SAP Analytics Cloud被SAP定位为针对所有分析的基于云的战略解决方案。在未来几年，大数据与云计算，越来越多的客户将开始或扩展其云投资，并从现有的内部BI解决方案转向SAP Analytics云，韩国云服务器，以连接人员、信息和想法，实现快速、自信的决策。为了支持这一转变，SAP必须提供与it领域其他组件无缝集成的功能，什么叫物联网，尤其是身份验证和授权功能，以尽可能减少所需的支持工作。

在本系列博客中，我将向您展示如何简化SAP Analytics Cloud中的用户管理并尽可能减少工作确保通过对SAP Analytics云租户的单点登录访问动态创建用户配置文件，并自动分配用户属性，物联网技术应用，基于SAML属性的所需角色和团队。

管理用户：通过单一登录设置动态用户创建

对于能够访问SAP Analytics Cloud的用户，基本上有一个先决条件：需要存在用户配置文件。使用SAP Analytics Cloud中的此用户配置文件，用户可以通过提供电子邮件地址和密码（默认存储在SAP Cloud Identity中）成功登录。

SAP Analytics Cloud支持多种方式创建（和维护）用户配置文件：

手动；从文件导入；从Active Directory导入；动态用户创建

鉴于我们的目标是尽量减少用户管理所需的工作量，后一个选项，动态用户创建，听起来像是一条路要走！此选项意味着当用户访问SAP Analytics云租户时，将自动创建用户配置文件。让我们看看您需要如何在SAP Analytics Cloud中启用动态用户创建。

动态创建用户的选项是启用SAP Analytics Cloud租户单点登录的一部分。启用单点登录的一个好处是，用户不必通过键入电子邮件地址和密码进行身份验证。前提条件是用户必须在Identify Provider（IdP）中具有相应的用户配置文件。

SAP Analytics Cloud支持基于支持SAML 2.0的IdP配置单点登录身份验证。在我们的示例中，我们使用的是azureactivedirectory（AD）。如果您想了解有关Azure AD中如何支持单点登录SAML协议的更多信息，请阅读以下文章：单点登录SAML协议。

在SAP Analytics云租户中启用单点登录之前，我们必须在Azure AD中创建一个应用程序。将SAP Analytics云与Azure AD集成可为您提供以下好处：

您可以在Azure AD中控制谁有权访问SAP Analytics云。您可以让您的用户使用其Azure AD帐户自动登录到SAP Analytics Cloud（单点登录）。您可以在一个中心位置（Azure门户）管理您的帐户。

要创建Azure AD应用程序，需要来自SAP Analytics云租户的元数据。确保您执行以下步骤来收集元数据：

浏览到SAP Analytics云租户，并使用具有"System\u Owner"角色的用户登录。这是执行必要的配置步骤以收集元数据的先决条件。如果没有"系统所有者"角色，则不允许更改"身份验证方法"。

如果需要，可以通过"菜单"-"安全"-"用户"将"系统所有者"角色分配给其他用户。选择一个用户并单击"分配为系统所有者"。

通过"菜单"–"系统"–"管理"–"安全"访问安全菜单。单击右上角的"编辑"对配置进行更改。

将"身份验证方法"从"SAP云标识（默认）"切换到"SAML单点登录（SSO）"。

单击"下载"并打开XML文件。

从XML文件复制并粘贴以下值：实体ID:[租户]。[位置]。SAP分析.cloud. 这将用作"标识符"。SingleSignOnService绑定位置：https://authn。[地点]。hana.ondemand.com/saml2/sp/acs/[子帐户]/[子帐户]。稍后需要填写"回复URL"。单击"取消"图标放弃当前更改并暂时还原为"SAP云身份验证"。

现在我们已从SAP Analytics云租户收集元数据，我们可以在Azure AD中创建应用程序：

浏览到您的Azure门户并在左侧导航面板中，单击"Azure Active Directory"。

导航到"企业应用程序"，然后选择"所有应用程序"选项。要添加新应用程序，请单击对话框顶部的"新建应用程序"按钮。创建自定义应用程序并输入名称。在我们的例子中，我们将使用"SAP Analytics Cloud试用版"。

下一步是使用SAML设置单点登录。

选择"单点登录"。

单击"编辑"图标设置"基本SAML配置"。

输入从SAP Analytics Cloud租户的XML文件收集的"标识符"和"回复URL"，然后单击"保存"。另一个选择是上传元数据文件以自动填充这些字段。

下一步是保存下载的"联合元数据XML"文件。我们需要此文件以使应用程序在SAP Analytics Cloud中充当IdP。

最后一步是授予对我们刚刚在Azure中创建的应用程序的访问权限。请转到"用户和组"并单击"添加用户"。

由于我们希望启用动态用户创建，应添加一个组，其中包含您组织内的所有目标用户，这些用户应被允许使用SAP Analytics Cloud。

既然我们在Azure AD中配置了应用程序，让我们从在SAP Analytics云租户中启用SAML单点登录开始。

通过"菜单"–"系统"–"管理"–"安全"访问安全菜单。单击右上角的"编辑"对配置进行更改。

将"身份验证方法"从"SAP云标识（默认）"切换到"SAML单点登录（SSO）"。

单击"上载"上载配置元数据.xml打开Azure AD应用程序的文件，然后单击"确定"。

在步骤3中选择用户属性映射到我们的IdP。选择"电子邮件"并选中该框以启用"动态用户创建"。

在步骤4中，我们将根据Azure AD验证我们的帐户。提供"登录凭据"并单击"验证帐户"。

将显示"登录URL"。使用"复制"图标选择并复制URL，并将其粘贴到私有浏览器会话（匿名模式）。

一旦私有浏览器会话显示以下消息，SAML帐户已成功验证。

单击"保存"保存配置更改。

单击"转换"将验证方法更改为SAML单点登录。我们现在已经成功地在SAP Analytics云租户上启用了SAML单点登录。

现在让我们看看当没有用户帐户的用户浏览到SAP Analytics云租户URL时会发生什么。