更新：我们现在建议您使用SAP Cloud Identity Services–Identity Authentication作为中心，特别是当您的业务用户存储在多个企业身份提供商中时。对于这种情况，请将Identity Authentication作为单个自定义身份提供商连接到SAP云平台。然后使用身份验证来集成企业身份提供者。有关说明，请参阅使用身份验证服务在Azure AD和SAP云平台之间启用SSO。

在本文中，人工智能是，我们将配置Microsoft Azure AD作为在SAP云平台Cloud Foundry帐户上运行的应用程序的身份提供商。此外，我们将通过将Azure组映射到角色集合来向用户授予授权（作用域）。

前提条件

您有一个Cloud Foundry帐户（企业版或试用版），并且您是该帐户的安全管理员（这意味着您可以在SAP云平台驾驶舱中看到安全菜单）。您有Microsoft Azure订阅。

过程

要下载子帐户的元数据文件，请通过云平台驾驶舱访问您的CF子帐户，然后转到安全>信任配置。

单击SAML元数据按钮下载它。

转到Azure门户>Azure Active Directory>企业应用程序，然后单击在新应用程序上。

在库中搜索SAP Cloud Platform应用程序，给它一个名称并保存。

访问新创建的应用程序，大数据是，单击左侧的单点登录并选择SAML。

上传从Cloud Foundry帐户下载的元数据文件。基本SAML配置面板将打开。填写登录URL并保存（例如，登录URL可以是任何CF应用程序或UAA URL）。不会影响2下的配置）。用户属性和声明"，单击铅笔图标，配置名称标识符、组声明和用户属性，如下所示（区分大小写）。确保从属性中删除名称空间。

对于Groups属性（注意大写字母"G"），必须使用如下所示的高级选项。在CloudFoundry上使用groups属性来配置角色集合映射，并向应用程序中的用户授予授权。在本教程中，我们将使用值"All Groups"。"Source属性"是用户组在SAML响应中的值。在这里，大数据app，我们选择了组ID。这些值将用于在步骤4中定义我们的角色集合映射。

注意：UI中有一个问题，您保存了属性"Groups"，之后它显示为"Groups"（小写）。如果您刷新屏幕或记录SAML跟踪，您将看到具有正确名称的属性，即"Groups"。

最后，从Azure下载联合元数据XML:

访问您的Cloud Foundry帐户并转到安全>信任配置。选择新的信任配置并导入从Azure下载的元数据文件。"链接文本"是将在UAA租户的最终用户登录页面中显示的文本。

最后的配置步骤是定义角色集合映射，以便为CF应用程序的用户授予授权。这将通过第2步中解释的groups属性完成。

转到安全>信任配置>[Azure AD entry]>角色集合映射，并根据应用程序的角色集合进行配置。

因为我们在第2步中选择了"Group ID"作为groups声明的"Source属性"，免费云服务器，Azure将发送分配给该用户的所有组的"对象ID"。它们可以在Azure门户>Azure Active Directory>组中看到。

示例：

Azure AD上有一个组，其对象ID等于"93461e34-6b54-47ae-bbec-c086a3385fa9"：我们希望将此组中的每个用户映射到CF子帐户中的"经理"角色集合：

打开新的浏览器窗口并输入UAA租户URL：

https://.authentication.。hana.ondemand.com

您可以在子账户的概览菜单中找到和。示例：

您仍然可以使用S用户的电子邮件和密码登录。您将在表单下方看到Azure广告的链接。在信任配置中，可以启用/禁用SAP ID服务或已配置的任何其他IdP。如果禁用SAP ID服务，则只会看到指向外部标识提供程序的链接。如果只配置了一个身份提供程序，您将自动重定向到它。

单击Azure链接并使用您的Azure用户登录。之后您将被重定向回UAA。

注意：如果在Azure上收到类似于"AADSTS50105:登录用户…未分配给应用程序的角色…"的消息，您必须将用户分配给企业应用程序，或者禁用用户分配要求。Azure文档中有更多信息。

下面的屏幕截图表示身份验证成功。我们看到"去哪儿？"因为我们没有访问CF应用程序，所以只有UAA租户页面。您可以尝试打开任何CF应用程序来验证配置的角色映射是否正常工作。

提示：您可以通过访问以下URL来检查用户的详细信息，包括映射的组：

https://.authentication.。hana.ondemand.com/config？action=who&details=true

对于故障排除，您可以使用Chrome和Firefox的SAML tracer扩展。您将能够看到CF和Azure之间交换的SAML断言。

结果

您已将Azure AD配置为您的云铸造应用程序的SAML身份提供程序，并使用Azure组授予授权！请随时留下任何意见，大数据时代的特点，并检查我们的文件。