免费服务热线:400-016-7107
在线客服为您服务

免费服务热线

400-016-7107

工作时间

周一至周五 9:00-18:00

(12:00-13:30及法定假日除外)

SAP Business One 9.2如何启用外部浏览器访问-选择处理外部请求的方法

时间:2018-08-27
分享到 :

SAP Business One 9.2如何启用外部浏览器访问-选择处理外部请求的方法

SAP Business One浏览器访问服务可帮助你在公司网络之外使用SAP Business One.为了安全访问,你必须确保执行以下操作:

1. 使用适当的方法处理外部请.

2. 使用有效的证书安装相关的SAP Business One服务.

3. 为每个相关的SAP Business One服务分配一个外部地址.

4. 在外部地址和内部地址之间建立正确的映射.

或者,你可以使用Citrix或类似解决方案进行外部访问.这些第三方解决方案不在本指南中.

一、选择处理外部请求的方法

由于浏览器访问服务使你能够从外部网络访问SAP Business One,因此外部请求可以正确发送到内部服务至关重要.

为了处理外部请,们建议部署逆向代理,而不是使用NAT / PAT(络地址转换/端口地址转换).NAT / PTA相比,反向代理更灵活,可以过滤传入请求.

 注意

 

无论使用何种方法,数据库服务都不会暴露给外部网络;仅显示SAP Business One服务.但是,你不能直接为安装了SAP Business One组件的任何服务器直接分配外部IP地址.

要提高横向安全性,可以在不是持有SAP Business One组件的计算机上安装数据库服务器.

反向代理

反向代理作为内部SAP Business One服务和外部客户端之间的交换.所有外部客户端向逆向代理发送请,逆向代理将请求转发到内部SAP Business One服务.

要使用反向代理来处理传入的外部请,你需要:

1. 在安装过程中为所有SAP Business One服务导入受信任的根证书.

证书可以由第三方证书颁发机构(CA)或本地企业CA颁发.有关设置本地证书颁发机构颁发内部证书的说,请参阅Microsoft文档.

SAP Business One格局中的所有组(包括反向代理)都应该信任为所有SAP Business One服务颁发内部证书的根CA.

1. 从第三方公共CA购买证书,并将证书导入到反向代理服务.

注意,此证书必须不同于第一个证书.虽然第一个证书允许反向代理信任CA,反过,SAP Business One服务,第二个证书允许反向代理被外部客户端信任.

来自外部网络的所有客户端自然地信任公共CA,反过,信任反向代.因此,从内部SAP Business One服务到逆向代理和外部客户端建立了一个信任链.

NAT/PAT(网络地址映射/端口地址映射)

如果你喜欢NAT / PAT到反向代理,请注意所有客户端直接连接到内部SAP Business One服务,外部客户端和内部客户.

要使用NAT / PAT,须从第三方CA购买证书,并将证书导入到随SAP Business One服务安装的所有计算机.所有客户必须信任此第三方公共CA.

二、准备HTTPS服务的证书

任何侦听HTTPS的服务都需要有效的PKCS12(.pfx)证书才能正常工作,特别是对使用浏览器访问服务的外部访问.

如何准备PKCS12(.pfx)证书取决于你计划如何将SAP Business One服务(包括浏览器访问服务)公开到Internet(外部网络)

准备证书时,请注意以下几点:

· 确保整个证书链包含在证书.

· 要简化证书管理,请设置通配符DNS(* .DomainName).

· 公钥必须是2048位RSA密钥.

注意,JAVA不支持4096位RSA密钥,并且1024位不再是安全的.

或者,你可以使用256位ECDH键,但建议使用RSA-2048.

· 签名散列算法必须至少为SHA-2(例如,SHA256).

反向代理(推荐)

于反向代理,请为内部域准备内部证书,并将内部根证书导入所有Windows服务.然后为外部域购买由第三方CA颁发的另一个外部证书,并将此证书导入反向代理服务器.

