云网站服务器_国内数据云存储_移动云数据库服务器主机-搜集站云

阿里云_企业邮箱多少钱1年_优惠券

小七 141 0

我们的S/4HANA系统技术配置之旅仍在继续,在今天的一集中,我们将更仔细地了解使用SAML和Microsoft Azure Active Directory的单点登录。

如果您对Fiori和单点登录的不同方法感兴趣,我强烈建议您查看Frank Schuler关于如何进行单点登录的详细介绍使用X.509证书实现SSO。

我打赌您以前听说过Active Directory。这是一个目录服务,与Windows Server一起提供,它自动化了用户管理、安全和网络管理

Azure Active directory是一样的吗?是和否。它仍然是一个目录服务,但最大的区别是,目前Azure AD不支持组策略对象。因此,你不能决定什么将是用户的墙纸,你不能管理他们的Internet Explorer书签。相反,您将获得身份管理功能,包括多因素身份验证、设备注册和自助密码管理。azureactivedirectory提供了一个解决方案,可以使用SAML轻松地跨云和本地应用程序部署单个Sing-On。当然还有更多的好处–但是如果您对细节感兴趣,您可以在internet上轻松找到其他信息。

我们今天的目标是在Microsoft Azure Active Directory和S/4HANA Fiori Launchpad之间启用单点登录!

这次我们将使用新的Azure门户。要启用单一登录,我们需要Active Directory租户。当您创建Azure帐户或创建新帐户时,我们可以使用默认交付的帐户。

您的订阅中有四个级别的Azure广告可用。重要的是,SSO功能甚至可以为免费版本启用(您可以在这里阅读限制)

在我们开始之前,我想解释两个在使用SAML时很重要的术语:

Identity Provider–是一个可靠的提供商,它存储您的用户凭据,并允许您使用单点登录访问其他服务。在我们的例子中,它是azureactivedirectory

服务提供者–是一个外部服务/网页,云服务器好用吗,它从身份提供者请求并获取身份断言。在我们的环境中是SAP Netweaver

AZURE ACTIVE DIRECTORY设置

请登录到您的AZURE门户并转到AZURE ACTIVE DIRECTORY维护。您可以使用默认目录,外汇返现,也可以切换到帐户中可用的任何其他目录。

我们需要做的是添加SAP Netweaver作为企业应用程序:

现在,转到Single Sign-On选项卡并维护三个参数:

Sing-On URL–这是用于登录Fiori Launchpad的地址

Identifier–服务提供商的自定义标识符

回复URL–地址,成功登录后我们应该转发到该地址。

下一步,单击SAML签名证书部分中的新建证书并维护到期日期。

您可以看到新证书已创建,大数据与应用,我们可以下载元数据XML,我们使用它来配置SAP Netweaver。

在用户属性部分,您需要决定什么应该是用户标识符–哪些数据应该标识特定的用户。我选择了电子邮件地址,但您也可以检查不同的参数。

最后一步是选择有权访问我们的Fiori启动板的用户。

在SAP NETWEAVER中启用SAML

现在是在SAP NETWEAVER中配置SAML设置的时候了。设置可以在t代码SAML2中完成,游戏返利平台,第一步创建SAML2.0本地提供程序:

提供程序名称应与我们在Azure门户中选择的名称相同。

在第三步中,确保选择模式设置为自动。您可以在以后保存您的设置。

显示服务提供商的配置。这里唯一需要改变的是启用遗留系统支持。这意味着,如果您从Fiori Launchpad打开sapgui,就不会要求您提供凭据。您可以在Koen Van Loocke博客文章中阅读更多信息。

转到"可信提供商"选项卡,通过上载元数据文件添加新的身份提供商。

上载以前从Azure AD下载的文件,您可以确认所有步骤,直到第9步。

在身份提供商配置的最后一步,请更改身份验证响应:

身份提供者详细信息中的"身份联盟"选项卡允许我们配置哪些数据应该标识特定用户。你还记得Azure中SSO配置的类似步骤吗?当时我选择了电子邮件地址,它和我需要放在这里的是一样的——但是请记住在用户主数据中维护这个值!

现在进入认证要求页签,验证认证响应字段。应该设置如下:

测试

为了测试配置,我在私有模式下打开了新的浏览器窗口,因此我保证不会使用缓存登录。键入Fiori地址后,我立即被重定向到Microsoft登录页。

在Azure Active Directory验证我的凭据后,我再次被重定向到我的Fiori启动板。我没有被要求任何额外的登录/密码!

故障排除

我还想向您展示SAML SSO的简单故障排除。因此,我们需要首先打破一些东西

转到Identity Federation,并将支持的NameID格式更改为Persistent。重新启动浏览器,然后再次尝试登录Fiori Launchpad。这一次,显示的不是Microsoft登录页,懒懒淘客,而是Fiori欢迎屏幕,等待我们的输入。

出了什么问题?为了回答这个问题,我们将打开安全诊断工具并启动一个跟踪:

/sap/bc/webdynpro/sap/sec\u diag\u tool

当跟踪打开时,尝试再次登录。之后您可以显示跟踪并轻松解决问题: