当您在公司环境中运行应用程序时，通常需要将它们与公司标识提供程序（IDP）集成。这种集成允许用户使用相同的凭据（用户和密码）登录到所有应用程序，而不管它们位于何处。在万维网上建立单点登录的通用协议是SAML2.0。在本文中，我们将描述如何在SuccessFactors和SAP HANA XS应用程序之间设置SAML单点登录。本教程使用SAP HANA云平台上托管的SAP HANA MDC实例进行了测试，云服务器价格，但也应适用于本地SAP HANA实例。

注意：所述教程有效，并在HANA SPS12（版本112.03）上进行了测试。在撰写本文时，saphanacloud平台提供的saphanamdc免费开发者版是SPS10（102.03），本教程将不适用于此版本。有一篇专门介绍如何配置SAML single sign-on试用版SAP HANA MDC实例的文章："Play It Reagain，立返利，SAML"–如何为您的SAP HANA Cloud Platform试用版实例设置SAML身份验证。

以下是您完成教程所需的内容：

web浏览器（我们使用的是Google Chrome）托管在SAP HANA云平台上的租户SAP HANA数据库saphana工作室（Eclipse+saphana工具）：按照saphana工具站点上的说明操作。访问SuccessFactors试用版/演示版租户。如果您是SuccessFactors客户或作为SAP HANA云平台创新包的一部分，那么您可能已经拥有了这样的产品（可选）设置对SuccessFactors试用版/演示版租户的访问权限

除了默认系统用户已经拥有的角色之外，还需要其他角色：

sap.hana.security安全.基本角色●哈纳德敏sap.hana.security安全.基本角色●汉娜认证评论sap.hana.security安全.驾驶舱.角色●DisplayCertificateStoresap.hana.xs文件.lm.角色●开发商sap.hana.ide文件.角色：：开发人员sap.hana.xs文件.管理员角色●萨姆拉部长sap.hana.xs文件.管理员角色●RuntimeConfAdministratorsap.hana.xs文件.管理员角色*TrustStoreViewer

注意：如果您想创建一个新用户来管理证书，您还需要授予系统权限CERTIFICATION ADMIN和TRUST ADMIN。系统用户在默认情况下已经有了这个功能。

为了演示这个场景，我们需要用SAML身份验证保护HANA XS应用程序。使用SAP HANA基于Web的开发工作台可以轻松地构建这样简单的演示应用程序。

可通过SAP HANA cloud cockpit数据库概览页面访问：

打开基于Web的应用程序开发工具，大数据软件，单击SAP HANA基于Web的开发工作台窗口中的编辑器选项卡。

在编辑器内创建新的空应用程序（使用XSAccess和XSApp）。

选择应用程序包"com.sample.test测试"

在"com.sap.test测试"打包创建新文件（右键单击–新建>文件）并将其命名loggedInUser.xsjs文件.

文件创建后将以下代码插入loggedInUser.xsjs文件.

此XS服务将返回登录用户和SuccessFactors IDP提供的所有用户属性。因为一开始它不会使用SAML，所以添加了显示登录用户的附加逻辑，但是跳过SAML属性。

运行服务（F8），人工智能研究，在打开的新窗口中，应显示登录的数据库用户和标志，表明未使用SAML身份验证。

下一步是在SAP HANA中将SuccessFactors配置为受信任的IDP。

第一步，我们需要从SuccessFactors IDP获取SAML元数据。这可以很容易地在浏览器中获取。

为了构建正确的url，我们需要SuccessFactors景观主机和公司id。

格式是

https:///idp/samlmetadata？公司=

例如：

景观主机（salesdemo4。成功因素.com)公司id（I0024）

将生成SAML元数据URL:

https://salesdemo4.successfactors.com/idp/samlmetadata？company=I0024

在浏览器中打开URL，将立即下载名为"samlmetadata"的文件。

建议将其保存（或重命名）为samlmetadata.xml文件.

用文本编辑器打开，应该是截图。这个这是重要的一步，因为我们必须能够从那里复制它，以完成下一步。

现在我们需要打开XS管理工具并导入成功因素IDP设置。

重要！首次导入时，IDP元数据导入可能会失败，并显示"证书导入错误"。为了纠正这种情况，请删除IDP并重新执行操作。

在导入检查成功因素公司证书是否导入SAML信任存储后。

下一步，我们需要将成功因素IDP配置为信任SAP HANA服务提供商。

我们需要将XS应用程序配置更改为使用SAML身份验证。这可以使用XS管理工具完成。

在XS管理工具中，选择XS工件管理并选择"com.sample.test测试"包裹。单击"编辑"并选择SAML作为身份验证机制。从下拉列表中选择已配置的SuccessFactors IDP。您还可以"阻止子包的公共访问"并禁用基于表单和基本身份验证。保存更改，在线建站平台，您就快完成了。

在新窗口中打开我们的应用程序，将显示SuccessFactors登录屏幕。

但是，您在登录后将出现空白屏幕，并且不会重定向回应用程序。

怎么了？经过一点调试，出现问题的原因似乎是HANA服务提供商发出的SAML断言中缺少ACS URL属性。

如上所述，ACS URL由SuccessFactors IDP使用。

幸运的是，HANA SP配置中有一个修复程序，针对该问题。

我们必须使用SAP HANA Studio更改此配置。我们需要在系统视图中添加云MDC实例，

打开配置页签，输入"saml"作为配置过滤器。更改为"添加断言消费者url"配置值为"是"。

将断言超时从默认值10秒增加到更合理的值。将参数断言超时设置为30秒或更长。

更改并保存设置。您可能需要重新启动HANA进程，以便更改生效。

重新打开简单应用程序：

https://。hana.ondemand.com/com/sample/test/loggedInUser.xsjs

恭喜！您已将HANA XS应用程序的SAML single sign-on设置为SuccessFactors IDP。下面是服务的JSON响应