企业内网里最舒服的一种登录体验,往往是早上打开 Windows 笔记本,输入一次域账号密码,后面访问 SAP Fiori Launchpad、SAP GUI、企业门户、报表系统,不再反复弹登录框。用户看到的是少输一次密码,安全团队看到的是密码没有在各个 Web 应用里来回传,Basis 团队看到的是一套和 Microsoft Active Directory、SAP Single Sign-On、ABAP Front-End Server、AS Java 能够衔接起来的身份认证链路。这里面经常出现的关键词,就是 Kerberos 和 SPNego。Kerberos 是麻省理工学院开发的认证协议,设计目标很明确,在不可信或者容易被监听的网络环境里,让通信双方可以用安全方式证明身份。它不是简单地把用户名和密码提交给服务器,而是通过票据、短期会话密钥和可信第三方来完成认证。Microsoft 文档里也把 Kerberos 描述成一种基于 KDC 的票据机制,客户端先取得 TGT,再用 TGT 换取访问具体服务的 Service Ticket,后续客户端向服务端出示票据完成认证。(Microsoft Learn)在 SAP 场景里谈 Kerberos,不能只停留在协议层。SAP NetWeaver A