基本概念

2020-09-16 19:09发布

点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)嗨,专家们,我在尝试识别SCP架...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,专家们,我在尝试识别SCP架构中的内容时遇到了一些问题。

任何人都可以向我解释一下SCP(信任,授权和oAuth)的安全性标签下的所有分段吗? 我在这件事上迷失了。 我的实际问题是,我们需要查看SCP中的用户是否存在于后端系统中,而不是将其克隆到SCP中。 我没有任何手册或教程来介绍此概念,也没有如何配置de SAP Cloud Platform IdP的信息,更重要的是解释它们在做什么。 所有手册和博客都采用了许多我无法理解的概念。

先感谢

4条回答
何必丶何苦呢
2020-09-16 19:21 .采纳回答

安德烈斯,你好

在SCP中,所有身份验证都委派给所谓的IdP(身份提供者)。 该系统将代表SCP执行身份验证,并将返回包含有关用户详细信息的SAML声明票证。 一旦通过身份验证,SCP将检查该用户是否被授权使用正在调用的资源。

这就是SCP具有成员概念的原因。 成员不是用户对象。 除了用户ID外,它们不包含密码或任何其他信息。

假设您是SCP帐户的成员,但您在座舱上没有任何管理权限。 您也许可以加载座舱的初始页面,但无权访问其任何资源。

SCP附带将SAP的身份服务配置为用户持久性存储。 因此,当您尝试登录时,SCP将加载SAP ID Service进行身份验证。 您可以通过驾驶舱上的"信任"菜单更改该初始配置,以便可以针对其他IdP进行身份验证。 假设您拥有公司的LDAP服务,并且已经为其配置了IdP服务,例如Shibboleth或ADFS。 在这种情况下,您只需在SCP的驾驶舱内注册公司IDP,就可以使用公司ID和密码进行登录。

SAP还为您提供了自己的IaP作为SaaS以供企业使用,称为 SAP Cloud 身份认证服务能够通过SAP Cloud Connector将SCP连接到您的本地LDAP服务器-以及其他有用的功能,例如为不想将企业用户与云用户混在一起的公司管理用户身份。

此设置的另一方面是,您可以将用户身份传递给后端-称为主体传播。 这样,在SCP上运行的应用程序可能会通过SAP Cloud Connector在本地SAP-Gateway系统中使用REST服务。 如果配置为"主体传播",则此消耗将确保将来自SCP的用户ID发送为SAP Gateway系统的身份验证手段。

所以回到您最初的问题描述:" 我的实际问题是我们需要查看SCP中的用户是否存在于后端系统中"。 考虑到以上所有情况,如果启用"主体传播",则不必担心用户是否在驾驶舱中注册。 我并不是说这是一个非常简单的配置-正如您所说的,首先需要理解许多安全概念。

因此,您可能必须首先选择希望人们如何登录SCP应用程序以及应如何调用(经过身份验证的)本地系统的服务。 您可能还需要弄清楚如何完全管理用户。 有些人可能更喜欢在云中拥有不同的用户/密码,但希望能够将这些用户映射到后端用户-这也是可能的。

一旦拥有所有特权,您可能需要订阅其他服务,安装其他服务或简单地配置已经拥有的服务。

顺便说一句:oAuth是委托身份验证的另一种方法。 因此,您可以将应用程序配置为登录过程基于社交网络登录(例如Twitter或Facebook)。 您可以在SAP Community Network上看到这样的设置。 一旦授权Likedin上的SCN代表您共享,您只需单击Linkedin按钮,然后单击Share-不执行登录。 这是oAuth,SCP对此提供了支持,因此您可以开发应用程序以使用这种委托。

致谢,
Ivan

一周热门 更多>