商務咨詢
SAP Business One 9.2如何啟用外部瀏覽器訪問-選擇處理外部請求的方法
SAP Business One瀏覽器訪問服務可幫助你在公司網絡之外使用SAP Business One.為了安全訪問,你必須確保執行以下操作:
1. 使用適當的方法處理外部請求.
2. 使用有效的證書安裝相關的SAP Business One服務.
3. 為每個相關的SAP Business One服務分配一個外部地址.
4. 在外部地址和內部地址之間建立正確的映射.
或者,你可以使用Citrix或類似解決方案進行外部訪問.這些第三方解決方案不在本指南中.
一、選擇處理外部請求的方法
由于瀏覽器訪問服務使你能夠從外部網絡訪問SAP Business One,因此外部請求可以正確發送到內部服務至關重要.
為了處理外部請求,我們建議部署逆向代理,而不是使用NAT / PAT(網絡地址轉換/端口地址轉換).與NAT / PTA相比,反向代理更靈活,可以過濾傳入請求.
注意
無論使用何種方法,數據庫服務都不會暴露給外部網絡;僅顯示SAP Business One服務.但是,你不能直接為安裝了SAP Business One組件的任何服務器直接分配外部IP地址.
要提高橫向安全性,可以在不是持有SAP Business One組件的計算機上安裝數據庫服務器.
反向代理
反向代理作為內部SAP Business One服務和外部客戶端之間的交換.所有外部客戶端向逆向代理發送請求,逆向代理將請求轉發到內部SAP Business One服務.
要使用反向代理來處理傳入的外部請求,你需要:
1. 在安裝過程中為所有SAP Business One服務導入受信任的根證書.
證書可以由第三方證書頒發機構(CA)或本地企業CA頒發.有關設置本地證書頒發機構頒發內部證書的說明,請參閱Microsoft文檔.
SAP Business One格局中的所有組件(包括反向代理)都應該信任為所有SAP Business One服務頒發內部證書的根CA.
1. 從第三方公共CA購買證書,并將證書導入到反向代理服務器.
請注意,此證書必須不同于第一個證書.雖然第一個證書允許反向代理信任CA,反過來,SAP Business One服務,第二個證書允許反向代理被外部客戶端信任.
來自外部網絡的所有客戶端自然地信任公共CA,反過來,信任反向代理.因此,從內部SAP Business One服務到逆向代理和外部客戶端建立了一個信任鏈.
NAT/PAT(網絡地址映射/端口地址映射)
如果你喜歡NAT / PAT到反向代理,請注意所有客戶端直接連接到內部SAP Business One服務,外部客戶端和內部客戶端.
要使用NAT / PAT,必須從第三方CA購買證書,并將證書導入到隨SAP Business One服務安裝的所有計算機.所有客戶必須信任此第三方公共CA.
二、準備HTTPS服務的證書
任何偵聽HTTPS的服務都需要有效的PKCS12(.pfx)證書才能正常工作,特別是對使用瀏覽器訪問服務的外部訪問.
如何準備PKCS12(.pfx)證書取決于你計劃如何將SAP Business One服務(包括瀏覽器訪問服務)公開到Internet(外部網絡)
準備證書時,請注意以下幾點:
· 確保整個證書鏈包含在證書中.
· 要簡化證書管理,請設置通配符DNS(* .DomainName).
· 公鑰必須是2048位RSA密鑰.
注意,JAVA不支持4096位RSA密鑰,并且1024位不再是安全的.
或者,你可以使用256位ECDH鍵,但建議使用RSA-2048.
· 簽名散列算法必須至少為SHA-2(例如,SHA256).
反向代理(推薦)
對于反向代理,請為內部域準備內部證書,并將內部根證書導入所有Windows服務器.然后為外部域購買由第三方CA頒發的另一個外部證書,并將此證書導入反向代理服務器.
NAT/PAT(網絡地址映射/端口地址映射)
如果使用NAT / PAT處理外部客戶端請求,請購買第三方CA針對內部域和外部域頒發的證書.
如果內部域和外部域具有不同的名稱,則此證書應在”主題備用名稱”字段中列出兩個域.但是,我們建議你對內部和外部域使用相同的域名.
