SAP Business One 9.2如何啟用外部瀏覽器訪問-選擇處理外部請求的方法
SAP Business One瀏覽器訪問服務(wù)可幫助你在公司網(wǎng)絡(luò)之外使用SAP Business One.為了安全訪問,你必須確保執(zhí)行以下操作:
1. 使用適當(dāng)?shù)姆椒ㄌ幚硗獠空?span>求.
2. 使用有效的證書安裝相關(guān)的SAP Business One服務(wù).
3. 為每個相關(guān)的SAP Business One服務(wù)分配一個外部地址.
4. 在外部地址和內(nèi)部地址之間建立正確的映射.
或者,你可以使用Citrix或類似解決方案進行外部訪問.這些第三方解決方案不在本指南中.
一、選擇處理外部請求的方法
由于瀏覽器訪問服務(wù)使你能夠從外部網(wǎng)絡(luò)訪問SAP Business One,因此外部請求可以正確發(fā)送到內(nèi)部服務(wù)至關(guān)重要.
為了處理外部請求,我們建議部署逆向代理,而不是使用NAT / PAT(網(wǎng)絡(luò)地址轉(zhuǎn)換/端口地址轉(zhuǎn)換).與NAT / PTA相比,反向代理更靈活,可以過濾傳入請求.
注意
無論使用何種方法,數(shù)據(jù)庫服務(wù)都不會暴露給外部網(wǎng)絡(luò);僅顯示SAP Business One服務(wù).但是,你不能直接為安裝了SAP Business One組件的任何服務(wù)器直接分配外部IP地址.
要提高橫向安全性,可以在不是持有SAP Business One組件的計算機上安裝數(shù)據(jù)庫服務(wù)器.
反向代理
反向代理作為內(nèi)部SAP Business One服務(wù)和外部客戶端之間的交換.所有外部客戶端向逆向代理發(fā)送請求,逆向代理將請求轉(zhuǎn)發(fā)到內(nèi)部SAP Business One服務(wù).
要使用反向代理來處理傳入的外部請求,你需要:
1. 在安裝過程中為所有SAP Business One服務(wù)導(dǎo)入受信任的根證書.
證書可以由第三方證書頒發(fā)機構(gòu)(CA)或本地企業(yè)CA頒發(fā).有關(guān)設(shè)置本地證書頒發(fā)機構(gòu)頒發(fā)內(nèi)部證書的說明,請參閱Microsoft文檔.
SAP Business One格局中的所有組件(包括反向代理)都應(yīng)該信任為所有SAP Business One服務(wù)頒發(fā)內(nèi)部證書的根CA.
1. 從第三方公共CA購買證書,并將證書導(dǎo)入到反向代理服務(wù)器.
請注意,此證書必須不同于第一個證書.雖然第一個證書允許反向代理信任CA,反過來,SAP Business One服務(wù),第二個證書允許反向代理被外部客戶端信任.
來自外部網(wǎng)絡(luò)的所有客戶端自然地信任公共CA,反過來,信任反向代理.因此,從內(nèi)部SAP Business One服務(wù)到逆向代理和外部客戶端建立了一個信任鏈.
NAT/PAT(網(wǎng)絡(luò)地址映射/端口地址映射)
如果你喜歡NAT / PAT到反向代理,請注意所有客戶端直接連接到內(nèi)部SAP Business One服務(wù),外部客戶端和內(nèi)部客戶端.
要使用NAT / PAT,必須從第三方CA購買證書,并將證書導(dǎo)入到隨SAP Business One服務(wù)安裝的所有計算機.所有客戶必須信任此第三方公共CA.
二、準備HTTPS服務(wù)的證書
任何偵聽HTTPS的服務(wù)都需要有效的PKCS12(.pfx)證書才能正常工作,特別是對使用瀏覽器訪問服務(wù)的外部訪問.
如何準備PKCS12(.pfx)證書取決于你計劃如何將SAP Business One服務(wù)(包括瀏覽器訪問服務(wù))公開到Internet(外部網(wǎng)絡(luò))
準備證書時,請注意以下幾點:
· 確保整個證書鏈包含在證書中.
· 要簡化證書管理,請設(shè)置通配符DNS(* .DomainName).
· 公鑰必須是2048位RSA密鑰.
注意,JAVA不支持4096位RSA密鑰,并且1024位不再是安全的.
或者,你可以使用256位ECDH鍵,但建議使用RSA-2048.
· 簽名散列算法必須至少為SHA-2(例如,SHA256).
反向代理(推薦)
對于反向代理,請為內(nèi)部域準備內(nèi)部證書,并將內(nèi)部根證書導(dǎo)入所有Windows服務(wù)器.然后為外部域購買由第三方CA頒發(fā)的另一個外部證書,并將此證書導(dǎo)入反向代理服務(wù)器.
NAT/PAT(網(wǎng)絡(luò)地址映射/端口地址映射)
如果使用NAT / PAT處理外部客戶端請求,請購買第三方CA針對內(nèi)部域和外部域頒發(fā)的證書.
