使用SAML 2.0的SSO用户映射

2020-09-02 05:21发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


尊敬的专家,

希望大家都过得愉快。

我正计划使用SAML 2.0实施SSO,因为已配置IDP以及服务提供商,所以我们的MS Active目录已经集成到AS JAVA SSO系统中,我的域登录ID与IDP的登录ID相同(AS JAVA SSO 使用kerberos (例如 TEST1 )进行身份验证的系统),但我登录到S/4 HANA系统的登录名不同,例如 TEST2 ,以及在主用户中注册的电子邮件 记录与IDP上注册的电子邮件不同

请提供有关如何在用户TEST1和TEST2之间进行映射的建议

实际上,我尝试使用以下SAPNOTE,但它不起作用

1254821-AS ABAP中Web服务的SAML身份验证

谢谢

艾哈迈德

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


尊敬的专家,

希望大家都过得愉快。

我正计划使用SAML 2.0实施SSO,因为已配置IDP以及服务提供商,所以我们的MS Active目录已经集成到AS JAVA SSO系统中,我的域登录ID与IDP的登录ID相同(AS JAVA SSO 使用kerberos (例如 TEST1 )进行身份验证的系统),但我登录到S/4 HANA系统的登录名不同,例如 TEST2 ,以及在主用户中注册的电子邮件 记录与IDP上注册的电子邮件不同

请提供有关如何在用户TEST1和TEST2之间进行映射的建议

实际上,我尝试使用以下SAPNOTE,但它不起作用

1254821-AS ABAP中Web服务的SAML身份验证

谢谢

艾哈迈德

付费偷看设置
发送
3条回答
绿领巾童鞋
1楼 · 2020-09-02 05:52.采纳回答

亲爱的艾哈迈德

,因此您已使用SPNEGO根据用户的Active Directory身份验证安装了SAP IdP(AS Java)。 现在,您的IdP具有UME设置。 仅本地用户或LDAP或ABAP UME。 在您的服务提供商(S/4 HANA)之一上,您具有不同的用户ID。 现在,您将面临身份联合的挑战-一个正常的挑战;-)

在IdP和SP之间有一些联合身份的解决方案。 由于SAML用于跨公司工作,因此经常会出现您甚至对所连接的SP的用户ID或属性一无所知的情况。

通常,用户ID映射可以发生在IdP或SP处。

您可以:

  • 使用现有的通用,唯一 NAME以映射帐户:在您的情况下似乎不可能,通常是在这里使用电子邮件地址
  • 创建一个新的通用,唯一IDENTIFIER来链接帐户:您可以"创建"自定义UME属性 (或使用LDAP/ABAP属性,例如登录别名等),在其中您可以为SP维护不同的属性,并将其用于创建Name ID。 在这种情况下,您的IdP会将TEST2放入为SP(S/4 HANA)发出的断言中,而在您的SP上,您只需要将名称ID与登录ID映射即可。
  • 您还可以使用 通过使用持久性假名作为该SP的名称ID格式来进行交互式帐户链接:持久性ID是不透明的随机值,用于每个登录会话来链接IdP和SP帐户。 它们在不存在通用名称和/或关注真实用户名隐私的联合方案中很有用。 在这种情况下,如果用户下次访问SP,则将要求他联合其帐户。

除此之外,您还可以将TEST1或电子邮件地址放入断言中,并使用登录别名或USREXTID表将其映射到S/4 HANA系统上。

欢呼声
科特

Baoming ROSE
2楼-- · 2020-09-02 06:12

嗨艾哈迈德,

我稍微修改了您的问题,以解决标题中的印刷错误。 当您明确表示" SAML"时,您就写了" SMAL"。 修复此问题应有助于其对其他人的搜索。

问候,
Matt Fraser
SAP社区主持人

骆驼绵羊
3楼-- · 2020-09-02 05:57

Hello Colt

谢谢,很好的解释:),

我使用登录别名映射,效果很好。

我正在尝试在usrextid表中使用映射,但是它不起作用

感谢您帮助我提供一个条目作为在usrextid表中进行映射的示例

谢谢

艾哈迈德

一周热门 更多>