关于为SAML2单点登录配置SAP BusinessObjects BI平台，已经有好几篇文章和知识库（1795949–SAML Single Sign-On BI 4.x的可信身份验证，大数据的培训，2812877–作为SAML服务提供商的BOE/BIPRWS的简化配置）。我不会一步一步地重复这一点，而是分享一些可以简化这一进程的见解。如果您从未进行过此配置，请至少阅读上述KBA。

在创建文件和请求证书之前考虑命名

要将Tomcat配置为https，您需要一个可能由内部机构创建的证书。您将创建一个密钥库和一个证书签名请求（CSR）。不要只使用主机名，添加一些替代项。通常，使用DNS别名隐藏真实的服务器名很有用。如果BI系统已经是多个Tomcat的集群，则需要负载平衡器名称。使用备用名称不仅用于创建密钥库，更重要的是用于CSR。

示例：您的服务器是server1。我的网站，但它是一个开发系统，因此SID是EBO，人工智能核心，DNS别名可能是sap bo-dev.my.org网站.

我更喜欢使用绝对路径，海量数据，因此，如果系统安装在Linux /Ur/Sp/EbO上，则命令是：创建一个单独的目录：创建密钥库：席/Ur/SAP/埃博/SAPBOBJ/MealSueSeX40/LINUXXX/SAPJVM/BIN/KEYToo-V席KEONGON-KEYSTOR/URS/SAP/埃博/SAML/EBO.keystore密钥库-别名EBO-keyalg RSA-keysize 2048-扩展san=域名：server1.my.org,dns:服务器1,域名：sap-bo-dev.my.org,域名：sap bo dev-dnameCN=sap bo-dev.my.org网站

我们包括服务器的FQDN和DNS别名以及短名称。此外，我们使用-dNeND参数来避免密钥工具问题；o）创建证书签名请求（CSR）：席/Ur/SAP/埃博/SAPYBOBJ/EnguleSeXI40/LIUXXX/SAPJVM/BI/KEYToo-V-CIETRQ-KEYSTOR/USR/SAP/埃博/SAML/EBO.keystore密钥库-别名EBO-keyalg RSA-keysize 2048-file/usr/sap/EBO/saml/EBO.csr公司-分机san=域名：server1.my.org,dns:服务器1,域名：sap-bo-dev.my.org,dns:sap bo开发

现在您有一个用于Tomcat配置的密钥库文件和一个CSR，淘客宝，可以发送给您的签名部门。您将获得一个真正的证书（不是自签名的）以导入密钥库。

重新使用密钥库

Spring SAML配置还使用密钥库中的证书对与SAML IdP的通信进行签名和加密。那么为什么不使用已经创建的密钥库呢？请记住：如果您更改了"SAML"密钥库，您必须始终为BO系统创建新的元数据并将其导入IdP。仔细计划！

建议：

导入真品证书

同时导入IdP证书。至少在连接到ADFS时我觉得有必要。

将密钥库复制到../BOE/WEB-INF中。我不喜欢冗余信息，但这可能会避免一些麻烦。如果一切都与副本一起工作，您可以尝试../BOE/WEB-INF中的符号链接或绝对路径/安全上下文.xml.

中的示例片段服务器.xml

中的示例代码段安全上下文.xml

，国内大数据公司排名