这篇文章是一个循序渐进的配置指南，它将帮助您了解将MS ADFS 3.0（Microsoft Active Directory 3.0）配置为SAP HANA云平台（SAP HCP）的身份提供程序（IdP）的步骤和细节。在本文中，您将看到如何在SAP HCP中为您的应用程序启用MS ADFS 3.0作为IdP。工作原理

默认情况下，国内的云服务器，SAP HCP使用SAP ID服务作为基于SAML 2.0的身份提供者。此外，SAP HCP还支持与外部身份提供商进行身份联合和单点登录。在这种情况下，我们将重点关注MS ADFS 3.0作为SAP HCP的外部IdP。这意味着我们将配置SAP HCP来验证msadfs3.0上的用户，而不是SAP ID服务。以下步骤可以简单地描述身份验证过程：

a.用户通过浏览器请求访问SAP HCP上的应用程序。b、 SAP HCP请求MS ADFS上的用户身份验证。c、 用户在MS ADFS上进行身份验证。d、 用户收到一个指向SAP HCP的重定向，并持有saml2.0断言以访问应用程序。e、 用户访问应用程序

2。先决条件

以下是先决条件列表：a、 SAP HCP帐户（在我的情况下，云零售，我使用的是SAP HCP试用帐户）。b、 已配置SAP MS ADFS 3.0并使用SAML 2.0。c、 在SAP HCP上启用物联网服务。（如果你不知道怎么做，请按此链接）。注：如您所见，MS ADFS 3.0的安装不是本博客的主题。

3。从msadfs3.0获取元数据文件在启动saphcp配置之前，我真的建议您从msadfs获取元数据XML文件。元数据文件包含有关证书、url、算法等的信息，这些信息是在SAP HCP和MS ADFS之间配置联合所必需的。msadfs3.0提供了一个URL，您可以在其中访问和下载元数据；它具有以下结构：https:///FederationMetadata/2007-06/联邦元数据.xml，当然您需要将替换为您的ADFS服务器的完整限定名。

4。SAP HCP配置。4.1创建可信任的身份提供者

让我们工作吧！现在，您已经具备了将SAP HCP配置为将MS ADFS用作IdP所需的全部功能，有哪些云服务器，因此请按照以下说明操作：a） 转到SAP HCP驾驶舱。b） 在菜单上，单击"信任"。c） 单击文件夹"Trusted Identity Provider"。d） 点击"添加可信身份提供者"链接。

现在是从SAP HCP上的MS ADFS导入元数据文件的时候了。在"General"文件夹中，单击"Browse"按钮并导入联邦元数据.xml文件。这些字段将自动填充元数据文件中的数据，但您需要修复某些字段，请参见以下说明：a） 从应用程序根目录到断言使用者服务设置断言使用者服务b） 将SSO URL更改为https:///ADFS/ls/idpinitiatedsignon.aspx？物流公司=https://hanatrial.ondemand.com/

示例：

ADFS FQDN=idp.example.comSAP HCP帐户用户：p1942090147https://idp.example.com/adfs/ls/idpinitiatedsignon.aspx？物流公司=https://hanatrial.ondemand.com/p1942090147

c）将签名算法从SHA-1改为SHA-256d） 取消选中"仅限IDP启动的SSO"选项。

4.2重建本地提供程序配置

需要以自定义方式重新创建本地提供程序。换句话说，您需要重建本地提供程序，以便从SAP HCP获取元数据文件。在这种情况下，我们将执行本地提供程序的简单重建。请按照以下说明操作：a） 在"信任"菜单中，单击文件夹"本地服务提供商"b） 点击按钮"编辑"

按照以下说明设置新的本地提供商：a） 将配置类型更改为"自定义"b） 根据以下规则用URL填充"本地提供商名称"：https:///例子：https://hanatrial.ondemand.com/p1942090147c） 单击"生成密钥对"按钮以创建用于签名和证书的新密钥。d） 启用主体传播e） 禁用选项"强制验证"

4.3从SAP HCP获取元数据文件为本地提供程序创建自定义配置后，就可以执行此步骤。保存"本地服务提供商"的自定义配置后，将提供获取元数据文件的选项。因此，单击"获取元数据"链接并保存文件。

4.3创建依赖方信任

在MS ADFS 3.0上创建中继方信任很简单，但您需要注意此处显示的每个步骤。

a）打开MS ADFS管理并将三个菜单扩展到"依赖方信任"。b） 点击"添加依赖方信任"

在十四个屏幕截图上点击三十次配置一个新的依赖方信任；

1）点击下一步2） 选择"从文件导入依赖方的数据"。你还记得你在Top3.3中保存的元数据文件吗？你现在就需要。3） 单击"浏览"并选择您保存的元数据文件。4） 单击"下一步"。5） 给出一个名称，例如SAP HCP6） 输入描述。7） 单击"下一步"8） 选择"我现在不想为此依赖方信任配置多因素身份验证设置"。9） 单击"下一步"。10） 选择"允许所有用户访问此依赖方信任"。11） 点击按钮"下一步"。12） 只需点击"下一步"。13） 选中"在向导关闭时打开此依赖方信任的编辑声明规则对话框"框。14） 单击"添加规则"。15） 选择"将LDAP属性作为声明发送"作为声明规则模板。16） 单击"下一步"。17） 给出规则的名称，在本例中，我给出了"R1"。18） 为属性存储选项选择Active Directory。19） 映射属性："SAM-ACCOUNT-NAME"到"给定名称"20） 单击"下一步"。21）单击"添加规则"。22）为索赔规则模板选择"转换传入索赔"。23）给出规则的名称，在本例中，我给出了"R2"。24）为传入索赔类型选择"给定名称"。25）为传出索赔类型选择"名称ID"。26）选择"未指定"作为传出名称ID格式27）选择：传递所有索赔值28）单击"下一步"。29）点击"应用"30）点击"确定"。

屏幕截图和步骤：

完成！只需关闭ADFS管理。

4.5映射用户