博客的这一部分重点介绍在SAP云平台中验证应用程序/门户网站时使用IAS作为Azure AD的代理。在这种方法中,IAS将被配置为具有SAP云平台的IdP。但是,所有身份验证请求都将转发到Azure AD,因为IAS充当代理。这将是未来几个月内云解决方案(如SuccessFactors)的默认方案。
Microsoft提供了一个详细的分步教程。
教程:Azure Active Directory与SAP云平台身份验证的集成
要开始,您需要首先在Azure中创建企业应用程序Active Directory服务。这次您将使用应用程序"SAP云平台身份验证"
我创建了一个名为"IAS"的应用程序。在"单点登录"部分,我提供了以下值
标识符:hcpta.accounts.ondemand命令.com(hcpta是我的租户ID)
注意:在写这篇博文的时候,小程序建站,我一开始不需要提供https://。它给了我一个错误AADSTS700016:带有标识符的应用程序XXXX.accounts.ondemand命令在目录"9e56a4763903-f7fc-4163-b6e7-f7fc"中找不到".com"。截至2019年8月,Azure似乎有一些变化,现在需要使用https.
回复URL:https://hcpta.accounts.ondemand.com/saml2/idp/acs/hcpta.accounts.ondemand.com登录URL:https://flpportal-p1942768752trial.dispatcher.hanatril.ondemand.com/sites(链接到门户服务)
保存您的设置并下载联合元数据XML文件。
切换到IAS管理控制台。在"Corporate Identity Providers"菜单中,创建一个新条目。我把它命名为"Azure AD"。
SAML 2.0配置-上传从Azure AD获得的元数据XML文件身份提供程序类型–将其设置为"Microsoft ADFS/Azure AD"。
如果不设置此项,人工智能大数据,则会出现错误"不支持SAML身份验证请求属性'Scoping/ProxyCount'。此问题的解决方法记录在本SAP说明中。
名称ID格式–将其设置为电子邮件
导航到SAP云平台应用程序,该应用程序您以前在IAS中配置过。在信任选项卡下查找"条件验证"。
将默认身份提供程序设置为先前配置的公司身份提供程序。在我的例子中,淘客分佣系统,淘客吧,它的Azure AD.
在测试之前,我们需要将SAP云平台中的默认IdP切换回IAS。我们先前为Azure AD创建的配置可以删除,淘客基地,因为我们现在将通过IAS访问Azure AD。
由于SAML断言将从Azure AD传递,因此我们现在需要将SAP云平台组映射到先前使用的部门"az\ U采购商"。
现在当我访问供应商门户网站时,它将带我到Azure广告登录屏幕
认证成功后(使用我的邮箱域为outlook的用户),我可以访问供应商门户
第4部分-在身份认证服务中配置条件认证