SAP和AD认证实践（一）

最近有大牛在研究HANA On Azure，对于我这样的学渣，只有跪拜的份。

众所周知，SAP是全球领先的ERP产品，很多企业都在用，同样地微软的AD服务作为存放企业用户基本信息，实现用户登录认证产品也广受企业的欢迎。本文要探讨的内容就是怎样把SAP和AD整合到一起。

一、SAP自带的认证模块

在正式开始之前，我们需要了解SAP自带的认证模块

1：CUA（Central User Administration）

2：UME（User Management Engine）

这两个模块主要的区别在于作用于不同的SAP组件，并且UME具备单点登录功能（类似于微软的ADFS），详细见后续描述

二、SAP主要组件介绍

 ECC：SAP ERP最核心组件，包括 FI-财务会计，CO-成本会计，MM-物料管理，SD-销售分销，PP-生产计划等核心模块

 HR：SAP HR模块，顾名思义，管理人员

 EP：企业门户，是SAP里面基于Jave编写的B/S架构的产品

 BO：SAP收购回来报表展示工具，

其他组件需要用的认证架构和以上四个个组件一样，就不做一一介绍了

三、接下来我们分两个应用场景讨论

1：不通过单点登录实现

打通SAP自带认证模块和AD直接的数据联通关系（同步或直连）

（本文重点介绍）

2：通过单点登录实现（SSO）

通过单点登录，将SAP的CUA废弃掉，直接将认证直接指向AD

（下一篇文章介绍）

四、不通过单点登录实现AD和SAP各组件的认证

详细见下图

1：HR和AD关系

SAP HR模块中的用户信息，将自动同步到AD中，并且如果AD中用户不存在，则会在AD新建用户，创建密码。

2：ECC和CUA和AD的关系

AD的用户将同步到CUA中再同步到ECC中，请注意密码不会同步，微软的FIM工具，貌似也不行（可能是因为CUA对LDAP协议的兼容性有问题，出于安全性考虑，干脆不接受加密后的密码，为求证）

如果非要实现统一用户名密码，唯一办法是做基于AD的单点登录（下一章将详细描述）

3：EP/BO和UME和AD的关系

UME特别灵活，支持指向自己的用户数据库，指向CUA，指向AD

通过UME直接将用户认证指向AD，这样EP/BO的用户，直接在AD里面认证

4：EP/BO和UME、CUA和AD的关系

将UME指向CUA，这样用户数据，先从AD同步到CUA，然后通过UME直接给EP/BO用户认证，貌似饶了一个大圈，不过某些业务场景也许适用。

五、总结

因为ECC是SAP最核心的组件，考虑到密码无法同步的问题，本章介绍的集中情况，仅可作为临时过度参考