让我们回顾一下上一篇博文。IAS被配置为唯一具有SAP云平台帐户的IdP。当IAS设置为代理时,所有身份验证请求都会转发到Azure AD。默认情况下,云服务器是,IAS使用条件身份验证将所有身份验证请求转发到Azure AD。
这里是一个场景,您在组织中使用两个IDP,淘客链接,并且根据某些规则(如电子邮件域或IP范围),您希望使用相应的IDP对用户进行身份验证。我们将继续利用我们迄今为止在这种情况下使用的东西。IAS将拥有电子邮件域的用户-Gmail.com而Azure AD将拥有电子邮件域的用户–Outlook.com. 根据用户最初提供的电子邮件地址,IAS将决定是否需要使用IAS或Azure AD对用户进行身份验证。
现在唯一需要的配置更改是在IAS中应用程序的信任选项卡下的"条件身份验证"中。在上一篇博客中,我们将Azure AD设置为默认值。将其更改为"SAP云平台身份验证",如下所示。点击"添加规则"按钮。
在条件认证规则中,我们可以定义特定的IdP何时需要使用的规则。例如,可以基于用户组、IP范围或电子邮件域定义规则。在这个例子中,建站系统哪个比较好,我使用了azuread作为IdP,当电子邮件域是outlook.com
您的屏幕应该如下所示。保存您的更改。
您不需要在SAP云平台帐户中进一步更改任何内容。如您所见,我在SAP云平台帐户中的可信身份提供商中只有一个条目。
现在当我尝试访问供应商门户网站时,它将带我进入IAS登录页面,并且只提供电子邮件ID字段。
当我向用户提供电子邮件域作为Outlook.com, 它会将我重定向到Azure广告登录页。
成功验证后,它会将我带到供应商门户网站
让我们在不同的电子邮件域中尝试相同的操作–Gmail.com
当我提供一个Gmail帐号并点击continue时,在同一个屏幕中打开密码字段(如下所示)
我可以使用用户成功登录(在IAS中创建,淘客大联盟,电子邮件域为Gmail)。但是,此用户将看不到任何应用程序。
原因是,我们之前已经删除了IAS和SAP云平台组之间的组映射。我们需要再次添加此项(下面以红色突出显示)
现在,当您再次尝试使用同一用户登录时,它将显示应用程序。
第5部分-利用企业身份提供商的多因素身份验证和条件访问策略
,企业信息软件