NAT/PAT(网络地址映射/端口地址映射)

如果使用NAT / PAT处理外部客户端请,请购买第三方CA针对内部域和外部域颁发的证书.

如果内部域和外部域具有不同的名称,则此证书应在”主题备用名称”字段中列出两个域.但是,们建议你对内部和外部域使用相同的域名.

三、准备外部地址

要将SAP Business One服务公开到Internet(外部网络),须为相关组件准备外部地址.

 注意

服务层仅用于内部组件调,你不需要将其公开到Internet

请注意以下几点:

· 每个组件的外部地址和内部地址必须不同;否则,外部网络不能与内部网络区分开,使得浏览器访问错误.

· 仅支持一组外部地址.通过外部地址的DNS别名进行通信将导致错误.

反向代理模式

如果你打算使用反向代理处理客户端请,们建议你为内部域和外部域使用不同的域名.例如,内部域是abc.corp,外部域是def.com.

准备外部地址如下:

· 为每个组件准备一个外部地址:

· 系统架构目录(SLD)

· 浏览器访问服务

· 集成框架(如果使用SAP Business One移动解决方案)

· 每个组件的内部地址必须与内部域的证书的公用名称匹配;每个组件的外部地址必须与为外部域购买的证书的公用名称匹配.

 例子

组件的内部URL如下:

o 系统架构目录: https://SLDInternalAddress.abc.corp:Port

o 浏览器访问服务: https://BASInternalAddress.abc.corp:Port/dispatcher

集成框架: https://B1iInternalAddress.abc.corp:Port/B1iXcellerator

外部URL如下:

o 系统架构目录:https://SLDExternalAddress.def.com:Port

o 浏览器访问服务:https://BASExternalAddress.def.com:Port/dispatcher

集成框架: https://B1iExternalAddress.def.com:Port/B1iXcellerator

NAT/PAT(网络地址映射/端口地址映射)

如果你打算使用NAT / PAT处理客户端请,们建议你在内部和外部网络中使用相同的域名.例如,内部域和外部域都是abc.com.

准备外部地址如下:

· 为每个组件准备一个外部地址(主机名或IP地址):

· 系统架构目录(SLD)

· 浏览器访问服务

· 集成框架(如果使用SAP Business One移动解决方案)

· 对于这些组,外部地址和端口的组合必须不同.换句话说,如果两个组件具有相同的外部地址,则它们侦听的端口必须不同;反之亦然.

· 每个组件的内部地址和外部地址必须与为内部域和外部域购买的证书的公用名称匹配.

 例子

组件的内部URL如下:

o 系统架构目录: https://SLDInternalAddress.abc.com:Port

o 浏览器访问服务: https://BASInternalAddress.abc.com:Port/dispatcher

集成框架:https://B1iInternalAddress.abc.com:Port/B1iXcellerator

外部URL如下:

o 系统架构目录: https://SLDExternalAddress.abc.com:Port

o 浏览器访问服务: https://BASExternalAddress.abc.com:Port/dispatcher

集成框架:https://B1iExternalAddress.abc.com:Port/B1iXcellerator

四、配置浏览器访问服务

The Browser Access service enables remote access to the SAP Business One client in a Web browser. The Windows service name is SAP Business One Browser Access Server Gatekeeper.

浏览器访问服务允许在Web浏览器中远程访问SAP Business One客户. Windows服务名称是SAP Business One Browser Access Server Gatekeeper.

先决条件

确保浏览器访问服务器上的日期和时间与数据库服务器同步.

过程

2. Web浏览器中,使用以下URL登录到系统格式目录:https://:/ControlCenter.

2. 在服务选项卡上,选择特定浏览器访问服务器的浏览器访问条目,然后单击编辑.

3. 在”编辑服务”窗口中,编辑以下信息:

· 服务URL:编辑用于访问服务的URL.

例如,你可能要使用IP地址而不是主机名.或者主机名,IP地址或端口已更改,你必须更新服务URL以反映更改.

· 初始进程:指定浏览器访问服务托管的SAP Business One客户端进程的初始数量.

