用 X.509 Client Certificate 把 SAP NetWeaver 登录做成真正的无感 SSO

我最近在梳理一套老的 SAP NetWeaver AS ABAP 登录链路，前端是浏览器和 SAP Web Dispatcher，中间有 HTTPS，后端有 ICF 服务、SAP Gateway OData 服务，还有一些历史包袱很重的 Web Dynpro ABAP 页面。业务侧的要求很直接，用户已经在公司终端上拿到了个人证书，访问 SAP 时不想再输入 SAP 用户名和密码，审计侧又要求登录凭证不能以弱口令方式反复暴露在网络和浏览器里。这个场景放在 SAP 技术栈里，最经典的一条路就是 X.509 Client Certificate Authentication。

SAP NetWeaver 系统支持在 SSO 环境里用 X.509 证书认证用户。对 SAP NetWeaver Application Server 来说，用户通过浏览器访问 ABAP 系统时，只要浏览器能提交有效的客户端证书，服务端就可以在 SSL 协议层完成认证，登录过程不再依赖用户手工输入 User ID 和 Password。SAP 官方文档里也明确提到，证书中的信息会传递给服务端，系统基于这些信息完成登录，用户认证发生在底层 SSL 安全协议里。(SAP Help Portal)

这套机制听起来像是一个登录功能，实际落到架构上，它更像是 PKI、SSL、SAP 用户主数据、ICF 登录策略和反向代理信任关系共同