基于SAML2.0的SAP云产品Identity Authentication过程介绍

举报
汪子熙 发表于 2022/01/23 15:52:00 2022/01/23
【摘要】 SAP官网的架构图https://cloudplatform.sap.com/scenarios/usecases/authentication.html上图介绍了用户访问SAP云平台时经历的Authentication过程。本文使用的例子是用户访问SAP Marketing Cloud而非SAP云平台,但是原理一致。步骤1:用户向Service provider发起服务请求。步骤2:Ser...

SAP官网的架构图
https://cloudplatform.sap.com/scenarios/usecases/authentication.html

clipboard1

上图介绍了用户访问SAP云平台时经历的Authentication过程。
本文使用的例子是用户访问SAP Marketing Cloud而非SAP云平台,但是原理一致。

步骤1:用户向Service provider发起服务请求。
步骤2:Service provider把这个请求重定向到提供认证的租户上,在我这个例子是SAP ID service,即account.sap.com.

这里Marketing Cloud和SAP ID Service被配置为互相信任。

clipboard2

请求1响应头里的302重定向字段:https://let-me-in.hybris.com/saml/idp-redirection?httpd_location=https://hybris.com/sap/bc/ui5_ui5/ui2/ushell/shells/abap/FioriLaunchpad.html

被重定向到SAP云平台的account ID service(accounts.sap.com):
https://accounts.sap.com/saml2/idp/sso?sp=com:ydcHybris:spring:sp2&RelayState=https://hybris.com/sap/bc/ui5_ui5/ui2/ushell/shells/abap/FioriLaunchpad.html

步骤3:IDP给用户发送一个html page,要求用户提供用户名和密码。

clipboard3

如果查看这个html的源代码,能发现除了用户名和密码两个输入字段外,还包含了一些隐含字段,如下图高亮所示,这些字段是IDP返回给用户时在服务器端生成的,用于步骤5的IDP服务器端认证处理:

clipboard4

  • xsrfProtection
  • spId
  • spName
  • authenticity_token
  • idpSSOEndpoint

步骤4:用户输入用户名和密码后,点击login按钮,这些信息通过HTML form发送到了SAP ID service的服务器端:

clipboard5

sso请求的url:https://accounts.sap.com/saml2/idp/sso

第二个大写的SSO请求的url:https://let-me-in.demo.hybris.com/saml/SSO

步骤5:SAP ID service的服务器端完成验证,发送SAML assertions作为响应给用户。

clipboard6

这个SAML响应是XML格式的,结构如下:

clipboard7

步骤6也就是最后一步,拿到这个SAML assertion后,用户就能够访问service provider了。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。