三、準備外部地址
要將SAP Business One服務公開到Internet(外部網絡),必須為相關組件準備外部地址.
注意
服務層僅用于內部組件調用,你不需要將其公開到Internet
請注意以下幾點:
· 每個組件的外部地址和內部地址必須不同;否則,外部網絡不能與內部網絡區分開,使得瀏覽器訪問錯誤.
· 僅支持一組外部地址.通過外部地址的DNS別名進行通信將導致錯誤.
反向代理模式
如果你打算使用反向代理處理客戶端請求,我們建議你為內部域和外部域使用不同的域名.例如,內部域是abc.corp,外部域是def.com.
準備外部地址如下:
· 為每個組件準備一個外部地址:
· 系統架構目錄(SLD)
· 瀏覽器訪問服務
· 集成框架(如果使用SAP Business One移動解決方案)
· 每個組件的內部地址必須與內部域的證書的公用名稱匹配;每個組件的外部地址必須與為外部域購買的證書的公用名稱匹配.
例子
組件的內部URL如下:
o 系統架構目錄: https://SLDInternalAddress.abc.corp:Port
o 瀏覽器訪問服務: https://BASInternalAddress.abc.corp:Port/dispatcher
o 集成框架: https://B1iInternalAddress.abc.corp:Port/B1iXcellerator
外部URL如下:
o 系統架構目錄:https://SLDExternalAddress.def.com:Port
o 瀏覽器訪問服務:https://BASExternalAddress.def.com:Port/dispatcher
o 集成框架: https://B1iExternalAddress.def.com:Port/B1iXcellerator
NAT/PAT(網絡地址映射/端口地址映射)
如果你打算使用NAT / PAT處理客戶端請求,我們建議你在內部和外部網絡中使用相同的域名.例如,內部域和外部域都是abc.com.
準備外部地址如下:
· 為每個組件準備一個外部地址(主機名或IP地址):
· 系統架構目錄(SLD)
· 瀏覽器訪問服務
· 集成框架(如果使用SAP Business One移動解決方案)
· 對于這些組件,外部地址和端口的組合必須不同.換句話說,如果兩個組件具有相同的外部地址,則它們偵聽的端口必須不同;反之亦然.
· 每個組件的內部地址和外部地址必須與為內部域和外部域購買的證書的公用名稱匹配.
例子
組件的內部URL如下:
o 系統架構目錄: https://SLDInternalAddress.abc.com:Port
o 瀏覽器訪問服務: https://BASInternalAddress.abc.com:Port/dispatcher
o 集成框架:https://B1iInternalAddress.abc.com:Port/B1iXcellerator
外部URL如下:
o 系統架構目錄: https://SLDExternalAddress.abc.com:Port
o 瀏覽器訪問服務: https://BASExternalAddress.abc.com:Port/dispatcher
o 集成框架:https://B1iExternalAddress.abc.com:Port/B1iXcellerator
四、配置瀏覽器訪問服務
The Browser Access service enables remote access to the SAP Business One client in a Web browser. The Windows service name is SAP Business One Browser Access Server Gatekeeper.
瀏覽器訪問服務允許在Web瀏覽器中遠程訪問SAP Business One客戶端. Windows服務名稱是SAP Business One Browser Access Server Gatekeeper.
先決條件
確保瀏覽器訪問服務器上的日期和時間與數據庫服務器同步.
過程
2. Web瀏覽器中,使用以下URL登錄到系統格式目錄:https://
2. 在服務選項卡上,選擇特定瀏覽器訪問服務器的瀏覽器訪問條目,然后單擊編輯.
3. 在”編輯服務”窗口中,編輯以下信息:
· 服務URL:編輯用于訪問服務的URL.
例如,你可能要使用IP地址而不是主機名.或者主機名,IP地址或端口已更改,你必須更新服務URL以反映更改.
· 初始進程:指定瀏覽器訪問服務托管的SAP Business One客戶端進程的初始數量.
· 最大進程數:指定瀏覽器訪問服務可以托管的最大SAP Business One客戶端進程數.
· 空閑進程:指定備用SAP Business One客戶端進程的數量.當新的SAP Business One用戶嘗試登錄時,可以使用空閑進程.
