SAP Cloud Platform 实现 SAP Web IDE 单点登录(ADFS)

前言

在SAP Cloud使用企业内的AD作为用户验证的问题是,在SAP中,我们使用S账号进行登录,而这个S账号在企业的AD中并不存在,同样的,企业中的账号在SAP也不存在.于是需要让SAP相信企业的验证,并使用企业的用户账号作为Cloud平台操作的账号.

在 SAP Cloud Platform中,需要为企业的账号授权,这样保证了企业中的账号能够在云平台进行操作.

企业中的账号不需要在 SAP Cloud Platform存在.

因为能够使用企业中的账号,那么在 SAP Cloud Connector中,我们需要principle propagation, 该部分可以在后续的文章中更新.

在 SAP Cloud Platform中,destination指向后端的系统的配置,需要使用principle propagation,这样可以使用企业的账号单点登录到SAP后端系统(Gateway).

SAP Cloud Platform 设置 trust

进入Trust设置页面



选择Custom,保存

然后下载Metadata

​

Metadata 导入到 ADFS

联系到ADFS的管理员,把刚才下载的Metadata文件给他,并提供endpoint url,如果你想限制的是webide,那么可以给webide的地址,当然也可以不提供,这样管理员会设置为 *.

尽量提供enpoint url,这样可以限制ADFS信任的范围

配置identity provider

ADFS配置好之后,管理员会发送给你adfs的metadata,保存好这个文件.

打开Trust中Identity provider页面,导入metadata

配置权限

进入Authorization



输入企业账号,添加权限

SAP Cloud Connector添加 Gateway 连接

添加Trial版本的账号到 SAP Cloud Connector



添加Cloud to on-premise连接





配置access路径

SAP Cloud Platform 配置 Destination

登录到 SAP Cloud Platform,选择Destination



配置到Gateway的连接



测试连接

测试

打开浏览器,输入web IDE地址

系统弹出ADFS登录界面,输入AD的用户名和密码



进入 SAP Web IDE的首页

选择Repository,连接到Gateway取得repository对象清单

后记

在配置的过程中,最主要的是和ADFS管理员的沟通,双方需要清楚的知道每一步的操作,关于ADFS的配置方法,以下两个文档可以帮助到ADFS管理员进行配置.

我的配置步骤也参考以下两个文档:

ADFS 2.0 Configuration for SAP HANA Cloud Platform | SAP Blogs

How to Configure MS ADFS 3.0 as Identity Provider for SAP HANA …