大约两年前，当我开始使用microsoftazure时，我写了一篇关于使用azureactivedirectory实现sapfiori单点登录的博客。该解决方案非常易于实现和使用，但其范围仅限于基于web的应用程序。我很惊讶，本地域服务在Azure平台上没有对应的服务，要使用基于Kerberos的身份验证等功能，我们仍然必须遵循旧的路线-创建VM并手动配置（和维护！）所需服务

但可用功能的列表正在快速增长。我最喜欢微软Azure的是不断创新。昨天做不到的事情现在都很顺利。快速浏览一下Azure更新网站就足以了解微软为发布新功能付出了多大的努力——每隔两三天就会有另一个发布。2017年11月，微软分享了一个重要的更新，大数据调研报告，淘客猪，在我看来，这将极大地影响IT未来的面貌。

我很确定你已经知道我将在这篇文章中描述哪种服务。它是azureactivedirectory域服务，这是一个云实现的非常流行的功能，到目前为止只能作为windowsserver的一部分使用。我想向您介绍托管域的基本配置，以及如何使用它来启用SAP系统的Kerberos身份验证。

部署AZURE ACTIVE DIRECTORY域服务

虽然本博客的主要目的是介绍Kerberos单一登录配置，但我还想快速介绍基本配置提供Azure AD域服务所需的步骤。它将帮助您更好地了解该服务的工作原理以及与本地版本相比的区别。

登录Azure门户，选择Azure AD域服务并单击添加。第一步是定义DNS域名–该字段自动填充Azure AD的域名。

在第二步中，云服务器试用，选择要用于部署服务的虚拟网络。Azure AD DS正在自动与与所选网络关联的Active Directory同步。为了提高安全性，需要一个单独的子网。即使您没有指定网络安全组，它也会自动创建。

第三步允许您将用户分配给DC管理员角色–它将允许他们在托管域中执行基本的管理任务，如创建新对象和加入计算机。当计算机加入域时，所有具有DC管理员角色的用户都将获得本地管理员权限。

在摘要页上确认更改。值得注意的是，域存储密码散列的方式与当前的本地方式完全相同。

部署可能需要一个小时，然后是初始用户复制，人工智能工作，这也可能需要一些时间。在我的情况下，所需的总时间约为2小时，然而，我的Azure AD没有太多用户-在大规模部署的情况下，可能需要更长的时间。

要使用Kerberos单一登录，需要按照过程生成密码哈希。我的域只包含云用户，因此，网络云服务器，这个过程很简单，需要更改密码，密码在20-30分钟后同步到域。之后，您可以使用管理员帐户将计算机加入域：

目前，Azure门户仅允许基本功能执行域的管理任务，如管理用户和组。为了能够使用make advanced configuration，需要在其中一台服务器上安装AD管理工具。

通过Active Directory管理中心所做的所有更改都不会复制回Azure AD，因此，在创建新用户和管理组分配时应小心使用它。

（来源：微软网站)

Kerberos身份验证需要一个服务用户–但是由于我们没有真正的用户，我们可以直接在activedirectory域服务中创建它。为了使他与域的其他部分保持分离，我创建了一个新的组织单元。

用户创建非常简单，看起来与内部部署完全相同。

服务用户需要有一个特殊的属性servicePrincipalName，其值为SAP/：

SAP NETWEAVER CONFIGURATION

当基本域设置完成后，我们可以跳转到NetWeaver配置。我建议使用事务SNCWIZARD来设置配置文件参数，并创建初始PSE来保护客户端和SAP服务器之间的通信通道。

根据我们当前的设置，可能需要实现其他配置文件参数：

服务器实例状态显示SNC状态的摘要。我们可以跳过X.509凭据，因为我们想使用Kerberos单点登录。

重新启动应用程序服务器，确保新参数设置正确。然后打开事务SPNEGO，填写服务用户的详细信息。

最后一个配置步骤是将SNC名称分配给用户。您可以在SU01中完成，也可以通过批量维护来完成。

在验证解决方案之前，我们只需要在SAP GUI中启用SNC。在"网络"选项卡上选择"激活安全网络通信"，然后键入SNC名称–该名称与在SNC向导中生成的值相同（可从STRUST获取）：

SAP Single Sign-on configuration已完成。我们可以尝试登录：

成功！成功了！我能够登录到系统，而不需要记住用户名或密码！