很多 SAP 项目一聊到免密登录,团队脑子里冒出来的词往往是SSO、SAML、IAS,可在不少基于浏览器的AS ABAP场景里,Client Certificates依然是非常硬核的一套方案。它的吸引力并不玄乎,用户访问 Web 应用时,不再依赖user ID和密码,而是提交X.509客户端证书完成身份认证。认证动作发生在 Web 服务器侧,走的是SSL协议,密码也就不需要在链路里传输了。进入系统以后,用户能做什么、不能做什么,仍然按AS ABAP现有的授权体系来执行。也就是说,证书解决的是你是谁,权限解决的是你能干什么。(SAP Help Portal)把这个机制放到真实企业里看,就很好理解了。员工打开内部Fiori入口,浏览器把个人证书带给服务器,服务器验证证书是否可信,再把证书里的身份信息映射到具体的SAP用户。员工感受到的是登录页没再弹出密码框,安全团队看到的是密码不在网络里来回跑,Basis团队真正要盯住的则是四件事,证书由谁签发、服务器信任谁、私钥藏得安不安全、证书里的身份串怎样准确映射到