系统所有者和SAML2

2020-08-23 17:19发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


我们希望将SAC配置为开始使用我们自己的iDP(Azue AD FS)。 当前正在使用SAP Cloud身份。

当您配置SAC以将自己的iDP用于SAML2 SSO方案(在我的情况下为Azure AD FS)

现在通读该文档,它建议您在最后使用一个验证步骤,在该步骤中,您将使用电子邮件地址进行验证。

我已经是系统所有者,并且已经反映出我的电子邮件地址(SAP Cloud身份)与我的Azude AD FS上的电子邮件地址相同。

因此,如果我要在这里使用我的电子邮件,那么它将成功验证它。 然后,如果我选择转换。 那怎么办?

它将转换系统以对所有帐户使用我们自己的iDP吗? 我想是的。

它还会在用户帐户级别转换某些内容吗? 我用来验证的电子邮件地址是否在某处得到更新?

我想我想知道的是,一旦成功转换后,系统所有者在使用SAC时遇到问题,那么如何将SAC还原为使用SAP Cloud Identity而不是我们自己的iDP?

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


我们希望将SAC配置为开始使用我们自己的iDP(Azue AD FS)。 当前正在使用SAP Cloud身份。

当您配置SAC以将自己的iDP用于SAML2 SSO方案(在我的情况下为Azure AD FS)

现在通读该文档,它建议您在最后使用一个验证步骤,在该步骤中,您将使用电子邮件地址进行验证。

我已经是系统所有者,并且已经反映出我的电子邮件地址(SAP Cloud身份)与我的Azude AD FS上的电子邮件地址相同。

因此,如果我要在这里使用我的电子邮件,那么它将成功验证它。 然后,如果我选择转换。 那怎么办?

它将转换系统以对所有帐户使用我们自己的iDP吗? 我想是的。

它还会在用户帐户级别转换某些内容吗? 我用来验证的电子邮件地址是否在某处得到更新?

我想我想知道的是,一旦成功转换后,系统所有者在使用SAC时遇到问题,那么如何将SAC还原为使用SAP Cloud Identity而不是我们自己的iDP?

付费偷看设置
发送
6条回答
悠然的二货
1楼-- · 2020-08-23 17:56

您好Sumant,

当您切换到自定义IDP时,会发生一次转换。 从技术上来说,这种转换意味着我不知道。 我所知道的是,默认情况下,用户将通过电子邮件收到有关在SAC租户上创建帐户的通知。

您的SAC租户中的所有帐户都将转换为使用自定义的IdP。 您需要确保自定义IdP中存在每个用户的电子邮件地址。 否则,在您更新电子邮件地址为SAC之前,用户将无法登录。

在wave 2020.03中,将引入新功能以在发生故障的情况下回滚自定义IdP设置:https://www.sapanalytics.cloud/product_updates/release-2020-03/#_Self_service_IdP

在此之前,您可以在SAP支持门户网站上创建事件以进行还原。

如果您还有其他疑问,请告诉我!

您可能还需要查看我关于以下主题的博客: https://blogs.sap。 com/?p = 889908

亲切的问候,

Martijn van Foeken | Interdobs

我是小鹏鹏啊
2楼-- · 2020-08-23 18:11

非常感谢Martin,非常感谢您的投入。 让我再问一个问题,然后再进行配置。

  • 当前我是系统所有者,TEST租户上的 sumant.gupta @ .au ,并且我的电子邮件已正确维护 内部会有我的AD电子邮件地址。
  • 我在AZURE AD上的帐户收到的电子邮件与在SAC上的电子邮件相同。
  • 关于验证。 我应该使用哪个帐户来执行"验证"步骤。 我认为我正在使用电子邮件地址 sumant.gupta @ .au ,而不是在AZURE AD上使用其他帐户进行验证。 SAP文档似乎在谈论创建一个新的Azure AD帐户并使用该帐户的电子邮件来执行VERIFY(我假设这个新的AZURE AD帐户已经具有一个SAC帐户开头)。 尽管我可以只使用自己的帐户执行验证,但我是否需要这样做?
  • 根据下面的另一个博客,它建议 https://blogs.sap.com/2019/08/19/integrating-sap-analytics-cloud-with-azure-ad-saml/注意:System_Owner的电子邮件地址将被更改 到用于验证的电子邮件地址。 如果现有帐户已经有此电子邮件地址,则转换将失败。

我想我是否可以使用自己的电子邮件地址来验证,并且转换时没有关系,因为我在SAC上的电子邮件已经与AZUDRE iDP上的电子邮件同步了吗? 但是上面的注释表明转换会失败吗?

