本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# SSO - SAPGUI 前端
<a name="sso-sapgui"></a>

SAPGUI 是 SAP ERP 三层架构（数据库、应用程序服务器和客户端）中的图形用户界面客户端，需安装在运行 Windows、macOS 或 Linux 系统的本地桌面设备上。

为了使用 SAP 在 RISE 中实现 SAPGUI 的 Single-Sign-On (SSO)，我们必须使用 Kerberos 或 X.509 方法。不建议使用 Kerberos AWS，因为它要求用户始终连接到公司网络并根据 Microsoft Active Directory 进行身份验证，这会降低他们的移动性。因此，建议使用 X.509 方法。

 Single-Sign-On带有 X509 的 SAPGUI 可以通过 [BTP 上的 SAP 安全登录服务](https://help.sap.com/docs/SAP%20SECURE%20LOGIN%20SERVICE?version=Cloud)实现，下图描述了集成的工作原理。

![\[适用于 SAPGUI 前端的 SSO\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-sso-sapgui.png)


 **身份验证流程** 

1. 用户通过桌面设备访问 SAPGUI。

1. SAP S/4HANA 将身份验证请求重定向到 SAP Secure Login Service。

1. SAP Secure Login Service 将身份验证工作委派给 SAP Cloud Identity Service。

1. 在 SAP Cloud Identity Service 集成到 IdP（即 Azure AD、Okta、Ping 等）后，IdP 将对用户进行身份验证。

1. 在用户通过 IdP 的身份验证后，SAP Secure Login Service 会将 X.509 提供给 SAPGUI。

1. 用户可在 RISE with SAP VPC 中访问 SAP S/4HANA。

有关如何执行此操作的更多信息，您可以参阅 [Securing SAP GUI with SAP Secure Login Service](https://community.sap.com/t5/technology-blogs-by-sap/explore-securing-sap-gui-with-sap-secure-login-service/ba-p/13579130)。