前言
- 在SAP Cloud使用企业内的AD作为用户验证的问题是,在SAP中,我们使用S账号进行登录,而这个S账号在企业的AD中并不存在,同样的,企业中的账号在SAP也不存在.于是需要让SAP相信企业的验证,并使用企业的用户账号作为Cloud平台操作的账号.
- 在 SAP Cloud Platform中,需要为企业的账号授权,这样保证了企业中的账号能够在云平台进行操作.
- 企业中的账号不需要在 SAP Cloud Platform存在.
- 因为能够使用企业中的账号,那么在 SAP Cloud Connector中,我们需要principle propagation, 该部分可以在后续的文章中更新.
- 在 SAP Cloud Platform中,destination指向后端的系统的配置,需要使用principle propagation,这样可以使用企业的账号单点登录到SAP后端系统(Gateway).
SAP Cloud Platform 设置 trust
进入Trust设置页面
选择Custom,保存
然后下载Metadata
Metadata 导入到 ADFS
联系到ADFS的管理员,把刚才下载的Metadata文件给他,并提供endpoint url,如果你想限制的是webide,那么可以给webide的地址,当然也可以不提供,这样管理员会设置为 *.
尽量提供enpoint url,这样可以限制ADFS信任的范围
配置identity provider
ADFS配置好之后,管理员会发送给你adfs的metadata,保存好这个文件.
打开Trust中Identity provider页面,导入metadata
配置权限
进入Authorization
输入企业账号,添加权限
SAP Cloud Connector添加 Gateway 连接
添加Trial版本的账号到 SAP Cloud Connector
添加Cloud to on-premise连接
配置access路径
SAP Cloud Platform 配置 Destination
登录到 SAP Cloud Platform,选择Destination
配置到Gateway的连接
测试连接
测试
打开浏览器,输入web IDE地址
系统弹出ADFS登录界面,输入AD的用户名和密码
进入 SAP Web IDE的首页
选择Repository,连接到Gateway取得repository对象清单
后记
在配置的过程中,最主要的是和ADFS管理员的沟通,双方需要清楚的知道每一步的操作,关于ADFS的配置方法,以下两个文档可以帮助到ADFS管理员进行配置.
我的配置步骤也参考以下两个文档:
ADFS 2.0 Configuration for SAP HANA Cloud Platform | SAP Blogs
How to Configure MS ADFS 3.0 as Identity Provider for SAP HANA …