当我作为系统所有者执行此活动时,您能够验证适当的程序,并且如果系统所有者帐户由于转换而被锁定或无法使用,那么我们所能做的就是记录支持通知单 将身份验证重新设置为SAP Could身份。

非常感谢您

总结

暮风yp
3楼-- · 2020-08-23 18:20

非常感谢Martin,非常感谢您的投入。 让我再问一个问题,然后再进行配置。

  • 当前我是系统所有者,TEST租户上的 sumant.gupta @ .au ,并且我的电子邮件已正确维护 内部会有我的AD电子邮件地址。
  • 我在AZURE AD上的帐户收到的电子邮件与在SAC上的电子邮件相同。
  • 关于验证。 我应该使用哪个帐户来执行"验证"步骤。 我认为我正在使用电子邮件地址 sumant.gupta @ .au ,而不是在AZURE AD上使用其他帐户进行验证。 SAP文档似乎在谈论创建一个新的Azure AD帐户并使用该帐户的电子邮件来执行VERIFY(我假设这个新的AZURE AD帐户已经具有一个SAC帐户开头)。 尽管我可以只使用自己的帐户执行验证,但我是否需要这样做?
  • 根据下面的另一个博客,它建议 https://blogs.sap.com/2019/08/19/integrating-sap-analytics-cloud-with-azure-ad-saml/注意:System_Owner的电子邮件地址将被更改 到用于验证的电子邮件地址。 如果现有帐户已经具有此电子邮件地址,则转换将失败。

我想我是否可以使用自己的电子邮件地址来验证,并且转换时没有关系,因为我在SAC上的电子邮件已经与AZUDRE iDP上的同步了吗? 但是上面的注释表明转换会失败吗?

当我作为系统所有者执行此活动时,您能够验证适当的程序,并且如果系统所有者帐户由于转换而被锁定或无法使用,那么我们所能做的就是记录支持通知单 将身份验证重新设置为SAP Could身份。

非常感谢您

Sumant

追夢秋陽
4楼-- · 2020-08-23 18:02

嗨,马丁,

非常感谢您的确认。 真的很感激。 如果可以请您提供更多信息,请多做几件事。

1。 我们现在确实在SAC上有一些帐户,而这些帐户都不会在Azure AD上使用,例如:SAP顾问帐户。 那么转换后,这些帐户会怎样?

我想它们不会被触摸,因为它们不存在于新的iDP中(在这种情况下为Azure)

b。 我还可以想象,除非这些帐户存在于Azure上,否则它们将无法进行身份验证。

我假设是因为SAC上只有一种身份验证机制,而它是SAML,并且在任何时间点都只能使用一个iDP。 除非我们使用SAP Hana云身份服务,否则据我所知,woudl允许我们连接到我们自己的Azure以及其他iDP,例如SAP云身份提供商。

那是正确的吗?

致谢

Sumant

huskylover
5楼-- · 2020-08-23 18:13

嗨,Sumant

在验证步骤中,SAC将验证提交的电子邮件地址在您的自定义IdP中是否有效:在此示例中为Azure AD。 我已在自定义IdP和SAC中将多个租户配置为具有相同电子邮件地址的系统所有者。 我从来没有任何问题。

亲切的问候,

Martijn van Foeken | Interdobs

Haoba3210
6楼-- · 2020-08-23 18:07

您好,Sumant

当您进行转换时,SAC和/或Azure中的帐户将不会发生任何事情。 我已经通过在Azure中创建几个功能用户帐户解决了这一问题。 需要SAP支持时,可以通过安全区域共享这些用户和密码。 支持工程师可以通过隐身浏览器会话登录。

目前仅支持一个IdP。

此致,

Martijn van Foeken | Interdobs

一周热门 更多>