ABAP7.51发布了一个新的身份验证方案：网络边缘身份验证。

您可以在这里阅读。

这是一个保护基于http的系统访问安全的新功能。本博客将指导您在不同的系统中使用x509证书作为令牌类型实现。

有关网络边缘身份验证的文档可在此处找到：

WebdispatcherOTP实施指南后端

在SSO后端系统中，您需要两个软件包：

SSOAUTHLIBSECURELOGINSERVER

SSOAUTHLIB提供身份验证和证书获取机制，而SECURELOGINSERVER提供证书签名功能。

在NWA中创建一个空的身份验证堆栈，在云上，例如"无"。

配置SECURELOGINSERVER

转到https://：/slac–>配置文件管理–>身份验证配置文件–>创建

选择配置文件的名称。该名称稍后在NEA端点配置中引用。客户机类型必须是客户机，什么是数据中台，用户身份验证无关紧要（用户身份验证是在nea端点上完成的，而不是在这里创建的端点）。例如，选择"安全登录客户端配置文件"，然后选择上面创建的空登录堆栈。

证书配置可以保留为默认值。DN总是"CN="。只需确保所选CA是用户CA。

注册配置也可以忽略，可以在此处完成配置。

配置NEA端点

转到https://：/nwa–>配置–>安全–>身份验证和单点登录

筛选名称"NEA"和类型"Web"的概述。相关策略配置为"sap.com/sso网站~nea~ear*nea\u v1\u authenticate"：

如果不指定模板，则使用默认堆栈（通常为"ticket"）。您还可以配置特定于NEA的堆栈（如屏幕截图所示）或完全独立的堆栈。

在策略的属性中，将属性"x509\u sls\u profile\u name"设置为在上一步中创建的SecureLoginServer身份验证配置文件的名称。

授予NEA访问SecureLoginServer密钥库视图的权限

NEA应用程序需要权限才能访问SecureLoginServer密钥库视图。

转到NWA->配置->安全->证书和密钥->安全->每个域的权限

nea应用程序的筛选器sap.com/sso网站~nea~读取并添加SecureLoginServer密钥库中颁发证书的SubCA的permissions READ\u条目查看

这就结束了SSO系统中的配置。

在Webdispatcher中，NEA配置中有两种类型的系统。

所有这些系统都是通过wdisp/System\ux>参数的子参数配置的。因此，云服务器买，系统本身以既定的方式连接。

重要提示：NEA场景中的路由必须通过"SRCVHOST"子参数（以及可选的SRCURL子参数）进行。参见注释2432861.

配置认证系统

要配置认证系统，子参数"认证服务"指向NEA enpoint（通常为https://：/NEA/v1/authenticate）。任何未经身份验证的文件都将重定向到此服务。主机/端口是Webdispatcher上SSO系统的主机和端口。

另外，域\u RELAX cookie应至少设置为1，云服务器多少钱，以确保：，Webdispatcher会话Cookie对SSO系统以外的其他系统有效。

配置其他后端系统

所有其他系统都有两个必需/建议的子参数：

AUTH\u system=它引用以前配置的身份验证系统的SID[可选，但推荐]托管会话\u COOKIES=此参数指定哪些cookie应由WebDispatcher管理而不返回给客户端。建议设置：JavaJ会话*ABAP公司SAP\u SESSIONID\u APP.*

HTTPS设置

Webdispatcher应具有

签名的HTTPS服务器证书已签名的HTTPS客户端证书！

需要签名的客户端证书，因为Webdispatcher需要在后端进行身份验证来转发客户端身份。

Webdispatcher需要始终与后端系统进行HTTPS对话。要启用此功能，请在后端设置参数

，需要启用基于客户端证书的身份验证。

这意味着所有后端系统都必须启用HTTPS。

后端需要信任webdispatcher来转发客户端证书。要启用此功能，您需要

信任webdispatcher的客户端证书为此，将webdispatcher客户端证书的根CA导入HTTPS证书存储（可能在事务STRUST或NWA中）信任webdispatcher通过HTTP头转发客户端证书这可以通过在旧参数中输入客户机证书的主题和颁发者来完成icm/HTTPS/信任\u客户端\u和\u主题icm/HTTPS/信任\u客户端\u与\u颁发者\u或新参数icm/trusted\u reverse\u proxy\u 0=SUBJECT=""，ISSUER=""请参阅注释2052899

使用这些设置，将评估包含用户证书的HTTP头。

以通常的方式将用户证书映射到用户。在ABAP堆栈中，建议使用事务certrule并创建所需的规则。在Java堆栈中，规则在登录模块中创建。

SLS的证书始终颁发给：主题：CN=颁发者：

如果您想再次检查传入的证书，请使用icm/HTTP/logging参数创建包含请求头的日志。

可以使用以下工具进行故障排除：

SLS：疑难解答向导–https://：/tshw在这里，您应该使用跟踪位置创建一个新事件com.sap.securelogin

网络调度员：在webdispatcher中，购物领券，您可以使用webdispatcher跟踪级别，或者在必要时使用icm请求日志记录(https://help.sap.com/sahelp\u nw74/helpdata/en/58/601269a62d4493aea63a9584f6ae26/content.htm)

后端：在后端，您可以使用icm跟踪级别或icm请求日志记录（请参阅Webdispatcher）

此外，如果存在任何加密错误，您可以在公共加密库跟踪中找到一些信息（请参阅注释1996839和2338952）。

所有这些都非常适合您的配置。