我需要许可SAP NetWeaver Single Sign（NWSSO）吗？

视情况而定。

如果您计划实施涉及ABAP系统的SSO方案，那么是的，您将需要实施NWSSO，如SAP Single Sign-On空间中的许多博客和文档所述。这是一个多功能的工具，可以帮助您为SAPGUI、WebGUI以及可能在ABAP系统上运行的各种基于web的应用程序（例如SRM）实现SSO。

nwso还可以为基于Java的系统（例如Enterprise Portal）提供SSO解决方案，但这并不是绝对必要的。

这是必要的这个博客的来源。我将向您介绍如何仅使用NetWeaver Java 7.x系统和Active Directory（以及典型的JRE，如Oracle提供的JRE）附带的工具，为基于Windows域的用户配置企业门户的单点登录。不需要额外的产品。所描述的方法应该在sp23中的Java7.00、sp8中的Java7.01和sp6中的Java7.02上运行。它还可以在7.1和更高版本上运行，并稍作修改（主要是使用NetWeaver Administrator而不是Visual Administrator）。如果您仍在使用低于上述支持包级别的AS Java，则有一个附加组件可用于启用此功能（请参见注释1457499）。

换句话说，不需要，对于从Windows域到企业门户的SSO，您不需要NWSSO。

什么是SPNego？

SPNego是一种简单且受保护的协商机制。从微软IE 5.01和Internet信息服务5.0时代起，iot物联网，它就已经存在了，现在它已经得到了Firefox和Chrome以及IE11的支持。它是GSSAPI或通用安全服务应用程序编程接口的"伪"实现。虽然它过去依赖于NTLM，大数据行业分析，一种较旧的Microsoft特定身份验证协议，但今天它主要依赖于Kerberos，一种Windows和UNIX系统都使用的基于票据的标准协议。

SAP NetWeaver Java可以使用大多数Kerberos密钥分发中心，但在本博客中，我们将重点介绍可以说是最常见的：Microsoft Active Directory。

客户端浏览器的要求是什么？

在大多数情况下，默认设置将起作用：

必须启用集成Windows身份验证：工具…Internet选项…高级…安全…启用集成的Windows身份验证这通常是默认启用的。必须为本地Intranet安全区域启用自动登录：工具…Internet选项…安全性…本地intranet…自定义级别…用户身份验证…仅在intranet区域中自动登录此设置使用中低安全级别启用，这是本地intranet区域的默认级别。如果您使用代理服务器进行web浏览，则必须对本地地址绕过代理服务器：工具…Internet选项…连接…LAN设置…代理服务器：必须取消选中为LAN使用代理服务器，或者如果选中，则必须选中为本地地址绕过代理服务器。Java系统必须包含在本地Intranet安全区域中：工具…Internet选项…安全性…本地intranet…站点：各种选项：通常选中Automatically detect intranet network（自动检测intranet网络），并在其下选中其他选项（包括所有未在其他区域中列出的本地（intranet）站点、所有绕过代理服务器的站点以及所有网络路径（UNC））。或者，或者另外，在Advanced中，您可以专门将Java系统添加到区域，教育大数据，或者可以添加一系列IP地址或本地域（*）。域名.com). 这通常由组策略控制。您可以通过右键单击登录页面并选择Properties来确认Java系统是否正确地显示在正确的区域中。在那里，您应该看到区域：本地intranet |保护模式：关闭。

在地址栏中输入关于：配置到请参阅各种配置设置。通过在搜索栏中键入negotiate来过滤它们，然后修改网络.协商-授权委托-URI添加Java系统的URL。对…也一样网络.协商-受信任的身份验证-URI。

同样，如果使用代理，Java系统必须包含在绕过代理的站点列表中。

Active Directory服务用户

如果您是Basis管理员，则很可能您不是Active Directory管理员。所以，你可能在想，如果这需要架构扩展之类的东西，我永远不会说服他们对Active Directory进行更改…

好吧，不用担心！不需要架构扩展或大量修改AD。实际上，您所需要的只是一个非常简单的服务用户帐户，云服务器怎么用，以及该服务用户的SPN或服务主体名称的配置。

因此，第一个决定（或协商）是确定服务用户的名称。我的建议是选择与sapso-类似的内容，即如果您的Java系统ID是PLQ，那么您的服务用户将是sapso-PLQ。但是，与用于运行和管理SAP系统本身的服务帐户不同，命名约定并不是一个硬性规则，因此，如果您所在组织的服务帐户约定要求某些不同的内容，则可以。

服务用户不需要任何特权或权限，但它确实需要这两个帐户选项：

密码永不过期必须勾选；必须取消选中此帐户的"使用Kerberos DES加密类型"。请注意，sapjava中较旧版本的SPNego实现实际上要求启用DES，但这不再是事实。DES是一种较旧的加密算法，不再被认为是安全的，因此最好确保在这里不启用它。