。针对这种情况，统一用户认证、单点登录等概念应运而生，也不断地被应用到企业应用系统中。

单点登录（Single Sign On）简称SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。其目的是简化账号登录过程并保护账号和密码安全，对账号进行统一管理。

技术实现机制：

如下图所示，当用户第一次访问应用系统1的时候，因为还没有登录过，会被引导到认证系统中进行登录（1）；根据用户提供的登录信息，认证系统进行身份验证，如果通过校验，则返回给用户一个认证的凭据，即ticket（2）；用户在访问应用系统2和应用系统3时就会将这个带上ticket（3）&（5），作为自己认证的凭据；应用系统接受到请求之后会把ticket传送到认证系统进行校验，检查ticket的合法性（4）&（6）。如果通过校验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

图1

要实现SSO，需要以下满足以下两项前提条件：

• 所有应用系统共享一个身份认证系统：
  统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登录认证；认证成功后，认证系统应该生成统一的认证标志（ticket），返还给用户。另外，认证系统还应该对ticket进行校验，判断其有效性。

• 所有应用系统能够识别和提取ticket信息：
  要实现SSO的功能，让用户只登录一次，就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取，通过与认证系统的通讯，能自动判断当前用户是否登录过，从而完成单点登录的功能。

采用SAML实现单点登录：

SAP HANA支持ticket，X.509等多种单点登录方式，这里主要介绍采用SAML的实现方式。SAML（Security Assertion Markup Language）是一个XML框架，也就是一组协议和规范，可以用来传输企业用户身份证明，主要是企业外的身份跨域传递。比如，公司（IDP-identity provider）的用户要访问SAP HANA XS 应用（sp-service provider），为了保证身份安全，我们可以采用除了加密签名等措施，还要采用SAML规范来传输，传输的数据以XML形式，内容符合SAML的推荐标准，这样我们就可以不要求idp和sp采用什么样的系统，只要求能理解SAML规范即可。

下图阐述了利用SAML实现单点登录的原理：

图2

1. 用户想使用SP（可认为是SAP HANA XS App-FIORI App），在浏览器输入SP的URL。

2. SP将生成SAML请求。

3. SP让浏览器重定向到IDP做认证。

4. IDP收到SAML请求检查用户是否已认证，并且在合法期内，否则IDP将要求用户将进行认证。

5. IDP生成SAML响应。

6. IDP将封装好的响应返回给浏览器，浏览器返回给SP。

7. SP验证SAML响应，该响应中包含用户的信息。

8. SP根据SAML响应，确定用户的合法性以及用户信息，同意用户登录。

   
   

单点登陆为企业带来的好处：

• 工作效率提高：提高员工工作效率，简化应用系统操作过程。

• 增加安全性：强大的身份认证，规避密码安全风险，增加信息系统安全性。

• 降低管理成本：降低管理员工作强度，节省人力投入到更多有意义的IT 建设工作中。

• 实施风险最少：强大的技术支撑，缩短应用部署周期，避免时滞经济损失和内部管理资源无效损耗。

• 投资回报高：采用先进技术体系，为后续应用开发提供统一的用户身份权限管理框架，投资利用率高，可扩展性强，可满足企事业单位不同发展阶段的需求。一次投资，长效回报。

联系我们：