做 SAP GUI 单点登录时,很多人会把注意力放在客户端证书、Secure Login Client、用户映射、PSE 这些更显眼的对象上,反而容易忽略 Central Instance 这一层。实际项目里,Central Instance Profile 没有准备好,后面的 PSE 做得再漂亮,客户端拿到了 X.509 证书,SAP GUI 连接时也可能卡在 SNC 初始化、库文件加载、DN 不匹配或者非 SNC 登录被拒绝这些地方。在 AS ABAP 里启用基于 X.509 Client Certificate 的 Single Sign-On,本质不是简单地把用户名密码替换成证书。它是在 SAP GUI 或其他 RFC 通信双方之间启用 Secure Network Communications,也就是 SNC,再借助 GSS API 兼容的安全库完成认证、完整性保护和加密保护。SAP 官方文档也明确说,SAP GUI 可以使用 X.509 Client Certificates 登录 AS ABAP,用这种机制替代传统的 User ID 和 Password,而前提是 AS ABAP 系统必须启用 SNC,SNC 通过 Generic Security Services API 调用 SAP Single Sign-On 或外部安全产品完成通信双方认证。(SAP Help