使用SAP Logon Tickets必须要有一个发放tickets的系统,可以是portal,也可以是其他SAP系统,但选portal会比较好,因为它是单点登陆的门户。
如把portal做为发放tickets的系统,则sso的过程如下:
1、在第一次启动portal server时,会产生一个cryptographic key pair(公钥和私钥),私钥用于产生tickets(digital signature)。
2、用户登陆portal,portal所在的底层Web AS发放一个logon ticket给用户,存放在用户客户端浏览器的一个暂时存在的cookie中。
3、每次用户通过portal访问外部系统,浏览器把ticket和对外部系统的请求一起发给外部系统。
4、外部系统利用从portal中down下来的公钥来验证这个tickets的有效性。如果有效,则从ticket中提取用户信息。
5、用户登陆到外部系统。