אפליקציית הענן SAP Cloud Platform Identity Authentication

אתם יכולים להגדיר כניסה יחידה (SSO) לכמה אפליקציות ענן בעזרת תקן SAML 2.0. אחרי שתגדירו SSO, המשתמשים שלכם יוכלו להשתמש בפרטי הכניסה שלהם ל-Google Workspace כדי להיכנס לאפליקציה באמצעות SSO.

איך משתמשים ב-SAML כדי להגדיר SSO ל-SAP Cloud Platform Identity Authentication

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

שלב 1: קבלת פרטים על ספק הזהויות של Google

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזכניסה יחידה (SSO) לאפליקציות SAML.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע הגדרת כניסה יחידה (SSO) כאשר Google משמשת כספק הזהויות (IdP) בשיטת SAML:
    1. לצד ה-URL של ה-SSO, לוחצים על סמל ההעתקה ושומרים את כתובת ה-URL.
    2. לצד מזהה הישות, לוחצים על סמל ההעתקה ושומרים את מזהה הישות.
    3. לצד אישור, לוחצים על סמל ההורדה ושומרים את האישור.
    4. מורידים את המטא-נתונים של ספק הזהויות.
      תצטרכו את הפרטים האלה כדי לסיים את ההגדרה ב-SAP Cloud Platform Identity Authentication.
  3. משאירים את מסוף Admin פתוח. אחרי שתבצעו את שלבי ההגדרה באפליקציה, תמשיכו את ההגדרה במסוף Admin.

שלב 2: הגדרה של SAP Cloud Platform Identity Authentication כספק שירות SAML 2.0

  1. בכרטיסייה חדשה בדפדפן, נכנסים לחשבון הדייר של SAP בסביבת הייצור.
  2. עוברים לכתובת https://{your-domain}.accounts.ondemand.com/admin/ ומחליפים את {your-domain} בדומיין של SAP Cloud Platform Identity Authentication.
  3. לוחצים על ספקי זהויותואזספקי זהויות ארגוניים.
  4. לוחצים על +ואזSAML 2.0 Configuration (הגדרה של SAML 2.0).
  5. מעלים את המטא-נתונים והאישור של ספק הזהויות שהורדתם בשלב 1.
  6. לוחצים על שמירה.
  7. עוברים אל Applications & ResourcesואזTenant SettingsואזSAML 2.0 Configuration.
  8. מורידים את המטא-נתונים של הדייר ב-SAP.
  9. נכנסים ל-SAP Cloud Platform באמצעות החשבון.
  10. עוברים אל אבטחהואזמהימנות.
  11. בכרטיסייה ספק שירות מקומי, עוברים למצב עריכה.
  12. משנים את סוג ההגדרה למותאם אישית.
  13. לוחצים על שמירה.
  14. לוחצים על Get Metadata (קבלת מטא-נתונים) כדי להוריד את המטא-נתונים של חשבון SAP Cloud Platform Identity Authentication.
  15. לוחצים על הכרטיסייה ספק הזהויות של האפליקציהואזהוספת ספק זהויות מהימן.
  16. מעלים את המטא-נתונים של דייר SAP שהורדתם בשלב 8.
  17. עוברים לחשבון הדייר https://{your-domain}.accounts.ondemand.com/admin/#/applications/ ומחליפים את {your-domain} בדומיין של SAP Cloud Platform Identity Authentication.
  18. לוחצים על Add (הוספה) כדי לרשום את האפליקציה.
  19. עוברים אל Authenticating Identity Provider (אימות ספק הזהויות) ובוחרים ב-Google כספק הזהויות.
  20. לוחצים על SAML 2.0 Configuration (הגדרת SAML 2.0) ומעלים את המטא-נתונים של חשבון SAP Cloud Platform Identity Authentication שהורדתם בשלב 14.
  21. פריסת האפליקציות ב-SAP Cloud. מידע נוסף

שלב 3: הגדרת Google כספק הזהויות ב-SAML

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציותואזאפליקציות לאינטרנט ולניידים.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. לוחצים על הוספת אפליקציהואזחיפוש אפליקציות.
  3. בקטע איך קוראים לאפליקציה? מזינים SAP Cloud Platform Identity Authentication.
  4. בתוצאות החיפוש, מצביעים על SAP Cloud Platform Identity Authentication ולוחצים על בחירה.
  5. בחלון פרטי ספק זהויות של Google, לוחצים על המשך.
  6. בדף פרטי ספק השירות:
    1. בשדות כתובת אתר של ACS ומזהה ישות, מחליפים את {your-domain} בדומיין של SAP Cloud Platform Identity Authentication.
    2. בשדה כתובת ה-URL להתחלה, מוודאים שתיבת הסימון 'תגובה חתומה' לא מסומנת.
      אם מסמנים את התיבה הזו, כל התגובה חתומה. אם התיבה לא מסומנת, רק טענת הנכוֹנוּת (assertion) חתומה.
  7. לוחצים על המשך.
  8. (אופציונלי) אפשר להזין שמות של קבוצות שרלוונטיות לאפליקציה הזאת:
    1. בקטע חברות בקבוצה (אופציונלי), לוחצים על חיפוש של קבוצה, מזינים אות אחת או יותר מהשם של הקבוצה ובוחרים את הקבוצה הרצויה.
    2. מוסיפים עוד קבוצות לפי הצורך (אפשר להוסיף עד 75 קבוצות).
    3. בשדה מאפיין אפליקציה, מזינים את שם המאפיין של הקבוצות הרלוונטיות של ספק השירות.

