本博客旨在帮助使用SAP Analytics Cloud（SAC）的客户和合作伙伴将故事嵌入公司网站。我们将讨论SAC URL API的具体设置，在iFrame中嵌入故事的上下文中使用SAML2联合体进行单点登录。

对于这个概念验证（PoC），我与一个法国客户做了，我使用开源应用程序WSO2 Identity Server（WSO2 IS）作为身份提供者（IdP）来配置SAML2与SAP分析云的单点登录。

在iFrame中嵌入SAC故事需要控制IdP身份验证页面和SAML2发布的点击劫持保护。通过选择WSO2 IS，我可以自定义我的身份验证页面，并向您展示如何在Tomcat服务器中设置合适的X-FRAME选项。

SAP Analytics Cloud和WSO2之间的SSO设置分为3个主要步骤：

WSO2 Identity Server的设置安装和先决条件WSO2已设置服务提供商设置创建用户并应用权限身份提供程序设置用SAC创建一个可嵌入的故事使用iFrame和SAC故事创建网页在IDP Tomcat服务器中禁用X-FRAME-OPTIONS设置SAC以嵌入故事创建一个包含嵌入式故事的html页面并测试

安装和必备

要安装和设置WSO2 Identity Server，请通过单击WSO2安装和必备来参阅文档。

对于此PoC，我已经在Linux Ubuntu 16.04 LTS 64位上安装了WSO2，并设置了足够的网络设置以允许从用户浏览器访问。

要完成安装，请不要忘记通过单击WSO2在生产中部署Identity Server将默认IdP设置更改为生产配置。

警告：如果未设置可从SAP访问的主机名Analytics Cloud，元数据默认会提到localhost…

然后，在开始任何服务提供商设置之前，请检查WSO2 IS服务器主页中的主机名。

从首选浏览器中，打开WSO2管理控制台url:https://：/carbon/admin/登录.jsp

以管理员身份登录。第一次，如何获得大数据，默认密码是admin。必须尽快更换。

WSO2在此步骤设置

，我们将为SAC创建WSO2 IS服务提供商。

从WSO2 IS Identity Server主页选择加载项服务提供商文件夹

输入您的服务提供商名称和描述，然后选择注册

选择文件夹入站身份验证配置文件夹并单击以配置

选择元数据文件配置。您需要将SAC SAML2元数据上载到WSO2 IS服务提供商定义中。

现在，大数据工具，以管理员权限登录到您的SAC租户并导航到系统/管理/安全文件夹。

单击编辑连接并选择SAML单一登录：

然后单击下载按钮

WSO2 IS应用程序在当前服务提供商中定义，选择文件，选择您以前下载的SAC元数据文件，点击上传按钮：

现在选择入站身份验证配置/SAML2 Web SSO配置文件夹并编辑：

您应该得到以下带有预填充服务提供商定义的页面：

点击取消按钮并转到索赔配置文件夹，选择使用本地声明方言，然后选择主题声明URI下拉列表框。通过应用这些设置，我们选择使用电子邮件地址作为用户属性，与身份提供商进行映射

然后，手游返利，您就完成了服务提供商设置。

选择"加载项身份文件夹/用户和角色"

选择"添加新用户"

输入用户名和密码，然后单击"下一步"。

在角色列表中选择您的服务提供商然后单击Finish。您现在必须更新您的用户配置文件。为新创建的用户选择用户配置文件。

输入IdP属性映射所需的电子邮件地址，然后单击更新。

在这一步，我们将把SAC身份提供程序从标准SCI IdP改为我们自己的WSO2 is IdP。让我们首先从WSO2 IS中的常驻IdP获取元数据文件。您可以猜到，我们将使用WSO2 IS中提供的常驻IDP。顺便说一下，我们也可以设置WSO2指向另一个第三方IdP。

从Identity Providers文件夹中选择Resident。

然后，打开Inbound Authentication Configuration/SAML2 Web SSO Configuration文件夹。

请检查并更改目标URL，以确保主机名指向您的IdP服务器。不要在意本地主机上指向SSO URL和注销URL，我没有找到更改它的方法（可能是一个bug…）。如有必要，我们将稍后更新元数据。

然后，现在您可以单击下载SAML元数据。

编辑下载的元数据文件，并检查SingleLogoutService和SingleSignOnService是否指向IDP服务器名称和端口：

您现在可以将您的IDP元数据文件上载到SAC。切换到您的SAC租户，该租户仍应在系统/管理/安全上打开（请参阅步骤：设置服务提供商）。

转到步骤2：

单击上载…，选择您的元数据文件并单击打开。

要了解详细信息，请选择

步骤3：选择电子邮件以在IDP和SAC之间映射用户属性。

选中动态用户创建以如果所选属性与现有用户不匹配，则自动创建用户帐户。

步骤4：现在，让我们检查一下。输入您的电子邮件地址，然后单击验证帐户。

在弹出的窗口中，复制登录URL。

在Chrome浏览器中打开一个新的匿名窗口。粘贴您的URL。

如果设置运行良好，您应该得到以下屏幕：

关闭"匿名"窗口，轻淘客，并返回到以前的SAC窗口，然后单击

您现在应该得到以下屏幕：Account Verified！

保存您的配置并单击转换。

清除浏览器缓存，现在尝试访问您的SAC租户：

您应该获得以下登录页面：

登录，您应该在您的SAC主页上……

我想与您分享以下美丽的故事，我的SAC租户中提供了响应页面：

让我们建立一个故事URL以供参考稍后在iFrame中使用。

首先，我必须确定构建URL API的参数。

当您在SAC中打开story时，您有以下URL:

要构建story API URL，您必须将story ID、租户ID和租户URI信息匹配到以下可嵌入URL API:

="C8CCB759884B288CE10000000A78A940"="016"=SAC host name

对于参数，我使用mode=embed和pagebar=disable作为我页面的参数。