在我以前关于为SAP BusinessObjects Cloud（BOC）和HANA设置单点登录（SSO）的博客中（更改内容-在SAP BusinessObjects Cloud中使用SAML SSO设置远程HANA连接，以及从BusinessObject Cloud到HANA的单点登录-SAP Cloud标识的反向代理规则），我重点介绍了BOC中的SAML 2 SSO过程，HANA和SAML2身份提供程序（IdP）。虽然这满足了从BOC到HANA的SSO要求，大数据的前景，但最终用户仍然必须首先针对SAML 2 IdP进行身份验证；通常情况下，这是大多数SAML 2 IdP默认的用户ID和密码登录。如今，谁还想记住另一对用户名和密码？用户只需打开浏览器书签中的BOC URL，就可以立即看到主屏幕或故事板？从技术上讲，这意味着用户需要能够从Web浏览器自动登录到SAML2IDP。主流的Web浏览器提供了三种不安装任何本机加载项的方法：X.509客户端证书身份验证、Kerberos/SPNego身份验证和NTLM。由于NTLM的安全性问题，目前唯一可行的解决方案是客户端证书认证和Kerberos/SPNego。这通常被称为Windows集成身份验证，但它也适用于其他操作系统平台，如MacOS。

在本文中，我将向您介绍使用Kerberos/SPNego和SAML的端到端SSO的概念和配置。如果您对使用X.509客户端证书验证和SAML设置端到端SSO感兴趣，请查看另一个博客：使用客户端证书和SAML验证为SAP BusinessObjects Cloud和HANA创建端到端SSO体验。

下图显示了它的工作原理。该图是不言自明的，但需要指出的一点是，Kerberos身份验证是一种intranet解决方案，因为Web浏览器需要访问activedirectory的域控制器，大数据入门，而该域控制器几乎从未暴露在Internet上。尽管如此，如果您的最终用户仅在intranet中，Kerberos/SPNego身份验证仍然是首选的身份验证方法，因为Kerberos具有出色的身份验证性能。

除了我在以前的博客中阐述的SAML 2设置之外，为了实现上述设计，淘客是什么，大数据技术，Kerberos/SPNego必须执行以下操作：

1。saml2idp需要配置Kerberos/SPNego。这一步骤因IdP而异，但通常意味着：1） 在Active Directory域控制器上创建表示SAML 2 IdP服务的服务用户。2） 向saml2idp提供服务用户的凭证，并将其配置为Kerberos。3） 在域控制器上，为SAML2IDPWeb服务器创建服务主体名称（SPN）。

2。由于SAML 2 IdP通过反向代理向Web浏览器公开，因此需要为反向代理创建额外的SPN。

如前所述，实际步骤因您使用的SAML 2 IdP类型而异，但请看一下如何使用SAP NetWeaver SSO SAML 2 IdP和SAP Cloud Identity作为参考。

1。SAP NetWeaver SSO SAML 2 IdP1） 将Active Directory和NetWeaver上的Kerberos/SPNego配置为Java：将SAP NetWeaver上的Kerberos身份验证配置为Java

2）在IdP的基础上将Kerberos/SPNego配置为Java后，将Kerberos添加到IdP服务的身份验证上下文：添加自定义身份验证上下文2SAP云标识请参阅本文档，微信返利，了解如何配置SAP Cloud Identity以支持Kerberos/SPNego:配置Kerberos身份验证。

如果您完成了上述步骤，现在可以放松一下，享受端到端SSO体验…如果您的Active Directory用户属于大量组，则不太可能。在这些情况下，SPNego令牌可能会变大到12392字节，这超过了Apache反向代理的默认最大头长度（8190字节）；因此，所有带有SPNego令牌的HTTP请求都将被阻止。要解决此问题，请在Apache反向代理的配置文件中添加以下行以将限制提升到12392字节：

LimitRequestFieldSize 12392

现在您可以坐下来，只需单击浏览器书签中的BOC URL，然后直接登录到BOC并查看基于HANA的远程故事，而无需键入用户凭据。是不是很酷：）？