如果內(nèi)部域和外部域具有不同的名稱,則此證書應(yīng)在”主題備用名稱”字段中列出兩個域.但是,我們建議你對內(nèi)部和外部域使用相同的域名.
三、準備外部地址
要將SAP Business One服務(wù)公開到Internet(外部網(wǎng)絡(luò)),必須為相關(guān)組件準備外部地址.
注意
服務(wù)層僅用于內(nèi)部組件調(diào)用,你不需要將其公開到Internet
請注意以下幾點:
· 每個組件的外部地址和內(nèi)部地址必須不同;否則,外部網(wǎng)絡(luò)不能與內(nèi)部網(wǎng)絡(luò)區(qū)分開,使得瀏覽器訪問錯誤.
· 僅支持一組外部地址.通過外部地址的DNS別名進行通信將導(dǎo)致錯誤.
反向代理模式
如果你打算使用反向代理處理客戶端請求,我們建議你為內(nèi)部域和外部域使用不同的域名.例如,內(nèi)部域是abc.corp,外部域是def.com.
準備外部地址如下:
· 為每個組件準備一個外部地址:
· 系統(tǒng)架構(gòu)目錄(SLD)
· 瀏覽器訪問服務(wù)
· 集成框架(如果使用SAP Business One移動解決方案)
· 每個組件的內(nèi)部地址必須與內(nèi)部域的證書的公用名稱匹配;每個組件的外部地址必須與為外部域購買的證書的公用名稱匹配.
例子
組件的內(nèi)部URL如下:
o 系統(tǒng)架構(gòu)目錄: https://SLDInternalAddress.abc.corp:Port
o 瀏覽器訪問服務(wù): https://BASInternalAddress.abc.corp:Port/dispatcher
o 集成框架: https://B1iInternalAddress.abc.corp:Port/B1iXcellerator
外部URL如下:
o 系統(tǒng)架構(gòu)目錄:https://SLDExternalAddress.def.com:Port
o 瀏覽器訪問服務(wù):https://BASExternalAddress.def.com:Port/dispatcher
o 集成框架: https://B1iExternalAddress.def.com:Port/B1iXcellerator
NAT/PAT(網(wǎng)絡(luò)地址映射/端口地址映射)
如果你打算使用NAT / PAT處理客戶端請求,我們建議你在內(nèi)部和外部網(wǎng)絡(luò)中使用相同的域名.例如,內(nèi)部域和外部域都是abc.com.
準備外部地址如下:
· 為每個組件準備一個外部地址(主機名或IP地址):
· 系統(tǒng)架構(gòu)目錄(SLD)
· 瀏覽器訪問服務(wù)
· 集成框架(如果使用SAP Business One移動解決方案)
· 對于這些組件,外部地址和端口的組合必須不同.換句話說,如果兩個組件具有相同的外部地址,則它們偵聽的端口必須不同;反之亦然.
· 每個組件的內(nèi)部地址和外部地址必須與為內(nèi)部域和外部域購買的證書的公用名稱匹配.
例子
組件的內(nèi)部URL如下:
o 系統(tǒng)架構(gòu)目錄: https://SLDInternalAddress.abc.com:Port
o 瀏覽器訪問服務(wù): https://BASInternalAddress.abc.com:Port/dispatcher
o 集成框架:https://B1iInternalAddress.abc.com:Port/B1iXcellerator
外部URL如下:
o 系統(tǒng)架構(gòu)目錄: https://SLDExternalAddress.abc.com:Port
o 瀏覽器訪問服務(wù): https://BASExternalAddress.abc.com:Port/dispatcher
o 集成框架:https://B1iExternalAddress.abc.com:Port/B1iXcellerator
四、配置瀏覽器訪問服務(wù)
The Browser Access service enables remote access to the SAP Business One client in a Web browser. The Windows service name is SAP Business One Browser Access Server Gatekeeper.
瀏覽器訪問服務(wù)允許在Web瀏覽器中遠程訪問SAP Business One客戶端. Windows服務(wù)名稱是SAP Business One Browser Access Server Gatekeeper.
先決條件
確保瀏覽器訪問服務(wù)器上的日期和時間與數(shù)據(jù)庫服務(wù)器同步.
過程
2. Web瀏覽器中,使用以下URL登錄到系統(tǒng)格式目錄:https://
2. 在服務(wù)選項卡上,選擇特定瀏覽器訪問服務(wù)器的瀏覽器訪問條目,然后單擊編輯.
3. 在”編輯服務(wù)”窗口中,編輯以下信息:
· 服務(wù)URL:編輯用于訪問服務(wù)的URL.
例如,你可能要使用IP地址而不是主機名.或者主機名,IP地址或端口已更改,你必須更新服務(wù)URL以反映更改.
· 初始進程:指定瀏覽器訪問服務(wù)托管的SAP Business One客戶端進程的初始數(shù)量.
