在我以前的博客中，我使用Kerberos和SAML为SAP BusinessObjects Cloud和HANA创建了一个端到端SSO体验，我向您介绍了一个基于SAML 2和Kerberos/SPNego的BOC和远程HANA端到端SSO解决方案。在这个博客中，我将探索另一种方法来实现基于SAML 2和X.509客户端证书身份验证的相同体验。

在较高级别上，我们希望在Web浏览器和SAML 2身份提供程序（IdP）之间设置X.509客户端证书身份验证，并为BOC和HANA设置SAML 2身份验证最终用户只需点击浏览器书签中的BOC URL，大数据数据，就可以直接登录BOC，淘客平台，而无需手动输入用户名和密码。

不幸的是，这种设置没有我之前写的Kerberos/SPNego那么简单。客户端证书身份验证是SSL协议的一部分，并且由于存在终止SSL连接的反向代理，云服务器那个好，因此在Web浏览器和saml2idp之间不能进行本机客户端证书身份验证。但在满足以下条件的情况下，该方案仍然有效：

1。反向代理能够将客户机证书包装到HTTP报头中，并将它们传递到saml2idp2saml2idp能够基于包含用户的客户端证书的HTTP报头对用户进行身份验证

显然这将成为一个定制/专有的解决方案，并且并非所有saml2idp都支持这种定制的客户端证书身份验证机制。更重要的是，云服务器主机，由于此自定义客户端证书身份验证过程不再是SSL握手机制的一部分，因此它将丢失对用户证书的强验证。因此，从安全角度来看，SAML 2 IdP只接受来自可信反向代理的客户端证书非常重要，在这种情况下，是BOC系统的反向代理。

下图说明了它的工作原理。希望这足够简单，但我想指出这个解决方案的优点和缺点：

优点：–此端到端SSO解决方案可在Intranet和Internet上运行

缺点–需要一个PKI基础设施来分发和管理用户的客户端证书。–并非所有saml2idp和反向代理都支持这种自定义客户端证书身份验证机制。–性能比Kerberos/SPNego稍慢。

SAP NetWeaver SSO SAML 2 IdP支持这种定制的客户端证书验证机制。要配置它，请执行以下步骤：1在SAML 2 IdP的底层AS Java引擎上配置X.509客户端证书身份验证：在SAP NetWeaver AS for Java上使用X.509客户端证书。2通过执行附加步骤：通过中间服务器使用客户端证书，通过反向代理启用自定义客户端证书身份验证机制。三。将客户端证书身份验证添加到SAML 2 IdP的身份验证上下文列表中：添加自定义身份验证上下文。

在Apache反向代理上，我们需要将其配置为执行以下操作：1启用客户端证书身份验证2将客户机证书信息包装到HTTP报头中，大数据技术学什么，并将它们转发到SAML IdP。请注意，这些头文件可能很长，因此我们需要仔细配置Apache规则，以便它们仅转发到SAML 2 IdP系统，而不是BOC或HANA，因为性能原因。

以下是一个示例配置：

享受在BOC和HANA中浏览而不必键入用户ID和密码，曾经：）！