跳到内容
技术文章
作者简介照片Imr188金宝搏bet官方下载e Takacsi-Nagy

为相同身份验证租户(Azure AD应用程序)配置不同的信任配置

我叫Imre,从2004年开始在SAP工作。现在我在身份认证服务区

在这篇博文中,我将详细探讨如何为相同身份验证租户(Azure AD应用程序)配置不同的信任配置。
我在身份验证服务团队工作,我们遇到了几个关于为相同身份验证租户实现不同信任配置的问题。
解释了技术背景在这里
所以我决定建立一个测试场景,并分享我的详细经验。
我也将使用第三方工具生成密钥,并通过插入我制作的屏幕截图和图片使设置更加可见。

注意:本文包含有关openssl和MS AZURE的第三方信息,这些信息将来可能会更改。

先决条件

  1. 您有一个有效的许可证SAP云平台身份认证服务
  2. “管理申请”及“管理企业形象提供者”分配授权作为国际会计准则的管理员。
  3. 你有一个活跃的AZURE许可证。
  4. 中创建了一个应用程序SAP云平台身份认证服务

步骤1:在SAP上配置发行者名称身份认证

  1. 以管理员身份登录SAP Identity Authentication:
    https:// <承租者ID > .accounts.ondemand.com/admin
  2. 应用及资源188金宝博在线登录,选择应用程序瓷砖。
  3. 选择信任选项卡。
  4. 有条件的验证,选择配置SAML 2.0对企业标识提供程序的请求

  5. 配置发行者名称,键入要添加到身份认证默认发行者名称。

    因此,发行人名称将更改为末尾的后缀:
    (后缀最长可达32个字符)
    https:// <承租者ID > .accounts.ondemand.com/sf

步骤2:从SAP导出和编辑元数据身份认证

  1. 在SAP Identity Authentication中,我导出元数据:
  2. 然后用notepad++编辑metadata.xml
    并将entityID修改为https://<租户ID>.accounts.ondemand.com/sf
    并将其保存为metadata_new.xml

步骤3:在AZURE中创建和配置应用程序

  1. (如果尚未创建AZURE应用程序)打开
    https://portal.azure.com/
  2. 创建应用程序之后,
    - >我选择“分配用户和组”
    并分配用户。
  3. 点击“设置单点登录”
  4. 我将metadata_new.xml上传到AZURE(这是在第2.2点中创建的)作为“BASIC SAML配置”的结果
    the entityIDhttps://<租户ID>.accounts.ondemand.com/sf
    将会显示。

步骤4:为Azure应用程序生成带有私钥的证书。

  1. 前提条件:OPENSSL的安装和配置如下:https://slproweb.com/products/Win32OpenSSL.html(我已经下载了WIN 64的。msi)。
  2. 我在我的PC上打开OPENSSL应用程序
  3. 我运行这个命令:

    Openssl req -x509 -days 365 -newkey rsa:2048 -keyout cert.pem out cert.pem

  4. 何时会问FQDN:
    我给我的租户链接:
    https:// <承租者ID > .accounts.ondemand.com

    最后生成一个cert.pem文件

  5. openssl pkcs12 -export -in cert.pem -inkey cert.pem -out cert.pfx最后将创建一个cert.pfx文件。
  6. 我将cert.pfx上传到
    Azure
    到新创建的APP(见步骤3)

    “SAML签署证书”
  7. 我确保最后上传的证书是活动的。

步骤5:转换SAP的证书身份认证

  1. 必须转换以前创建的
    cert.pfx

    cert.cer
    文件。
  2. 例如,我在Chrome 2.1中这样做了
    打开Google Chrome.2.2
    2.3 .选择“显示高级设置>管理证书”
    2.4 .单击“导入”,启动证书导入向导
    单击Next.2.5
    浏览到下载的证书cert.pfx文件,然后单击Next。

    2.6
    输入生成cert.pfx证书时输入的密码。

    2.7
    在Chrome浏览器中导出证书并保存为“cert.cer”

  3. 在SAP身份验证中(作为管理员)
    我去
    身份提供者
    - >企业标识提供商
    - >编辑我的AZURE IdP
  4. AZURE IdP:
    SAML2配置- >
    点击“签名证书”- >按添加- >
    我上传了cert.cer

总结

如果所有主要的五个步骤都完成了,那么在隐身模式下调用应用程序将产生一个调用方法:

