点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,专家们,我在尝试识别SCP架构中的内容时遇到了一些问题。
任何人都可以向我解释一下SCP(信任,授权和oAuth)的安全性标签下的所有分段吗? 我在这件事上迷失了。 我的实际问题是,我们需要查看SCP中的用户是否存在于后端系统中,而不是将其克隆到SCP中。 我没有任何手册或教程来介绍此概念,也没有如何配置de SAP Cloud Platform IdP的信息,更重要的是解释它们在做什么。 所有手册和博客都采用了许多我无法理解的概念。
先感谢
安德烈斯,你好
在SCP中,所有身份验证都委派给所谓的IdP(身份提供者)。 该系统将代表SCP执行身份验证,并将返回包含有关用户详细信息的SAML声明票证。 一旦通过身份验证,SCP将检查该用户是否被授权使用正在调用的资源。
这就是SCP具有成员概念的原因。 成员不是用户对象。 除了用户ID外,它们不包含密码或任何其他信息。
假设您是SCP帐户的成员,但您在座舱上没有任何管理权限。 您也许可以加载座舱的初始页面,但无权访问其任何资源。
SCP附带将SAP的身份服务配置为用户持久性存储。 因此,当您尝试登录时,SCP将加载SAP ID Service进行身份验证。 您可以通过驾驶舱上的"信任"菜单更改该初始配置,以便可以针对其他IdP进行身份验证。 假设您拥有公司的LDAP服务,并且已经为其配置了IdP服务,例如Shibboleth或ADFS。 在这种情况下,您只需在SCP的驾驶舱内注册公司IDP,就可以使用公司ID和密码进行登录。
SAP还为您提供了自己的IaP作为SaaS以供企业使用,称为 SAP Cloud 身份认证服务能够通过SAP Cloud Connector将SCP连接到您的本地LDAP服务器-以及其他有用的功能,例如为不想将企业用户与云用户混在一起的公司管理用户身份。
此设置的另一方面是,您可以将用户身份传递给后端-称为主体传播。 这样,在SCP上运行的应用程序可能会通过SAP Cloud Connector在本地SAP-Gateway系统中使用REST服务。 如果配置为"主体传播",则此消耗将确保将来自SCP的用户ID发送为SAP Gateway系统的身份验证手段。
所以回到您最初的问题描述:" 我的实际问题是我们需要查看SCP中的用户是否存在于后端系统中"。 考虑到以上所有情况,如果启用"主体传播",则不必担心用户是否在驾驶舱中注册。 我并不是说这是一个非常简单的配置-正如您所说的,首先需要理解许多安全概念。
因此,您可能必须首先选择希望人们如何登录SCP应用程序以及应如何调用(经过身份验证的)本地系统的服务。 您可能还需要弄清楚如何完全管理用户。 有些人可能更喜欢在云中拥有不同的用户/密码,但希望能够将这些用户映射到后端用户-这也是可能的。
一旦拥有所有特权,您可能需要订阅其他服务,安装其他服务或简单地配置已经拥有的服务。
顺便说一句:oAuth是委托身份验证的另一种方法。 因此,您可以将应用程序配置为登录过程基于社交网络登录(例如Twitter或Facebook)。 您可以在SAP Community Network上看到这样的设置。 一旦授权Likedin上的SCN代表您共享,您只需单击Linkedin按钮,然后单击Share-不执行登录。 这是oAuth,SCP对此提供了支持,因此您可以开发应用程序以使用这种委托。
致谢,
Ivan
非常感谢您的解释
我认为身份验证和授权是理解和认证的基本概念之一 正确实施我建议您聘请经验丰富的顾问,以帮助您和您的团队理解它。 关于如何确保后端中也存在所有SCP用户的问题,您可以使用 SAP Cloud Platform身份配置服务方案。
谢谢格雷戈尔,我想您的答案是 很有用。
一周热门 更多>