简介

部署在SAP云平台的基于HTML5或Java的应用程序从后端源获取数据，在应用程序中显示。在SCP中建立两个应用程序之间的连接有不同的方法。其中一种方法是使用destination，这是SAP云平台提供的一种服务。

使用SCP中的destination，您可以使用HTTP、LDA将托管在SCP上的应用程序与其他应用程序或数据库连接起来，邮件和RFC.

目的地服务根据用于连接源系统的连接类型提供不同类型的身份验证。

在本主题中，我们将了解如何在目的地建立AppToAppSSO身份验证，它将部署在SAP云平台上的应用程序连接到HANA DB。

应用程序到应用程序SSO是一种身份验证机制，可用于HTTP目的地将应用程序用户从SCP传播到SAP HANA。AppToAppSSO与其他基于SAML的IdP一样，在XS中设置了信任关系。

传播的用户信息可以包含更多的信息不仅仅是用户的登录名。附加的用户属性也随SAML断言一起转发。因此，必须将SAP HANA实例正确设置为基于SAML的身份验证，作为以下前提条件之一。

前提条件

步骤1：在SAP云平台中配置信任管理设置。

1.1）在部署应用程序的SCP中打开相应的子帐户，导航至安全->信任管理屏幕。

1.2）在本地服务提供商选项卡中，将配置类型从默认更改为自定义，然后单击生成密钥对并保存设置。

1.3）单击下载元数据，在SAP云平台中下载子账户的元数据。将此元数据保存在本地桌面上，因为此元数据将在下一步中用于在HANA XS中建立信任。

1.4）通过选择SCP子帐户的自定义提供程序设置，我们需要在"受信任的身份提供程序"选项卡的"应用程序身份提供程序"中定义您自己的身份提供程序，如企业IdP或SAP云身份提供程序。如果计划将SAP ID服务用作IdP，则必须将配置类型从自定义切换回默认，然后再次保存设置。通过切换回默认值，在步骤1.2中所做的自定义更改不会丢失，下载的元数据可用于SAML身份验证。

1.5）在本例中，我使用的是SAP Cloud Platform Identity provider，人工智能有哪些领域，因此我更新了从SAP Cloud Platform Identity provider下载的元数据，并通过单击Add trusted（添加受信任的）将其上载应用程序标识提供程序选项卡中的标识提供程序。（为SAP云平台配置外部IdP是一个单独的主题，我们将在另一个线程中讨论）。

第2步：在HANA XS admin中配置信任管理

2.1）HANA DB中的身份提供程序设置在HANA XS admin中配置。确保您使用的HANA用户id具有访问XS管理员角色的权限。

2.2）使用URL https://登录到HANA XS管理员。hanatril.ondemand.com/sap/hana/xs/admin/

2.3）从XS admin菜单导航到SAML服务提供商，在服务提供商信息中定义名称和组织名称详细信息。这里的名称可以是您选择的任何名称，它用于在信任调用期间标识此系统。

2.4）在XS admin中，现在导航到SAML identity provider，在SAML identity provider列表中单击+并复制过去HANA DB将用作IdP进行身份验证的系统元数据。在我们的例子中，添加您在步骤1.3中下载的元数据，这样HANA DB现在将基于SAML身份提供程序信任SAP子帐户的请求。

2.5）单击"保存"以存储您的设置。HANA中的SAML IdP设置可以通过运行sql命令SELECT*FROM\u SYS来验证_XS.HTTP\u目的地在SAP HANA中工作室查看系统_XS.HTTP\u目的地显示新添加的SAML身份提供程序的详细信息。

步骤3：在SAP云平台子帐户中配置目标

3.1）在SAP云平台中打开子帐户并导航到Connectivity->Destination并单击New Destination

3.2）为Destination指定名称，选择type为HTTP，authentication为AppToAppSSO，返利是什么，URL–定义访问HANA DB的URL（例如：https://）。hanatrial.ondemand.com)

3.3）重要的附加属性是saml2\u audience，在这里，您将步骤2.3中定义的HANA服务提供商名称作为saml2\u audience的值，并单击"保存"在SCP中创建目的地。

3.4）一旦创建了目的地，SAP云平台中部署的应用程序将调用此目标名称，以便从后端HANA DB获取数据。

步骤4：在XS admin中为HANA包配置SAML

4.1）现在我们为HANA DB中的包定义SAML身份验证，SCP中的应用程序将使用AppToAppSSO从中获取数据。

4.2）使用URL https://。hanatril.ondemand.com/sap/hana/xs/admin/

4.3）在XS admin菜单中，导航到XS Artifact Administration并选择应用程序用于获取数据的HANA包。选中SAML身份验证复选框，在步骤2.4中添加添加到HANA DB的SAML身份提供程序并保存更改。

步骤5：为HANA DB用户配置SAML

5.1）我们在部署在SAP云平台的应用程序和HANA DB之间使用AppToAppSSO，因此身份提供程序（SAP默认SAP ID服务用户或自定义身份）提供程序用户）用于在SCP中对应用程序进行身份验证的用户将通过目的地传播到HANA DB进行身份验证，为了让HANA识别这个IdP用户，我们需要为相应的HANA用户配置SAML。

5.2）登录到HANA DB用户管理https://。hanatril.ondemand.com/sap/hana/IdP/security/

确保您对用于登录HANA DB的用户具有用户管理系统权限。

5.3）打开HANA DB用户对应应用用户，选中SAML复选框，点击〖增加〗按钮，增加身份提供者，然后根据其定义用户ID，保存设置。

使用此按钮，欧洲云服务器，AppToAppSSO配置完成

结论：

下面我将快速总结一下上面的AppToAppSSO设置，以及认证是如何从SCP中的应用程序流向HANA DB的