Technology Blogs by SAP
Learn how to extend and personalize SAP applications. Follow the SAP technology blog for insights into SAP BTP, ABAP, SAP Analytics Cloud, SAP HANA, and more.
cancel
Showing results for 
Search instead for 
Did you mean: 
qjkobe
Employee
Employee
0 Kudos
English Version: https://blogs.sap.com/2023/06/08/%e9%9b%86%e6%88%90%e4%ba%86ias%e7%9a%84successfactors%e4%b8%8e%e5%b...

本文会讲述如何使用在一个集成了IAS的SuccessFactors系统上,使用微软账号SSO登录。

众所周知,SF系统仅支持SAML协议且只能配置一个Idp,所以一般客户会将SF与IAS进行SAML2.0 SSO配置,再让IAS作为SAP所有环境的统一Auth平台。如果要用微软账号登录SF,这个配置也是在IAS和微软之间进行的,SF系统不需要再做额外配置了。

配置前置条件:

  1. 管理员权限的Azure Tenant

  2. 管理员权限的IAS


首先,我们要在微软Active Porttal里的App Registrations里创建App。在侧边栏Authentication这个选项中,点击Add a platform,随后配置如图所示的Redirect url。这个地址就是你IAS domain加上/oauth2/callback。配置完成后大致如下图所示。这个配置的作用是让微软在完成登录后,能够转跳到redirect url,为了安全起见,没有配置在这里的的url是无法成功转跳的。


Redirect url config in Azure


接下来我们添加一个Client Id和Secret,这个不难,如图所示,记得保存你的secret,因为只能看一次。


Secret in Azure


 

然后我们进入IAS,选择Identity Providers -> Coperate Identity Providers. 点击Create新建一个Idp,Identity Provider Type选择OpenId Connect Compliant。

点击OpenID Connect Configuration,在discovery url中填入https://login.microsoftonline.com/{TenantId}/v2.0,点击Load,Name和Endpoints就会被自动加载。

Client Id请填入微软的App Id,如图所示。Secret填入刚才你新建的Secret。


Client id of Azure App


 

Login Hint和Subject Name Identifier都选择Email,因为微软一般都是用UPN进行user propagation,而UPN就是Email。Single Sign-On部分打开Forward All SSO Requests to Corporate Idp. Identity Federation里面打开Use Identity Authentication user store(这个打不打开目前似乎并不影响)。Logout Redirect URL根据需求随意配置或者不配置。最终配置效果如图所示:


Identity Providers in IAS


 

这些配置完成后,进入Applications & Resources -> Applications,选择SF应用,集成了IAS的SF应该都有这个Application的,选择Conditional Authentication,设置刚刚配置的Azure Idp为Default Identity Provider。回到上级菜单,选中Trust All Corporate Identity Providers。配置如图所示:


Default Idp of SF



Applications in IAS


至此,所有配置完成,接下来登录SF都需要使用微软账号登录。过程是:
navigate to SF -> not login -> IAS -> Microsoft -> login -> IAS -> SF.