应用- > SAP身份验证(作为代理)- > MS AZURE(作为IdP) - > SAP身份验证(作为代理)- >应用。

注:
在SAP Identity authentication中创建的所有其他计划中的应用程序(例如APP1到APP99)必须以1:1的比例连接到一个单独的AZURE应用程序
这里必须使用相同的cert.pfx。
(一个签名证书将用于所有AZURE应用程序)

如果你读了这篇文章,请在评论中分享你的反馈或想法。
我鼓励您关注我的个人资料以获取类似的内容。

指定的标签

      8的评论
      你一定是登录评论:评论或回复帖子
      作者简介照片Chr188金宝搏bet官方下载istian Abegg
      基督教Abegg

      你好,因

      在步骤4之后。是否有可能将新的Azure应用程序添加为第二个身份提供者?我们需要第二个具有增强的主题名称标识符配置的标识提供者。因此,我们不必更改运行在相同IAS上的所有其他应用程序连接到AzureAD。当我尝试添加联邦XML时,我得到“另一个身份提供者已经配置了相同的实体ID”

      你能帮我一下吗?

      致克里斯蒂安·阿贝格

      作者简介照片Imr188金宝搏bet官方下载e Takacsi-Nagy
      Imre Takacsi-Nagy
      博客作者

      嗨,基督徒,

      1.
      实际上,如果你有Azure登录,你可以在Azure中创建尽可能多的应用程序。

      2.
      在步骤3。
      您必须在AZURE中创建和配置应用程序。
      AZURE中的每个新应用程序都可以具有不同的IdP设置行为。

      3.
      如果在IAS中有后缀
      https:// <承租者ID > .accounts.ondemand.com/app1
      步骤1
      5点。
      ->必须连接到单独的Azure应用程序app1

      4.
      在定义了a之后
      https:// <承租者ID > .accounts.ondemand.com/app1并下载元数据
      (步骤2)。
      您必须编辑元数据文件并添加app1
      参见步骤2。
      点2。

      5.
      你必须每次都上传修改的元数据,并为每个AZURE应用上传修改的元数据。
      -->这样你就可以避免重复。

      6.
      必须为IAS中的每个后缀创建新的AZURE应用程序(1:1)
      https:// <承租者ID > .accounts.ondemand.com/app2->必须连接到单独的Azureapp2

      作者简介照片Mau188金宝搏bet官方下载rizio D'Autilia
      莫里吉奥D 'Autilia

      你好,因

      我们要做的是第二次将Azure AD连接到IAS。
      一旦启用此选项,“使用身份验证用户存储”,一旦禁用。

      IAS % 20用户% 20商店

      IAS用户存储

      用户存储IAS

      不幸的是,我们只能在IAS中连接一次相同的Azure AD。

      ias % 20的错误

      ias错误

      问候毛里齐奥

      作者简介照片Imr188金宝搏bet官方下载e Takacsi-Nagy
      Imre Takacsi-Nagy
      博客作者

      嗨,莫里吉奥,

      在IAS中,您只能添加一个企业IdP Azure。
      第4步。和步骤5。只能做一次。
      (不管你有多少Azure应用程序。)

      致以最亲切的问候

      作者简介照片Car188金宝搏bet官方下载sten Olt
      Carsten Olt

      亲爱的Imre,感谢你的博客。只是在这里添加一些信息。

      我两年前就面临过这个挑战在这里有关背景和用例的更多详细信息

      欢呼声Carsten

      作者简介照片Imr188金宝搏bet官方下载e Takacsi-Nagy
      Imre Takacsi-Nagy
      博客作者

      谢谢你,卡斯滕!

      你的博客写得很好!

      致以最亲切的问候

      作者简介照片Jas188金宝搏bet官方下载man Kaur
      Jasman考尔

      嗨,因,

      我们可以为授权的单个SAP连接添加两个活动AD Azure连接吗?

      谢谢,Jasman

      作者简介照片Imr188金宝搏bet官方下载e Takacsi-Nagy
      Imre Takacsi-Nagy
      博客作者

      嗨Jasman,

      在IAS中,您必须使用
      只有一个
      AD Azure作为企业IdP。

      但是在Azure中,您可以定义几个应用程序,它们将以1:1的连接连接到IAS应用程序。

      致以最亲切的问候