SCN中已经有一些非常好的文档介绍了如何使用Microsoft的ADFS作为身份提供者（IdP）实现SAP FIORI的单点登录。对于所谓的由服务提供商（SP）发起的SAML登录，云服务器器，大数据运维，这一切都可以很好地工作，数据中心解决方案，但有一个很大的痛点：如果您想使用X.509 CertificStates进行外部（即internet）身份验证，ADFS将始终在其登录页上显示指向X.509身份验证的链接（如果根据策略在AFDS上启用）。对于我们这里的最终用户来说，产业云，这有点令人不安（不是说烦人）。

这个博客描述了在AFDS上使用X.509证书直接登录的必要步骤，例如，在FIORI互联网场景中。

我假设下面的步骤已经完成1） 可通过MS标准机制（Web应用程序代理WAP）从internet访问ADFS2） 已成功交换SAP服务提供商和Idp的元数据，并建立了信任关系。3） 我们的FIORI（或其他）场景可以在互联网上访问（例如通过WebDispatcher或Apache）4） SAP端的SAML2配置是通过外部URL（即。元数据.xml包含外部端点URL）

首先，我们意识到这种登录无法使用服务提供商启动的登录来实现，我们必须将整个过程更改为IdP initiated，并在我们的请求中添加两个参数：how do我们想要验证，云店，并且在成功验证之后我们想要去哪里。

整个事情现在看起来像：

https:///adfs/ls/IdpInitiatedSignon.aspx？logintorp=&RequestedAuthenticationContext=瓮：绿洲:名称：tc:SAML:2.0：交流：等级：X509

logintorp=我们的SAP服务提供商RequestedAuthenticationContext=logon method，在我们的示例X.509

有几点需要考虑：

1）如果使用服务提供商元数据提供的依赖方标识符，您很可能会收到错误消息(和https://someurl). 只是太长了。对我们来说，它帮助用一些非常短的别名替换ADFS中的两个条目。

2）ADFS的X.509身份验证使用https端口49443。在公共无线局域网、酒店无线局域网等中，我们不影响该端口是否被阻塞。在这种情况下，最好使用记录良好的SP启动的登录作为回退，因为密码登录使用的是标准443。

我希望这个litte博客能为你们中的一些人带来一些改进。欢迎反馈