让我们回顾一下上一篇博文。IAS被配置为唯一具有SAP云平台帐户的IdP。当IAS设置为代理时，所有身份验证请求都会转发到Azure AD。默认情况下，云服务器是，IAS使用条件身份验证将所有身份验证请求转发到Azure AD。

这里是一个场景，您在组织中使用两个IDP，淘客链接，并且根据某些规则（如电子邮件域或IP范围），您希望使用相应的IDP对用户进行身份验证。我们将继续利用我们迄今为止在这种情况下使用的东西。IAS将拥有电子邮件域的用户-Gmail.com而Azure AD将拥有电子邮件域的用户–Outlook.com. 根据用户最初提供的电子邮件地址，IAS将决定是否需要使用IAS或Azure AD对用户进行身份验证。

现在唯一需要的配置更改是在IAS中应用程序的信任选项卡下的"条件身份验证"中。在上一篇博客中，我们将Azure AD设置为默认值。将其更改为"SAP云平台身份验证"，如下所示。点击"添加规则"按钮。

在条件认证规则中，我们可以定义特定的IdP何时需要使用的规则。例如，可以基于用户组、IP范围或电子邮件域定义规则。在这个例子中，建站系统哪个比较好，我使用了azuread作为IdP，当电子邮件域是outlook.com

您的屏幕应该如下所示。保存您的更改。

您不需要在SAP云平台帐户中进一步更改任何内容。如您所见，我在SAP云平台帐户中的可信身份提供商中只有一个条目。

现在当我尝试访问供应商门户网站时，它将带我进入IAS登录页面，并且只提供电子邮件ID字段。

当我向用户提供电子邮件域作为Outlook.com, 它会将我重定向到Azure广告登录页。

成功验证后，它会将我带到供应商门户网站

让我们在不同的电子邮件域中尝试相同的操作–Gmail.com

当我提供一个Gmail帐号并点击continue时，在同一个屏幕中打开密码字段（如下所示）

我可以使用用户成功登录（在IAS中创建，淘客大联盟，电子邮件域为Gmail）。但是，此用户将看不到任何应用程序。

原因是，我们之前已经删除了IAS和SAP云平台组之间的组映射。我们需要再次添加此项（下面以红色突出显示）

现在，当您再次尝试使用同一用户登录时，它将显示应用程序。

第5部分-利用企业身份提供商的多因素身份验证和条件访问策略

，企业信息软件