SAP Cloud Platform 实现 SAP Web IDE 单点登录(ADFS)

前言

• 在SAP Cloud使用企业内的AD作为用户验证的问题是,在SAP中,我们使用S账号进行登录,而这个S账号在企业的AD中并不存在,同样的,企业中的账号在SAP也不存在.于是需要让SAP相信企业的验证,并使用企业的用户账号作为Cloud平台操作的账号.
• 在 SAP Cloud Platform中,需要为企业的账号授权,这样保证了企业中的账号能够在云平台进行操作.
• 企业中的账号不需要在 SAP Cloud Platform存在.
• 因为能够使用企业中的账号,那么在 SAP Cloud Connector中,我们需要principle propagation, 该部分可以在后续的文章中更新.
• 在 SAP Cloud Platform中,destination指向后端的系统的配置,需要使用principle propagation,这样可以使用企业的账号单点登录到SAP后端系统(Gateway).

SAP Cloud Platform 设置 trust

• 进入Trust设置页面

• 选择Custom,保存

• 然后下载Metadata

  ​

Metadata 导入到 ADFS

联系到ADFS的管理员,把刚才下载的Metadata文件给他,并提供endpoint url,如果你想限制的是webide,那么可以给webide的地址,当然也可以不提供,这样管理员会设置为 *.

尽量提供enpoint url,这样可以限制ADFS信任的范围

配置identity provider

• ADFS配置好之后,管理员会发送给你adfs的metadata,保存好这个文件.

• 打开Trust中Identity provider页面,导入metadata

配置权限

• 进入Authorization

• 输入企业账号,添加权限

SAP Cloud Connector添加 Gateway 连接

• 添加Trial版本的账号到 SAP Cloud Connector

• 添加Cloud to on-premise连接

• 配置access路径

SAP Cloud Platform 配置 Destination

• 登录到 SAP Cloud Platform,选择Destination

• 配置到Gateway的连接

• 测试连接

测试

• 打开浏览器,输入web IDE地址

• 系统弹出ADFS登录界面,输入AD的用户名和密码

• 进入 SAP Web IDE的首页

• 选择Repository,连接到Gateway取得repository对象清单

后记

在配置的过程中,最主要的是和ADFS管理员的沟通,双方需要清楚的知道每一步的操作,关于ADFS的配置方法,以下两个文档可以帮助到ADFS管理员进行配置.

我的配置步骤也参考以下两个文档:

ADFS 2.0 Configuration for SAP HANA Cloud Platform | SAP Blogs

How to Configure MS ADFS 3.0 as Identity Provider for SAP HANA …