如何将云平台Neo环境的Subaccount注册到IAS服务里

IAS的全称是Identity Authentication Service.

登录SAP云平台的Neo环境，点击trust:

configuration type选择成custom，然后点击Generate Key Pair：

Principal propagation设置成Enabled：

Principal Propagation generally allows forwarding the identity of an on-demand user to a backend system

切换到Application identity provider，点击Add trusted Identity Provider添加一个新的Identity Provider：

现在需要获得SAP Cloud Platform Identity Authentication Service的SAML 2.0 metadata：

https://Jerry-subDomain.accounts.ondemand.com/saml2/metadata

也可以通过下面的url获得：

https://7d45984dtrial.accounts.ondemand.com/saml2/metadata

点击browse按钮，加载之前下载的metadata.xml:

https://Jerry-subDomain.authentication.eu10.hana.ondemand.com

详细方法在这篇SAP博客上能够找到：

https://blogs.sap.com/2019/01/17/setup-sso-between-cloud-for-customer-and-sap-analytic-cloud/

(1) 准备好custom SAML IDP
(2) Enable your Custom SAML IdP for your SAP Analytics Cloud (SAC) Tenant

具体4个步骤：

a. In IDPTENANT App: Download IDP metadata and create users
b. In SACDEMO App: Download SAC metadata and upload IDP metadata
c. In IDPTENANT App: Upload SAC metadata and set user mappings
d. In SACDEMO App: Test authentication against IDP into SAC

a. In IDPTENANT App: Edit profiles with C4C login names
b. In C4CDEMO App: Download C4C metadata and upload IDP metadata
c. In IDPTENANT App: Upload C4C metadata and set user mappings
d. In C4CDEMO App: Test authentication against IDP into C4C

登录IDPTENANT，菜单Applications & Resources->Tenant Settings, 点击SAML 2.0 Configuration，

下载metadata：

在IDPTENANT上创建用户，这个用户的email address必须和SAP Analytics Cloud上的email地址完全一致。

这样，Custom IDP和SAP Analytics Cloud设置成互相trust之后，下面再重复一遍步骤，完成Custom IDP和C4C的互相信任设置。

添加一个新的user：

保存之后，上面E-Mail字段里维护的邮箱，会收到一封邮件，提示用户激活在IDPTENANT上的用户：

回到SAC系统上，将系统的Authentication方式从某人的SAP Cloud Identity(即SAP ID Service)更改成SAML Single Sign-on：SSO

将SAC的SAML Service Provider metadata下载到本地：

然后将IDPTENANT下载的SAML metadata上传到SAC上：

选择将SAP Analytics Cloud tenant上user模型的哪一个字段映射到IDP Tenant上user模型的哪一个字段。我们当然是选择Email字段。

Choose a user attribute to map to your identity provider IDPTENANT. Select Email to map your SACDEMO and IDPTENANT users via their Email attribute. Verify your account with the identity provider and Save your settings

再回到IDP Tenant, 新建一个应用：

准备将SAC导出的metadata上传到IDP tenant：

Make sure you set the Name ID Attribute and Default Name ID format to E-Mail as displayed above. This will ensure the SACDEMO users and the IDPTENANT users are mapped via their assigned E-Mail attribute.

将Name ID Attribute和Default Name ID Format设置成Email：

以SAP Analytics Cloud Administrator的身份登录SAC，新建一个User：

这个user记录里维护的email地址会收到一封邮件，要求激活在SAP Analytics Cloud上的用户:

一旦点击log in按钮后，会自动重定向到IDP tenant的登录页面：

输入用户名和密码之后，登录上了SAP Analytics Cloud系统：

回到IDP tenant，找到刚才新建的user记录，维护Login Name：USSALESOPS

登录Cloud，在Administrator-Common tasks下面找到Configure singl sign-on：

点击My System->SP Metadata, 下载C4C service provider Metadata:

点击New Identity Provider：

将IDP tenant Metadata上传到C4C并激活。

找到C4C用户USSALESOPS, 将其邮件地址维护成和SAP Analytics Cloud新建用户一致的邮箱地址：

回到IDP tenant，新建一个应用，取名C4CDEMO:

进入IDP tenant SAML 2.0配置,将C4C SAML Metadata上传到C4CDEMO应用里：

这里比较重要：

Make sure you set the Name ID Attribute to Login Name and the Default Name ID format to Unspecified. This will ensure the C4CDEMO users and the IDPTENANT users are mapped via their assigned Login Name attribute.

在Name ID attribute字段里，设置为Login Name，这样可以让IDP tenant和C4C使用Login Name完成用户映射：

配置完成后，登录C4C，选择使用IDP tenant进行Authentication，输入USSALESOPS这个用户维护的邮件地址：

登录成功。