把 SAP ABAP 的单点登录接顺了，SNC、登录票据与 X.509 证书该怎么选

早上刚连进公司网络，桌面端先开一个 SAP GUI，查完主数据又切到浏览器里的 Fiori 页面，过一会儿还有个 RFC 程序要把数据推给后端。用户最烦的往往不是系统多，而是每换一次入口就得再输一遍用户名和密码。放到真实项目里看，这件事也不只是体验问题，它会牵动身份认证、通信保护、浏览器信任、证书生命周期、系统互信关系，以及后端权限模型。SAP 官方的安全文档把这条线讲得很明确，跑在 SAP NetWeaver AS ABAP 上的系统，原生就支持多种机制来做用户认证和 Single Sign-On，最经典也最常见的就是 SNC、登录票据，以及 X.509 客户端证书。(SAP Help Portal)

真正做方案时，很多团队一上来就问，哪个机制更先进，哪个机制更安全。这个问题本身不算错，但问法还不够落地。因为在 SAP 世界里，SSO 从来不是一个孤零零的功能点，它更像一组拼装起来的链路。用户从哪里进系统，是 SAP GUI，还是浏览器，还是某个外部程序通过 RFC 调用后端，这些入口不同，最合适的认证方式通常也不同。SAP 的这套设计思路很务实，桌面端和 RFC 场景，重点落在 SNC，浏览器访问的 Web 场景，重点落在登录票据和客户端证书。至于用户在系统里能看到什么、能改什么，那还是由 SAP 现有的