内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

云主机_网站建设与推广_免费1年

2021-07-13 01:58 出处:欧普曼云计算 人气: 评论(0

你好,世界!这是我在SAP博客上的第一篇博客,为什么不从一个通用的basis过程开始呢…配置SAP系统的单点登录是basis顾问执行的最常见的过程之一,在混合IT环境时代更是如此。在本博客中,您将了解如何使用Azure Active Directory(Azure AD)为SAP Fiori/SAP NetWeaver配置基于SAML的单点登录。我还将讨论高级场景,如使用反向代理以及一些常见问题的故障排除。

场景

场景是使用Azure Active Directory的基于SAML的SAP Fiori launchpad单点登录。这是由服务提供商发起的使用前端通道通信的单点登录,可用于Fiori或NetWeaver web服务。

SP或服务提供商:SAP NetWeaver/Fiori(NetWeaver 7.53)IdP或身份提供者:Azure AD服务提供商启动的身份验证SAML模式:前通道通信-前通道通信相对较快,不需要IdP和SP之间的直接连接。相反,后通道通信较慢,因为它需要更多的往返来验证用户,物联网竞赛,并且需要IdP和SP之间的直接连接(防火墙)。Azure应用程序网关作为反向代理:如果您在SAP应用程序前面使用反向代理,然后参考底部的特殊场景和故障排除部分。

SAML 2.0前端通道SSO的流程

先决条件

您需要一个Azure AD租户作为SAML 2.0身份提供者和(具有)适当权限的人来进行更改。在这个博客中,我将在我自己的Azure订阅中创建一个。您已将SAP系统配置为使用HTTP安全会话。根据组织要求调整参数。有关更多信息,请参阅在上作为ABAP激活HTTP安全会话管理。激活以下SICF服务:/sap/公共/bc/秒/saml2/sap/public/bc/sec/cdc\扩展服务/sap/bc/webdynpro/sap/saml2

可选:激活以下SICF服务以运行安全诊断工具并创建故障排除跟踪:/sap/bc/webdynpro/sap/sec诊断工具/sap/public/bc

过程

您的组织中很可能会有一个Azure AD租户,淘客推广渠道,它将充当SAML 2.0身份提供者,我在这里创建一个用于演示的租户。

默认情况下,您将在微软网站’. 您可以添加组织已使用的域名,例如'新的名称'.

转到Microsoft Azure Portal–>Active Directory–>创建租户

转到用户–>新用户

转到企业应用程序–>新应用程序

查找SAP NetWeaver或SAP Fiori。你选择哪一个并不重要。

但是,很可能你的Azure广告租户中会有或最终会有多个企业应用程序属于同一类别。因此,请考虑将环境(dev、prod等)、SID、用法(Fiori)等信息添加到新应用程序的名称中。例如,我将我的应用程序命名为SAP NetWeaver Fiori–DEV.

转到企业应用程序–>应用程序。

单击新应用程序。

然后单击用户和组–>添加用户。

将新用户添加到新应用程序。我选择了默认访问,但您可以根据需要创建和分配角色。

转到您的应用程序,然后单击单点登录,然后单击SAML。

这里有三个关键子步骤。

在这个步骤中,发发淘客助手,您将SAP NetWeaver系统的服务提供商标识和URL分配给Azure AD中的SAP Enterprise应用程序。在进入SAP配置之前,我将首先执行所有Azure AD配置。但是,也可以在此步骤之前执行后续步骤"创建SAML 2本地提供程序"。

这里需要注意的要点是:

标识符(实体ID):SAP SAML本地提供程序(步骤7)中的"提供程序名称"必须与此相同。它不必像屏幕上提示的那样以URL的形式出现。ACS(断言消费者服务)URL:请记住,这必须是HTTPS URL。不允许HTTP。确保使用正确的SAP客户机号码。我使用的是client 000,但在实际场景中,您将拥有不同的客户机号码。如果SAP应用程序前面有反向代理,请使用反向代理的URL。我们正在手动配置此步骤。另一种方法是首先在SAP中创建本地提供者,下载SAP元数据文件,然后到这里上传文件。如果要从SAP导入元数据文件,并且使用反向代理,请记住通过反向代理URL访问SAML2.0配置UI。这将确保服务提供商元数据包含正确的端点URL。

