Eine SAP-Verbindung ist über Single-Sign-On (SSO) mit SAP Logon Ticket möglich. Das grundlegende Szenario sieht dabei folgendermaßen aus:

Grundlegender Aufbau

Es gibt eine AS Java Instanz, welche für SPNEGO/Kerberos Authentisierung eingerichtet ist. Auf dieser Instanz besteht ein Mapping von Windows AD-Benutzern auf SAP-Benutzer (== Ticket Issuer). Die AS ABAP Instanzen (mit denen sich Xtract Universal verbindet) vertrauen den SAP Logon Tickets dieser AS Java Instanz.

Ablauf

  1. Beim Ausführen der Extraktion authentisiert sich der Benutzer gegenüber dem XU Server per Kerberos/SPNEGO.
  2. XU Server impersoniert den Aufrufer.
  3. XU Server authentisiert sich als der Aufrufer per SPNEGO/Kerberos gegenüber AS Java.
  4. AS Java bildet Windows Benutzer auf SAP Benutzer ab und stellt ein SAP Logon Ticket für diesen SAP Benutzer aus. Liefert das Logon Ticket im MYSAPSSO2 cookie.
  5. XU Server holt SAP Logon Ticket aus Cookie, meldet sich damit am AS ABAP an und führt die Extraktion aus.

Weiterführende Informationen (SAP Help)