正如我在许多博客文章中阐述的那样，saml2单点登录（SSO）通常是SAP分析云（SAC）中实时HANA连接的必备工具。在这样的设置中，作为HANA XS工件的InA服务配置有saml2身份提供者（IdP），通常与SAC使用的IdP相同。此IdP通常是公司SAML 2身份提供商。

但是，在SAP BusinessObjects Business Intelligence Platform（BIP）的内部部署中，HANA InA服务通常配置为针对BIP中内置的SAML 2 IdP进行身份验证。这给同时拥有SAC和BIP的客户带来了一个挑战：由于HANA只允许在给定的XS工件上配置一个IdP，他们如何为HANA InA服务使用两个SAML 2身份提供者？

我的同事Vishal Mour创建了一个惊人的wiki文档，其中包含了解决问题的详细步骤。然而，wiki文档并没有解释在幕后发生了什么，使得这个看似不可能的解决方案奏效。在这篇博客文章中，我将试着向您介绍这个"魔术"的内部工作机制。

SAML 2 SSO如何在常规IdP和HANA之间工作

首先，常规SAML 2 SSO流程与中央SAML 2 IdP（对于HANA和SAC）一起工作，如下图所示。从技术上讲，这称为SP启动的带前通道的Web SSO，其中前通道表示Web浏览器正在SAML 2 IdP和SP之间传递SAML 2请求和响应。这是SAML 2 SSO工作的最典型方式，符合SAML 2规范。

请注意，新手建站教程，在此设置中，必须通过HANA的XS管理工具添加SAML 2身份提供程序，并且必须显式配置InA工件以使用此特定的SAML 2 IdP进行身份验证。

SAML 2 SSO在BIP和HANA之间的工作方式

在BIP和HANA之间的SAML 2 SSO场景中，工作方式完全不同。BIP没有一个成熟的SAML 2身份提供程序，并且在环境中没有Web浏览器来执行前通道SAML 2流程。

首先，BIP能够生成一个证书作为IdP的证书。然后通过HANA Studio将此证书导入HANA以生成IdP条目。但是，由于这个IdP没有IdP元数据文件，人工智能书，数据与大数据，所以它没有在XS管理工具中列出。幕后真正发生的是HANA建立了对IdP证书的信任。

没有saml2idp元数据，这个IdP实际上只是一个伪IdP。但是，它允许HANA根据它维护SAML 2用户映射。

其次，请注意，与常规的SAML 2设置不同，HANA SAML 2服务提供商（SP）的元数据或证书不会上载到BIP系统。相反，BIP上只保留HANA SAML SP的名称。稍后我会解释原因。

第三，这个伪IdP没有在InA工件级别配置。InA服务将继续使用中央IdP进行SAML身份验证。我相信这会让任何SAML专家好奇SAML2SSO如何在BIP和HANA之间工作。

神奇的是BIPIDP没有使用标准的SAML2进程流。相反，它将未经请求的SAML2身份验证响应注入到HTTP授权头中！如下图所示，

HTTP授权头如下：

SAML 2.0响应为base64编码，实际内容如下图所示。请注意，此SAML响应的访问群体是先前配置的HANA SAML2 SP名称。

通过此专有协议，HANA能够信任HTTP授权标头中携带的来自BIP的未经请求的SAML 2身份验证响应，甚至在未配置为使用此特定IdP的HANA XS工件上也能起作用！

现在希望你能理解整个"魔法"。它用一个简单的技巧解决了复杂的SAML2SSO问题，大数据主要学什么，您的SAP Analytics云用户和BIP用户都会很高兴。除了SAC用例之外，您还可以想出更多创造性的方法来利用HANA中的SSO机制来满足复杂的saml2 SSO需求。

，云指