我们的S/4HANA系统技术配置之旅仍在继续，在今天的一集中，我们将更仔细地了解使用SAML和Microsoft Azure Active Directory的单点登录。

如果您对Fiori和单点登录的不同方法感兴趣，我强烈建议您查看Frank Schuler关于如何进行单点登录的详细介绍使用X.509证书实现SSO。

我打赌您以前听说过Active Directory。这是一个目录服务，与Windows Server一起提供，它自动化了用户管理、安全和网络管理

Azure Active directory是一样的吗？是和否。它仍然是一个目录服务，但最大的区别是，目前Azure AD不支持组策略对象。因此，你不能决定什么将是用户的墙纸，你不能管理他们的Internet Explorer书签。相反，您将获得身份管理功能，包括多因素身份验证、设备注册和自助密码管理。azureactivedirectory提供了一个解决方案，可以使用SAML轻松地跨云和本地应用程序部署单个Sing-On。当然还有更多的好处–但是如果您对细节感兴趣，您可以在internet上轻松找到其他信息。

我们今天的目标是在Microsoft Azure Active Directory和S/4HANA Fiori Launchpad之间启用单点登录！

这次我们将使用新的Azure门户。要启用单一登录，我们需要Active Directory租户。当您创建Azure帐户或创建新帐户时，我们可以使用默认交付的帐户。

您的订阅中有四个级别的Azure广告可用。重要的是，SSO功能甚至可以为免费版本启用（您可以在这里阅读限制）

在我们开始之前，我想解释两个在使用SAML时很重要的术语：

Identity Provider–是一个可靠的提供商，它存储您的用户凭据，并允许您使用单点登录访问其他服务。在我们的例子中，它是azureactivedirectory

服务提供者–是一个外部服务/网页，云服务器好用吗，它从身份提供者请求并获取身份断言。在我们的环境中是SAP Netweaver

AZURE ACTIVE DIRECTORY设置

请登录到您的AZURE门户并转到AZURE ACTIVE DIRECTORY维护。您可以使用默认目录，外汇返现，也可以切换到帐户中可用的任何其他目录。

我们需要做的是添加SAP Netweaver作为企业应用程序：

现在，转到Single Sign-On选项卡并维护三个参数：

Sing-On URL–这是用于登录Fiori Launchpad的地址

Identifier–服务提供商的自定义标识符

回复URL–地址，成功登录后我们应该转发到该地址。

下一步，单击SAML签名证书部分中的新建证书并维护到期日期。

您可以看到新证书已创建，大数据与应用，我们可以下载元数据XML，我们使用它来配置SAP Netweaver。

在用户属性部分，您需要决定什么应该是用户标识符–哪些数据应该标识特定的用户。我选择了电子邮件地址，但您也可以检查不同的参数。

最后一步是选择有权访问我们的Fiori启动板的用户。

在SAP NETWEAVER中启用SAML

现在是在SAP NETWEAVER中配置SAML设置的时候了。设置可以在t代码SAML2中完成，游戏返利平台，第一步创建SAML2.0本地提供程序：

提供程序名称应与我们在Azure门户中选择的名称相同。

在第三步中，确保选择模式设置为自动。您可以在以后保存您的设置。

显示服务提供商的配置。这里唯一需要改变的是启用遗留系统支持。这意味着，如果您从Fiori Launchpad打开sapgui，就不会要求您提供凭据。您可以在Koen Van Loocke博客文章中阅读更多信息。

转到"可信提供商"选项卡，通过上载元数据文件添加新的身份提供商。

上载以前从Azure AD下载的文件，您可以确认所有步骤，直到第9步。

在身份提供商配置的最后一步，请更改身份验证响应：

身份提供者详细信息中的"身份联盟"选项卡允许我们配置哪些数据应该标识特定用户。你还记得Azure中SSO配置的类似步骤吗？当时我选择了电子邮件地址，它和我需要放在这里的是一样的——但是请记住在用户主数据中维护这个值！

现在进入认证要求页签，验证认证响应字段。应该设置如下：

测试

为了测试配置，我在私有模式下打开了新的浏览器窗口，因此我保证不会使用缓存登录。键入Fiori地址后，我立即被重定向到Microsoft登录页。

在Azure Active Directory验证我的凭据后，我再次被重定向到我的Fiori启动板。我没有被要求任何额外的登录/密码！

故障排除

我还想向您展示SAML SSO的简单故障排除。因此，我们需要首先打破一些东西

转到Identity Federation，并将支持的NameID格式更改为Persistent。重新启动浏览器，然后再次尝试登录Fiori Launchpad。这一次，显示的不是Microsoft登录页，懒懒淘客，而是Fiori欢迎屏幕，等待我们的输入。

出了什么问题？为了回答这个问题，我们将打开安全诊断工具并启动一个跟踪：

/sap/bc/webdynpro/sap/sec\u diag\u tool

当跟踪打开时，尝试再次登录。之后您可以显示跟踪并轻松解决问题：