我们的S/4HANA系统技术配置之旅仍在继续,在今天的一集中,我们将更仔细地了解使用SAML和Microsoft Azure Active Directory的单点登录。
如果您对Fiori和单点登录的不同方法感兴趣,我强烈建议您查看Frank Schuler关于如何进行单点登录的详细介绍使用X.509证书实现SSO。
我打赌您以前听说过Active Directory。这是一个目录服务,与Windows Server一起提供,它自动化了用户管理、安全和网络管理
Azure Active directory是一样的吗?是和否。它仍然是一个目录服务,但最大的区别是,目前Azure AD不支持组策略对象。因此,你不能决定什么将是用户的墙纸,你不能管理他们的Internet Explorer书签。相反,您将获得身份管理功能,包括多因素身份验证、设备注册和自助密码管理。azureactivedirectory提供了一个解决方案,可以使用SAML轻松地跨云和本地应用程序部署单个Sing-On。当然还有更多的好处–但是如果您对细节感兴趣,您可以在internet上轻松找到其他信息。
我们今天的目标是在Microsoft Azure Active Directory和S/4HANA Fiori Launchpad之间启用单点登录!
这次我们将使用新的Azure门户。要启用单一登录,我们需要Active Directory租户。当您创建Azure帐户或创建新帐户时,我们可以使用默认交付的帐户。
您的订阅中有四个级别的Azure广告可用。重要的是,SSO功能甚至可以为免费版本启用(您可以在这里阅读限制)
在我们开始之前,我想解释两个在使用SAML时很重要的术语:
Identity Provider–是一个可靠的提供商,它存储您的用户凭据,并允许您使用单点登录访问其他服务。在我们的例子中,它是azureactivedirectory
服务提供者–是一个外部服务/网页,云服务器好用吗,它从身份提供者请求并获取身份断言。在我们的环境中是SAP Netweaver
AZURE ACTIVE DIRECTORY设置
请登录到您的AZURE门户并转到AZURE ACTIVE DIRECTORY维护。您可以使用默认目录,外汇返现,也可以切换到帐户中可用的任何其他目录。
我们需要做的是添加SAP Netweaver作为企业应用程序:
现在,转到Single Sign-On选项卡并维护三个参数:
Sing-On URL–这是用于登录Fiori Launchpad的地址
Identifier–服务提供商的自定义标识符
回复URL–地址,成功登录后我们应该转发到该地址。
下一步,单击SAML签名证书部分中的新建证书并维护到期日期。
您可以看到新证书已创建,大数据与应用,我们可以下载元数据XML,我们使用它来配置SAP Netweaver。
在用户属性部分,您需要决定什么应该是用户标识符–哪些数据应该标识特定的用户。我选择了电子邮件地址,但您也可以检查不同的参数。
最后一步是选择有权访问我们的Fiori启动板的用户。
在SAP NETWEAVER中启用SAML
现在是在SAP NETWEAVER中配置SAML设置的时候了。设置可以在t代码SAML2中完成,游戏返利平台,第一步创建SAML2.0本地提供程序:
提供程序名称应与我们在Azure门户中选择的名称相同。
在第三步中,确保选择模式设置为自动。您可以在以后保存您的设置。
显示服务提供商的配置。这里唯一需要改变的是启用遗留系统支持。这意味着,如果您从Fiori Launchpad打开sapgui,就不会要求您提供凭据。您可以在Koen Van Loocke博客文章中阅读更多信息。
转到"可信提供商"选项卡,通过上载元数据文件添加新的身份提供商。
上载以前从Azure AD下载的文件,您可以确认所有步骤,直到第9步。
在身份提供商配置的最后一步,请更改身份验证响应:
身份提供者详细信息中的"身份联盟"选项卡允许我们配置哪些数据应该标识特定用户。你还记得Azure中SSO配置的类似步骤吗?当时我选择了电子邮件地址,它和我需要放在这里的是一样的——但是请记住在用户主数据中维护这个值!
现在进入认证要求页签,验证认证响应字段。应该设置如下:
测试
为了测试配置,我在私有模式下打开了新的浏览器窗口,因此我保证不会使用缓存登录。键入Fiori地址后,我立即被重定向到Microsoft登录页。
在Azure Active Directory验证我的凭据后,我再次被重定向到我的Fiori启动板。我没有被要求任何额外的登录/密码!
故障排除
我还想向您展示SAML SSO的简单故障排除。因此,我们需要首先打破一些东西
转到Identity Federation,并将支持的NameID格式更改为Persistent。重新启动浏览器,然后再次尝试登录Fiori Launchpad。这一次,显示的不是Microsoft登录页,懒懒淘客,而是Fiori欢迎屏幕,等待我们的输入。
出了什么问题?为了回答这个问题,我们将打开安全诊断工具并启动一个跟踪:
/sap/bc/webdynpro/sap/sec\u diag\u tool
当跟踪打开时,尝试再次登录。之后您可以显示跟踪并轻松解决问题: