点击此处--->
群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
我们正在使用SAP身份验证作为SCP SubAccount平台身份提供者。 然后将其配置为对我们的Active Directory用户存储使用ADFS。 所有这些都很好。 我们正在使用NEO SCP平台。
我的问题是...由于从 accounts.sap切换了SCP SubAccounts上的平台身份提供商。 com 使用ADFS进行SAP身份验证我无法再使用NEO控制台客户端对SubAccounts进行身份验证。 它既不会接受我的SAP ID,也不会接受我的SAP ID(如果平台IdP为 accounts.sap.com a>),也没有我的AD ID(我猜它不能通过命令行执行ADFS,因为那实际上是不可能的。)
有人知道是否有解决方法吗? 即,尽管我们的平台IdP不是 accounts.sap.com ? 还是其他解决方法?
我确实需要继续使用Console Client,但我们还必须将公司的ADFS保留为平台IdP。
谢谢
布伦丹
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 一纸水与青 的问题《将SCP NEO控制台客户端与SAP Identity Authentication/ADFS Platform IdP一起使用?》','https://www.easysap.com/q-65363.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
嗨,菲尔,
非常感谢您的评论,我们发现NEO Console Client不能完全按照您的描述工作,但我确实找到了答案。 我认为您的情况可能是由于巧合而产生的,例如 如果您具有与SubAcocunt管理员相同的用户,并且还使用相同的电子邮件地址/密码(通常不属于我们的情况)将其加载到SAP Identity Authentication租户。
我发现,一旦我们将SAP身份验证(链接到ADFS/企业AD)作为SubAccount的平台IDP打开,那么NEO控制台客户端就无法再从SubAccount引用管理员用户。 如果我将" accounts.sap.com "作为平台IDP,那么我们可以参考 SubAccount中具有SAP S-user凭据的Admin用户。 我们需要使用带有ADFS/企业AD的SAP身份验证作为平台IDP,因此我必须保持打开状态。 我还尝试过使用SAP Identity Authentication中的一个用户,该用户也已在SubAccount中设置为管理员-但我们始终使用SAP Identity Authentication中该用户的"登录ID"字段作为SubAccount级别的用户名-这实际上是问题所在 。 我将在下面解释更多。
我找到了一个SAP注释,该注释指出了可以解决我的问题的更详细的信息。 关键是您必须使用SAP Identity Authentication中的内部P用户ID或与该用户关联的电子邮件地址。 我们通常以用户身份使用"登录ID"字段。 一旦我切换为使用" P"用户,它便开始工作。 重要的是要确保SubAccount管理员用户也存在于SAP身份验证中,否则当平台IDP为SAP身份验证时它将不起作用。 同样要注意的是,它不能仅是仅位于后端公司AD中的用户,而必须是SAP Identity Authentication中的本地用户。
有问题的SAP注释为2501986 https://launchpad。 support.sap.com/#/notes/0002501986
SAP注释中的关键信息是:
"如果使用的是SAP Identity Authentication Service(IAS)租户作为平台身份提供者,则只能通过输入IAS租户的ID(PXXXXXX)或电子邮件向IAS租户中的用户进行身份验证。请选中SAP KBA 2752896以 确定正在使用的平台身份提供商。"
Lutz Rottmann ,
希望以上内容对您有用。 重点:
假设SubAccount平台IdP是SAP Cloud Identity身份验证租户:
1。 将您的管理员用户添加到SAP Identity Authentication并在此处设置其密码。 建议使用它一次登录到SAP Identity Authentication中以更改初始密码。
2。 将该用户作为管理员添加到具有上述身份验证租户作为IdP的SubAccount。 将用户添加到SubAccount时,请添加其" P" ID,当然,在将用户添加到SubAccount时,请确保"用户群"是您的身份验证租户。
3。 使用NEO Console客户端使用SAP Identity Authentication中的" P" ID(或电子邮件地址)和密码登录到SubAccount,它应该可以正常工作。
此致
布伦丹
布伦丹大家好,我们面临着同样的问题。 您有可以分享的发现吗?
谢谢! Lutz
嗨, Lutz Rottmann 和Brendan Farthing (希望这还不算太晚)
ADFS设置不会影响登录SAP Cloud Platform NEO控制台。 在Neo控制台中执行命令时,您无需使用ADFS登录名-您将电子邮件地址用作S(或P)号码,并且该子帐户必须是管理员。
例如,即使子帐户使用了iDP,我昨天也运行了此命令来创建SSL主机。
neo create-ssl-host --account子帐户--user phil@bournedigital.com.au --host ap1.hana.ondemand.com --name sslhostname
我在上述命令中包含的用户是附带在上述子帐户中以管理员身份链接的S号的电子邮件。 输入此密码时,将要求输入密码。 该密码是您登录SAP Cloud Platform时使用的初始密码,对于我来说,我在运行 ap1.hana时输入该密码。 .ondemand.com 。
因此,总而言之,Neo控制台根本不使用ADFS或SCI登录。
希望这会有所帮助! 如果是这样,请标记为最佳答案!
亲切问候
Phil Cooley
感谢 Brendan Farthing -是的,现在明白了。 就我而言,我没有将IdP用作子帐户的平台IdP,而仅将IdP用于子帐户(门户/OData prov等)中的服务,这就是为什么我可以使用普通的S用户电子邮件和密码登录的原因。 对于您的情况,是的-您绝对需要通过SCIAS用户名和密码登录,并且还需要向该用户提供管理权限。 通过ADFS进行身份验证时,您可能还需要创建一个与UI主题设计器安全性要求类似的AccountDeveloper角色。
听起来像你一样,很好!
感谢与问候
菲尔
嗨布伦丹,
您如何尝试使用控制台客户端登录? 错误消息是什么? 也许您可以发布该错误的屏幕截图。
当您将身份验证配置为其他IdP时,可能需要向AD用户添加其他角色,以便能够访问所有驾驶舱功能以及控制台客户端。 因此,您可能需要通过"成员"将角色"管理员"添加到您的AD电子邮件帐户中。 完成此操作后,您应该使用ADFS中的ID(应该是电子邮件地址)通过控制台客户端登录。
如果这根本不起作用并且没有后备身份验证,那么我建议您在SAP支持系统上打开一个事件。
致谢,
Ivan
感谢Phil的意见!
使用平台IDP的限制似乎很令人困惑,与直截了当的相反 。 我了解到我们需要进行自己的实验和风险评估。
干杯,卢茨
一周热门 更多>