    תגובת SAML תכלול רק קבוצות שמשתמש חבר בהן (באופן ישיר או עקיף), בלי קשר לכמות של שמות הקבוצות שמזינים. מידע נוסף זמין במאמר מידע על מיפוי של חברוּת בקבוצות.

  9. לוחצים על סיום.

שלב 4: הפעלת האפליקציה למשתמשים

לפני שמתחילים: כדי להפעיל או להשבית שירות למשתמשים מסוימים, צריך לשייך את החשבונות שלהם ליחידה ארגונית (אם רוצים לשלוט בגישה לפי מחלקה) או להוסיף אותם לקבוצת גישה (אם רוצים לאפשר גישה למשתמשים ממחלקות שונות או למשתמשים בתוך מחלקה).

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציותואזאפליקציות לאינטרנט ולניידים.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. לוחצים על SAP Cloud Platform Identity Authentication.
  3. לוחצים על גישת משתמשים.

  4. כדי להפעיל או להשבית שירות לכולם בארגון, לוחצים על מופעל לכולם או על מושבת לכולם ואז לוחצים על שמירה.

  5. (אופציונלי) כדי להפעיל או להשבית שירות ביחידה ארגונית:
    1. בצד ימין, בוחרים את היחידה הארגונית.
    2. כדי לשנות את סטטוס השירות, בוחרים באפשרות מופעל או מושבת.
    3. בוחרים אפשרות:
      • אם ההגדרה של סטטוס השירות היא הועבר בירושה ואתם רוצים שההגדרה שעדכנתם תישמר גם אם הגדרת ההורה תשתנה, לוחצים על שינוי.
      • אם ההגדרה של סטטוס השירות היא בוטל ואתם רוצים לחזור להגדרה שיש להורה, לוחצים על העברה בירושה. לחלופין, אם אתם רוצים שההגדרה החדשה תישמר גם אם ההגדרה של ההורה תשתנה, לוחצים על שמירה.
        מידע נוסף על מבנה ארגוני
  6. (אופציונלי) כדי להפעיל שירות לקבוצה של משתמשים בתוך יחידה ארגונית או בכמה יחידות ארגוניות שונות, צריך לבחור בקבוצת גישה. מידע נוסף מופיע במאמר בנושא הגדרה של קבוצות גישה כדי לתת הרשאות לשירותים שונים בהתאם לצרכים.
  7. מוודאים שהדומיינים באימיילים של חשבונות המשתמשים ב-SAP Cloud Platform Identity Authentication תואמים לדומיין הראשי של חשבון Google המנוהל של הארגון.

שלב 5: בדיקה שה-SSO עובד

ב-SAP Cloud Platform Identity Authentication יש תמיכה ב-SSO ביוזמת ספק הזהויות וגם ב-SSO ביוזמת ספק השירות.

אימות SSO ביוזמת ספק הזהויות

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציותואזאפליקציות לאינטרנט ולניידים.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. לוחצים על SAP Cloud Platform Identity Authentication.
  3. בקטע SAP Cloud Platform Identity Authentication, לוחצים על Test SAML Login.

    האפליקציה אמורה להיפתח בכרטיסייה נפרדת. אם לא, פותרים את הבעיה שמופיעה בהודעת השגיאה ומנסים שוב. פרטים על פתרון בעיות זמינים במאמר בנושא הודעות שגיאה באפליקציות SAML.

אימות SSO ביוזמת ספק השירות

  1. סוגרים את כל חלונות הדפדפן.
  2. מפעילים את האפליקציה באמצעות כתובת ה-URL שקיבלתם אחרי פריסת האפליקציה ב-SAP Cloud.
    המערכת אמורה להפנות אתכם לדף הכניסה באמצעות חשבון Google.
  3. בוחרים את החשבון ומזינים את הסיסמה.

אחרי שמאמתים את פרטי הכניסה, האפליקציה אמורה להיפתח.

שלב 6: הגדרה של הקצאת הרשאות למשתמשים

סופר-אדמינים יכולים להקצות הרשאות למשתמשים באפליקציה באופן אוטומטי. למידע נוסף אפשר לעבור למאמר בנושא הגדרת הקצאת הרשאות אוטומטית למשתמשים ב-SAP Cloud Platform Identity Authentication.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.