· 說明:輸入此瀏覽器訪問服務器的說明.
例子
指定以下內容:
o 初始過程:20
o 最大過程:100
空閑進程:2
二十(20)個SAP Business One客戶端進程在瀏覽器訪問服務器上不斷運行,并允許20個SAP Business One用戶在Web瀏覽器中同時訪問SAP Business One客戶端.
當第19個SAP Business One用戶登錄時,啟動一(1)個SAP Business One進程,以確保兩(2)個空閑進程總是在后臺運行.
如果更多SAP Business One用戶嘗試在Web瀏覽器中訪問SAP Business One客戶端,則會啟動更多空閑進程,但最多允許100個用戶進行并行訪問.
4. 要保存更改,請選擇”確定”.
5. 要立即應用更改,請在瀏覽器訪問服務器上重新啟動SAP Business One瀏覽器訪問服務器Gatekeeper服務.
五、將外部地址映射到內部地址
你必須在系統架構目錄中注冊以下每個組件的外部地址與其內部地址之間的映射:
· 系統架構目錄(SLD)
· 瀏覽器訪問服務
請注意,你不需要注冊集成框架的映射.
過程
3. 在Web瀏覽器中,使用以下URL登錄到系統格式目錄:https://
6. 在”外部地址映射”選項卡上,選擇”注冊”
7. 在”注冊外部地址”窗口中,指定以下信息:
1. 組件
1. 安裝組件的計算機的主機名或IP地址
2. 外部URL
外部訪問URL必須具有格式
例子
http://10.58.9.100:8080
8. 選擇確定.
補充必要條件
完成將外部地址映射到所有必需組件后,必須在安裝它們的計算機上重新啟動服務.
例如,如果你已為瀏覽器訪問服務器注冊了外部地址映射,則必須重新啟動SAP Business One瀏覽器訪問服務器Gatekeeper服務.
請注意,重新啟動SAP Business One Browser Access Server Gatekeeper服務可能需要5到10分鐘.
六、在Web瀏覽器中訪問SAP Business One
缺省情況下,沒有應用負載均衡機制.你可以創建Web訪問門戶,并使用你自己選擇的負載平衡機制將請求重定向到不同的瀏覽器訪問服務器,例如循環.
先決條件
· 你已確保可以登錄到瀏覽器訪問服務器上安裝的SAP Business One客戶端.
· 你使用的是以下Web瀏覽器之一:
· Mozilla Firefox
· Google Chrome
· Microsoft Edge
確保已啟用自動檢測Intranet網絡.
· Apple Safari (Mac 和 IPad)
確保你已啟用Adobe Flash Player.這是Crystal儀表板的先決條件.
過程
以下過程說明如何在Web瀏覽器中直接訪問SAP Business One.
4. 在Web瀏覽器中,導航到瀏覽器訪問服務的外部URL.例如:https://BASExternalAddress.abc.com:Port/dispatcher
如果你不確定,可以檢查SLD中的外部地址映射.
打開瀏覽器訪問頁面.
9. 選擇公司并登錄.
現在,你可以在Web瀏覽器中使用SAP Business One.
七、監視瀏覽器訪問進程
從版本9.2 PL02開始,你可以使用以下URL監控網頁中的瀏覽器訪問進程:https://dispatcherHostname:port/dispatcher/serviceMonitor/.
八、日志
瀏覽器訪問服務的日志文件存儲在<安裝文件夾> SAP Business One BAS GateKeeper tomcat logs中.
如果需要排除問題,請編輯文件<安裝文件夾> SAP Business One BAS GateKeeper tomcat webapps dispatcher WEB-INF classes logback.xml,并將日志記錄級別從默認WARN更改為DEBUG.請注意,在調查之后,必須將日志記錄級別更改回缺省值.
TransInfo斯凱普斯是SAP制造業解決方案核心合作伙伴,SAP金牌實施商,專注上海/無錫/蘇州/廣州/深圳/東莞/成都等地SAP ERP軟件SAP制造業ERP軟件、 電子制造ERP、醫藥行業ERP、精細化工ERP、機械制造設備行業ERP實施服務。