· 最大进程数:指定浏览器访问服务可以托管的最大SAP Business One客户端进程数.

· 空闲进程:指定备用SAP Business One客户端进程的数量.当新的SAP Business One用户尝试登录时,可以使用空闲进程.

· 说明:输入此浏览器访问服务器的说.

 例子

指定以下内容:

初始过程:20

最大过程:100

空闲进程:2

二十(20)个SAP Business One客户端进程在浏览器访问服务器上不断运行,并允许20个SAP Business One用户在Web浏览器中同时访问SAP Business One客户端.

当第19个SAP Business One用户登录时,启动(1)个SAP Business One进,以确保两(2)个空闲进程总是在后台运行.

如果更多SAP Business One用户尝试在Web浏览器中访问SAP Business One客户,则会启动更多空闲进,但最多允许100个用户进行并行访问.

4. 要保存更改,请选择”确定”.

5. 要立即应用更改,请在浏览器访问服务器上重新启动SAP Business One浏览器访问服务器Gatekeeper服务.

五、将外部地址映射到内部地址

你必须在系统架构目录中注册以下每个组件的外部地址与其内部地址之间的映射:

· 系统架构目录(SLD)

· 浏览器访问服务

注意,你不需要注册集成框架的映射.

过程

3. 在Web浏览器中,使用以下URL登录到系统格式目录:https://:/ControlCenter.

6. 在”外部地址映射”选项卡上,选择”注册”

7. 在”注册外部地址”窗口中,指定以下信息:

1. 组件

1. 安装组件的计算机的主机名或IP地址

2. 外部URL

外部访问URL必须具有格式://:.

 例子

http://10.58.9.100:8080

8. 选择确定.

补充必要条件

完成将外部地址映射到所有必需组件后,须在安装它们的计算机上重新启动服务.

例如,如果你已为浏览器访问服务器注册了外部地址映射,则必须重新启动SAP Business One浏览器访问服务器Gatekeeper服务.

注意,重新启动SAP Business One Browser Access Server Gatekeeper服务可能需要5到10分钟.

 

六、在Web浏览器中访问SAP Business One

缺省情况下,没有应用负载均衡机制.你可以创建Web访问门户,并使用你自己选择的负载平衡机制将请求重定向到不同的浏览器访问服务,例如循环.

先决条件

· 你已确保可以登录到浏览器访问服务器上安装的SAP Business One客户端.

· 你使用的是以下Web浏览器之一:

· Mozilla Firefox

· Google Chrome

· Microsoft Edge

确保已启用自动检测Intranet网络.

· Apple Safari (Mac 和 IPad)

确保你已启用Adobe Flash Player.这是Crystal仪表板的先决条件.

过程

以下过程说明如何在Web浏览器中直接访问SAP Business One.

4. 在Web浏览器中,导航到浏览器访问服务的外部URL.例如:https://BASExternalAddress.abc.com:Port/dispatcher

如果你不确定,可以检查SLD中的外部地址映射.

打开浏览器访问页面.

9. 选择公司并登录.

,你可以在Web浏览器中使用SAP Business One.

七、监视浏览器访问进程

从版本9.2 PL02开始,你可以使用以下URL监控网页中的浏览器访问进程:https://dispatcherHostname:port/dispatcher/serviceMonitor/.

八、日志

浏览器访问服务的日志文件存储在<安装文件夹> SAP Business One BAS GateKeeper tomcat logs.

如果需要排除问题,请编辑文件<安装文件夹> SAP Business One BAS GateKeeper tomcat webapps dispatcher WEB-INF classes logback.xml,并将日志记录级别从默认WARN更改为DEBUG.请注意,调查之后,须将日志记录级别更改回缺省值.

TransInfo斯凯普斯是SAP制造业解决方案核心合作伙伴,SAP金牌实施商专注上海/无锡/苏州/广州/深圳/东莞/成都等地SAP ERP软件SAP制造业ERP软件、 电子制造ERP医药行业ERP精细化工ERP机械制造设备行业ERP实施服务