· 最大進程數(shù):指定瀏覽器訪問服務(wù)可以托管的最大SAP Business One客戶端進程數(shù).
· 空閑進程:指定備用SAP Business One客戶端進程的數(shù)量.當(dāng)新的SAP Business One用戶嘗試登錄時,可以使用空閑進程.
· 說明:輸入此瀏覽器訪問服務(wù)器的說明.
例子
指定以下內(nèi)容:
o 初始過程:20
o 最大過程:100
空閑進程:2
二十(20)個SAP Business One客戶端進程在瀏覽器訪問服務(wù)器上不斷運行,并允許20個SAP Business One用戶在Web瀏覽器中同時訪問SAP Business One客戶端.
當(dāng)?shù)?9個SAP Business One用戶登錄時,啟動一(1)個SAP Business One進程,以確保兩(2)個空閑進程總是在后臺運行.
如果更多SAP Business One用戶嘗試在Web瀏覽器中訪問SAP Business One客戶端,則會啟動更多空閑進程,但最多允許100個用戶進行并行訪問.
4. 要保存更改,請選擇”確定”.
5. 要立即應(yīng)用更改,請在瀏覽器訪問服務(wù)器上重新啟動SAP Business One瀏覽器訪問服務(wù)器Gatekeeper服務(wù).
五、將外部地址映射到內(nèi)部地址
你必須在系統(tǒng)架構(gòu)目錄中注冊以下每個組件的外部地址與其內(nèi)部地址之間的映射:
· 系統(tǒng)架構(gòu)目錄(SLD)
· 瀏覽器訪問服務(wù)
請注意,你不需要注冊集成框架的映射.
過程
3. 在Web瀏覽器中,使用以下URL登錄到系統(tǒng)格式目錄:https://
6. 在”外部地址映射”選項卡上,選擇”注冊”
7. 在”注冊外部地址”窗口中,指定以下信息:
1. 組件
1. 安裝組件的計算機的主機名或IP地址
2. 外部URL
外部訪問URL必須具有格式
例子
http://10.58.9.100:8080
8. 選擇確定.
補充必要條件
完成將外部地址映射到所有必需組件后,必須在安裝它們的計算機上重新啟動服務(wù).
例如,如果你已為瀏覽器訪問服務(wù)器注冊了外部地址映射,則必須重新啟動SAP Business One瀏覽器訪問服務(wù)器Gatekeeper服務(wù).
請注意,重新啟動SAP Business One Browser Access Server Gatekeeper服務(wù)可能需要5到10分鐘.
六、在Web瀏覽器中訪問SAP Business One
缺省情況下,沒有應(yīng)用負載均衡機制.你可以創(chuàng)建Web訪問門戶,并使用你自己選擇的負載平衡機制將請求重定向到不同的瀏覽器訪問服務(wù)器,例如循環(huán).
先決條件
· 你已確??梢缘卿浀綖g覽器訪問服務(wù)器上安裝的SAP Business One客戶端.
· 你使用的是以下Web瀏覽器之一:
· Mozilla Firefox
· Google Chrome
· Microsoft Edge
確保已啟用自動檢測Intranet網(wǎng)絡(luò).
· Apple Safari (Mac 和 IPad)
確保你已啟用Adobe Flash Player.這是Crystal儀表板的先決條件.
過程
以下過程說明如何在Web瀏覽器中直接訪問SAP Business One.
4. 在Web瀏覽器中,導(dǎo)航到瀏覽器訪問服務(wù)的外部URL.例如:https://BASExternalAddress.abc.com:Port/dispatcher
如果你不確定,可以檢查SLD中的外部地址映射.
打開瀏覽器訪問頁面.
9. 選擇公司并登錄.
現(xiàn)在,你可以在Web瀏覽器中使用SAP Business One.
七、監(jiān)視瀏覽器訪問進程
從版本9.2 PL02開始,你可以使用以下URL監(jiān)控網(wǎng)頁中的瀏覽器訪問進程:https://dispatcherHostname:port/dispatcher/serviceMonitor/.
八、日志
瀏覽器訪問服務(wù)的日志文件存儲在<安裝文件夾> SAP Business One BAS GateKeeper tomcat logs中.
如果需要排除問題,請編輯文件<安裝文件夾> SAP Business One BAS GateKeeper tomcat webapps dispatcher WEB-INF classes logback.xml,并將日志記錄級別從默認WARN更改為DEBUG.請注意,在調(diào)查之后,必須將日志記錄級別更改回缺省值.
TransInfo斯凱普斯是SAP制造業(yè)解決方案核心合作伙伴,SAP金牌實施商,專注上海/無錫/蘇州/廣州/深圳/東莞/成都等地SAP ERP軟件SAP制造業(yè)ERP軟件、 電子制造ERP、醫(yī)藥行業(yè)ERP、精細化工ERP、機械制造設(shè)備行業(yè)ERP實施服務(wù)。