单击"基本SAML配置"旁边的编辑图标。

SAP应用程序希望SAML断言采用特定格式。

当用户对应用程序进行身份验证时,azuread向应用程序发出一个SAML令牌,其中包含有关唯一标识用户的用户的信息(或声明)。默认情况下,此信息包括用户的用户名、电子邮件地址、名和姓。例如,如果应用程序需要特定的声明值或用户名以外的名称格式,您可能需要自定义这些声明。

在SAML单点登录期间,默认情况下,Azure AD将用户名或名称ID声明传递为@yourdomain.onmicrosoft.com而SAP用户ID(user02.bname)将是。将Azure广告声明映射到SAP用户有几种方法,主要有两种:

一种方法是在Azure广告中使用声明转换,如下所示。另一种方法是使用默认的(未转换的)Name ID声明(user.userprincipalname)并利用SAP用户帐户中的别名,在本例中,您将存储@yourdomain.onmicrosoft.com在用户的别名字段中。

我正在选择claim transformation。如果选择第二个选项,则不需要在此步骤中更改任何内容。

单击"用户属性和声明"的"编辑"按钮。

单击"声明名称""唯一用户标识符(名称ID)",并将转换ExtractMailPrefix()应用于user.userprincipalname. 此转换将完全按照其名称执行。

接下来您需要下载证书(Base64)和联合元数据XML。稍后在SAP中将Azure AD添加为可信提供商时,您将需要这些工具。

现在让我们为SAML配置SAP NetWeaver。主要有两个步骤,创建本地提供程序(服务提供程序)并将Azure AD添加为受信任的身份提供程序。

通过从SAP调用事务代码SAML2或直接在浏览器中打开以下SAML URL启动SAML配置,然后单击"创建SAML 2.0本地提供程序"。

https:///SAP/bc/webdynpro/SAP/SAML2?sap client=nnn

下一步,如果您只有一个单一登录方法,海淘返利,请选择选择模式自动。

下一步是将Azure AD引入您的sap系统,并注册为受信任的身份提供商。请将Azure AD配置中的证书和联合元数据XML文件放在手边,因为您在此步骤中将需要它们。

最简单的方法是选择上载元数据文件。但我建议至少使用一次manual选项,这样您就可以熟悉配置步骤和各种端点。在用户开始使用SAML之前,删除配置和重新创建也非常简单和快速。

转到受信任的提供商–>添加–>上载元数据文件

根据需要添加请求的身份验证上下文。

单击"完成"保存。仍然需要进行一项更改,因此请单击"编辑"。

确保您位于"可信提供商"->"身份联合"选项卡上。单击"添加"添加受支持的NameID格式。

我想提醒您,我选择了索赔转换方法。因此,我将接受默认的用户ID映射模式作为登录ID。

最后单击"保存并启用"以激活您的受信任提供商配置。

既然我们已经配置了Azure AD和SAP,是时候进行快速测试了。

记住使用:

InPrivate(Edge)或incognito(Chrome)浏览器窗口进行测试,以避免错误的测试结果。(或者,清除浏览缓存,关闭窗口,然后打开一个新的)

最终用户将用于访问SAP应用程序的SAP URL

通过Azure应用程序网关和HTTPS的My Fiori启动板URL是:

https://fioridemo.westeurope.cloudapp.azure.com/sap/bc/ui2/flp

导航至SAP web URL。如果受信任的提供程序配置正确,则应将您重定向到Azure AD登录屏幕。使用您的Azure AD凭据登录。

一旦通过身份验证,您将被重定向到SAP Fiori并单点登录。

您现在应该能够使用Azure Active Directory作为您的身份提供程序,为基于SAP NetWeaver的web应用程序配置SAML 2.0 SSO。

如果Azure AD身份验证成功,但您仍然到达SAP登录屏幕,然后使用SAP中的安全诊断工具进行故障排除。

事务代码SICF–>服务/SAP/bc/webdynpro/SAP/SEC\u DIAG\u工具或

:/SAP/bc/webdynpro/SAP/SEC\u DIAG\u工具

一个非常常见的场景是组织使用反向代理,如Azure应用程序网关,SAP Web Dispatcher和Citrix Netscaler在SAP应用程序前面,并在反向代理处终止SSL。这导致在反向代理和SAP之间的最后一段协议从HTTPS切换到HTTP。

分享给小伙伴们:
本文标签: 主机网站建设推广免费

相关文章

评论

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

签名: 验证码: 点击我更换图片

评论列表