亲爱的马塞尔，

我想我知道您要启动的情况。 我认为您想将Azure AD用作ABAP或Java系统的数据源（从描述中对我而言这并不明显。由于Azure AD是某种Microsoft AD，并且它可能使用LDAP协议。 AS Java和AS ABAP（带有LDAP同步的ABAP后端）以特殊方式支持数据源。以下SAP帮助文档中介绍了这两种方案：

https://help.sap.com/ saphelp_nw73/helpdata/zh/48/d1d13f7fb44c21e10000000a1550b0/content.htm？no_cache = true

此外，该注释还描述了所有认证的目录服务：983808-认证的LDAP服务器

请参阅MS Directory Services的"本文档引用"部分：

1016176-Microsoft ADAM的UME配置文件
1168727-LDAP认证的ABAP：Windows Server 2003和2008
1480838-LDAP认证的ABAP：Windows Server 2008 R2
704895-Windows的LDAP认证 2003 ADS和AD/AM

我认为Azure广告始终使用最新的MS AD，因为我不确定它是否在Win Server 2008上，因此我认为它不受支持。 我进行了研究，但找不到其他任何受支持的目录服务，例如 适用于Win Server 2012。

有关更多信息，请参见其他问题的注释：

2003135-常见问题解答：LDAP认证BC-LDAP-USR

通过这种方式，您可以使用具有多种方案的"替代方法" SSO。

最好的问候，
BarnabásPaksi

只是因为我很好奇-您能告诉哪个第三方工具可以在AD和SAP之间同步密码吗？

我认为这是一个糟糕的主意。 这就是为什么您拥有诸如SSO之类的产品的原因：）

坦白地说，我不明白为什么您不想使用适当的SSO解决方案（例如Kerberos：用于HTTP客户端的SPNego和用于SAP GUI的SNC，以及 RFC客户端）。 尝试使密码保持同步很可能会失败-尤其是针对不同的密码策略。

我看到了不希望使用SSO的情况（甚至可能被策略禁止）， 在这种情况下，可能需要启用LDAP查找以进行身份​​验证； 也就是说，用户仍然必须输入用户名和密码才能登录到SAP，但是检查是针对LDAP（或Active Directory）进行的，以查看是否存在匹配项，而不是ABAP UME。 这比在两个系统之间实际同步密码要好（并且可能会更容易）。

非常棒的注释！

我同意用于身份验证的LDAP查找是一个合理的选择。 我认为确实（还是？）甚至是SAP IM/SSO的一部分。 我问起了第三方工具，因为我从未遇到过一种可以从AD检索密码的解决方案。 我仍然认为同步密码是一个糟糕的主意:)

作者严格地说，目标是在两个地方都使用相同的密码...

您好，Barnabás，

感谢您的回答。 实际上，目标不是使用LDAP作为（ABAP）UME源，而是目标是使密码同步。 对我而言，这没有多大意义，但该客户已使用第三者工具通过本地AD实现了他们的业务环境，现在他们正在向AzureAD迈进。 当前两者之间存在同步，但最终仅保留AzureAD。 我很好奇是否有人已经在使用它。 第三方工具尚不兼容AzureAD。

Rgds

Marcel

嗨沃尔夫冈，

是的，那当然是最好的路线。 这来自一个特定的客户请求，我也不太了解。 但是我很惊讶地发现他们目前能够使用本地AD做到这一点，所以我很好奇AzureAD是否也可以做到这一点。

感谢
马塞尔