Конечно, такое обновление сугубо индивидуально, но все же, написал памятку для себя, может она кому-нибудь пригодится:

Windows 2008/Oracle

1. Деблокировать или удалить запросы в системе
2. Остановить систему
3. Переименовать D:\usr\sap\SM1\SYS\exe\uc\NTAMD64
4. Скопировать в пустую D:\usr\sap\SM1\SYS\exe\uc\NTAMD64 файлы ядра из архивов SAPEXE_201-10011231.SAR и SAPEXEDB_201-10011229.SAR
5. Запустить D:\usr\sap\SM1\SYS\exe\uc\NTAMD64\vcredist_x64.msi (чтобы не получить ошибку SapCPE)
6. Запустить SolMan, убедиться что ядро заработало (на самом деле запустить, остановить, перезагрузить и снова запустить)
7. Скопировать диск 51042334 для установки Oracle 11.0.2
8. Запустить \51042334\database\SAP\sapserver.cmd от имени администратора
9. Выбрать пункт Upgrade Existing Database
10. Добавить русский язык
11. Отключить Archive Log на время обновления
12. Убрать галочку с Configure Enterprise Management
13. Правим в переменных коружения путь к ora_home после upgrade.
14. Копируем initEW.* (папка database)
15. SQL>ALTER SYSTEM SET COMPATIBLE = '11.2.0' SCOPE = SPFILE;
16. SQL>Shutdown immediate
17. SQL>Startup
18. SQL>show parameter compatible
19. Запустить SGEN для генерации экранов приложений
20. Присвоить своего SUSER в транзакции AISUSER
21. Применяем ноты по корректировке системы 1868738 и 1811055  
22. В SMSY добавить в SM java instanse, поправить SP-версию компанентов (0002)
23. В DSWP сгенерировать стэк
24. Скачать его через корзину
25. Установить Java
26. Запустить SUM от имени администратора (если не запускается - стереть и распаковать car заново)
27. Включить хост в список доверенных в локальной сети в браузере
28. Ввести хост и номер порта в URL из запущенного батника
29. Указать вручную путь к XML (не к index)
30. Ввести код 1740067
31. Нота  1635605 если зависает
32. Актуальные логи фазы в /sum/tmp, в /logs законченые логи
33. Отключен джоб SAP_COLLECTOR_FOR_PERFMONITOR
34. Отключение задвоившихся имплементаций BADI (SE18, SE19) (нота  1835882 )
35. НЕ ЗАБЫТЬ ПОИМЕТЬ НОТУ 1794392 запрос SAPK702XPRA90000039 или SAPK702XD1

Рассматриваемая конфигурация:

SAP ERP (Windows 2k8 + Oracle 11) / SAP GUI (Windows 7,8 32/64 bit)

1. Скачиваем из ноты 352295 файлы win64sso.zip и win32sso.zip.

2. В архиве win64sso.zip содержатся 64-битные библиотеки для активации SNC на стороне сервера, в win32sso.zip - на стороне клиента SAP GUI (sap gui исключительно 32 битный, даже если работает в Windows 7,8 64 bit)

3. Выполняем команду на контроллере домена или сервере SAP c правами администратора домена SETSPN -A SAPService<SID>/<sap-hostname>  <domain>\SAPService<SID>, где <SID> ваш SAP SID, <domain> - имя вашего домена, <sap-hostname> - имя сервера  SAP.

4. Извлечь из архива win64sso.zip библиотеку gx64krb5.dll и скопировать ее в C:\Windows\System32\ сервера SAP

5. Создать переменную окружения на сервере SAP SNC_LIB=C:\Windows\System32\gx64krb5.dll

6. В транзакции SU01 у пользователя прописать SNC-имя в формате: p:DOMAINUSER@DOMAIN.LOCAL

6. Добавить настройки профиля инстанции:

snc/enable =1
snc/accept_insecure_cpic =1
snc/accept_insecure_gui =1
snc/accept_insecure_r3int_rfc =1
snc/accept_insecure_rfc =1
snc/data_protection/max =3
snc/data_protection/min =1
snc/data_protection/use =3
# Location of the dll used for kerberos
snc/gssapi_lib = C:\Windows\System32\gx64krb5.dll
snc/permit_insecure_start =1
# The Windows User Account used to run SAP Server
snc/identity/as = p:SAPService<SID>@<YOUR DOMAIN.LOCAL>
snc/r3int_rfc_secure = 0

8. Перезапустите инстанцию. Если что-то не завелось - смотрите лог любого рабочего процесса (\usr\sap\<SID>\DVEBMGS00\work\dev_w0)

9. Настройки SAP GUI

9.1 Переименуйте библиотеку gsskrb5.dll из ахрива win32sso.zip в sncgss32.dll и поместите ее в c:\windows\system32 (для 32-битных OS) или в c:\windows\SYSWOW64 (для 64-битных OS)

9.2Если SAP GUI не нашел библиотеку прописать переменную окружения SNC_LIB=C:\Windows\System32\sncgss32.dll и проверить в том ли она месте (system32 или syswow64)

9.3 В свойствах подключения GUI активировать SNC и ввести строку p:SAPService<SID>@<DOMAIN.LOCAL>

10. Теперь при входе в систему пароль спрашиваться не будет, вместо этого внизу вы увидите уведомление вида: SNC logon by <MNDT> username for DOMAINUSER@DOMAIN.LOCAL.

Замечания:

Имена в SNC регистрочувствителные, следовательно, вам нужно узнать как именно был заведен пользователь в Active Directory, с заглавными или маленькими буквами.

Для удобства внедрения можно создать инсталлер (InstallShield), или скопировать файлик sncgss32.dll, saplogon.ini  и sapshortcut.ini через групповую политику Active Directory. Проверенно, это работает.

Переименование библиотеки нужно для SAP GUI, он ищет sncgss32.dll. Это можно исправить определив переменную окружения SNC_LIB.

Если нужен доступ по SSO в разные мандаты одной системы удобно создавать в SAP GUI ярлыки, прописав там хост, мандант и suser вы будете попадать в нужную систему (можно прописать и любимую транзакцию). Если suser не прописать - SAP будет спрашивать в какой мандант заходить. Если в одном манданте для пользователя активирован SSO, то ярлык, ведущий в другой мандант будет логиниться в текущий мандант. Это исправляется или прописыванием SNC в каждом из мандантов. Если нужно войти без SSO - в SAP GUI 7.30 нажать shift+enter на системе, или правой кнопкой мыши - вход без SSO. На старых версиях - нужно будет отключить SNC в настройках.

Есть альтернатива, SSO 2.0, но она платная, просто так ее не найти и не скачать.

Полезные материалы:

http://www.saptechies.org/create-ssosingle-sign-sap-sysetm/ (спасибо, ZeUsM)

http://service.sap.com/sap/support/notes/595341

https://scn.sap.com/thread/2004205

Запрос выводит пользователей, у которых не присвоено каноническое имя:

Нашел англоязычный вариант настройки:

К сожалению, в новой версии этой ноты нет возможности скачать эти библиотеки (