你好，世界！这是我在SAP博客上的第一篇博客，为什么不从一个通用的basis过程开始呢…配置SAP系统的单点登录是basis顾问执行的最常见的过程之一，在混合IT环境时代更是如此。在本博客中，您将了解如何使用Azure Active Directory（Azure AD）为SAP Fiori/SAP NetWeaver配置基于SAML的单点登录。我还将讨论高级场景，如使用反向代理以及一些常见问题的故障排除。

场景

场景是使用Azure Active Directory的基于SAML的SAP Fiori launchpad单点登录。这是由服务提供商发起的使用前端通道通信的单点登录，可用于Fiori或NetWeaver web服务。

SP或服务提供商：SAP NetWeaver/Fiori（NetWeaver 7.53）IdP或身份提供者：Azure AD服务提供商启动的身份验证SAML模式：前通道通信-前通道通信相对较快，不需要IdP和SP之间的直接连接。相反，后通道通信较慢，因为它需要更多的往返来验证用户，并且需要IdP和SP之间的直接连接（防火墙）。Azure应用程序网关作为反向代理：如果您在SAP应用程序前面使用反向代理，然后参考底部的特殊场景和故障排除部分。

SAML 2.0前端通道SSO的流程

先决条件

您需要一个Azure AD租户作为SAML 2.0身份提供者和（具有）适当权限的人来进行更改。在这个博客中，我将在我自己的Azure订阅中创建一个。您已将SAP系统配置为使用HTTP安全会话。根据组织要求调整参数。有关更多信息，请参阅在上作为ABAP激活HTTP安全会话管理。激活以下SICF服务：/sap/公共/bc/秒/saml2/sap/public/bc/sec/cdc\扩展服务/sap/bc/webdynpro/sap/saml2

可选：激活以下SICF服务以运行安全诊断工具并创建故障排除跟踪：/sap/bc/webdynpro/sap/sec诊断工具/sap/public/bc

过程

您的组织中很可能会有一个Azure AD租户，它将充当SAML 2.0身份提供者，我在这里创建一个用于演示的租户。

默认情况下，您将在微软网站’. 您可以添加组织已使用的域名，大数据分析数据库，例如'新的名称'.

转到Microsoft Azure Portal–>Active Directory–>创建租户

转到用户–>新用户

转到企业应用程序–>新应用程序

查找SAP NetWeaver或SAP Fiori。你选择哪一个并不重要。

但是，物联网概念股，很可能你的Azure广告租户中会有或最终会有多个企业应用程序属于同一类别。因此，请考虑将环境（dev、prod等）、SID、用法（Fiori）等信息添加到新应用程序的名称中。例如，我将我的应用程序命名为SAP NetWeaver Fiori–DEV.

转到企业应用程序–>应用程序。

单击新应用程序。

然后单击用户和组–>添加用户。

将新用户添加到新应用程序。我选择了默认访问，但您可以根据需要创建和分配角色。

转到您的应用程序，然后单击单点登录，电力物联网，然后单击SAML。

这里有三个关键子步骤。

在这个步骤中，您将SAP NetWeaver系统的服务提供商标识和URL分配给Azure AD中的SAP Enterprise应用程序。在进入SAP配置之前，我将首先执行所有Azure AD配置。但是，也可以在此步骤之前执行后续步骤"创建SAML 2本地提供程序"。

这里需要注意的要点是：

标识符（实体ID）：SAP SAML本地提供程序（步骤7）中的"提供程序名称"必须与此相同。它不必像屏幕上提示的那样以URL的形式出现。ACS（断言消费者服务）URL:请记住，这必须是HTTPS URL。不允许HTTP。确保使用正确的SAP客户机号码。我使用的是client 000，但在实际场景中，您将拥有不同的客户机号码。如果SAP应用程序前面有反向代理，请使用反向代理的URL。我们正在手动配置此步骤。另一种方法是首先在SAP中创建本地提供者，下载SAP元数据文件，然后到这里上传文件。如果要从SAP导入元数据文件，并且使用反向代理，请记住通过反向代理URL访问SAML2.0配置UI。这将确保服务提供商元数据包含正确的端点URL。

单击"基本SAML配置"旁边的编辑图标。

SAP应用程序希望SAML断言采用特定格式。

当用户对应用程序进行身份验证时，azuread向应用程序发出一个SAML令牌，其中包含有关唯一标识用户的用户的信息（或声明）。默认情况下，此信息包括用户的用户名、电子邮件地址、名和姓。例如，如果应用程序需要特定的声明值或用户名以外的名称格式，您可能需要自定义这些声明。

在SAML单点登录期间，默认情况下，Azure AD将用户名或名称ID声明传递为@yourdomain.onmicrosoft.com而SAP用户ID（user02.bname）将是。将Azure广告声明映射到SAP用户有几种方法，主要有两种：