Используя стандарт SAML 2.0, вы можете настроить единый вход (SSO) для ряда облачных приложений. После настройки SSO ваши пользователи смогут использовать свои учетные данные Google Workspace для входа в приложение с помощью SSO.
Используйте SAML для настройки единого входа (SSO) для аутентификации пользователей в SAP Cloud Platform.
Для выполнения этой задачи необходимо войти в систему как суперадминистратор .Шаг 1: Получите информацию о поставщике идентификации Google.
В консоли администратора Google перейдите в меню.
Безопасность Аутентификация Единый вход (SSO) с приложениями SAML .Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
- В разделе « Настройка единого входа (SSO) с использованием Google в качестве поставщика идентификации SAML (IdP)» :
- Рядом с полем «URL-адрес SSO» нажмите «Копировать».
и сохраните URL-адрес. - Рядом с полем «Идентификатор организации» нажмите «Копировать». и сохранить идентификатор сущности.
- Рядом с пунктом «Сертификат» нажмите «Скачать».
и сохраните сертификат. - Загрузите метаданные поставщика идентификационных данных.
Эти данные необходимы для завершения настройки аутентификации в SAP Cloud Platform Identity Authentication.
- Рядом с полем «URL-адрес SSO» нажмите «Копировать».
- Оставьте консоль администратора открытой. После выполнения шагов настройки в приложении вы продолжите настройку в консоли администратора.
Шаг 2: Настройте SAP Cloud Platform Identity Authentication в качестве поставщика услуг SAML 2.0.
- В новой вкладке браузера войдите в свою рабочую учетную запись SAP.
- Перейдите по адресу https://{your-domain}.accounts.ondemand.com/admin/ и замените {your-domain} на домен вашей системы аутентификации SAP Cloud Platform Identity Authentication.
- Click Identity Providers Поставщики услуг по формированию корпоративной идентификации .
- Нажмите +Плюс Настройка SAML 2.0 .
- Загрузите метаданные идентификационного поставщика и сертификат, которые вы скачали на шаге 1.
- Нажмите « Сохранить ».
- Перейдите в раздел «Приложения и ресурсы». Настройки арендатора Настройка SAML 2.0 .
- Загрузите метаданные клиента SAP.
- Войдите в SAP Cloud Platform, используя свою учетную запись.
- Перейдите в раздел «Безопасность» . Доверять .
- На вкладке «Местный поставщик услуг» переключитесь в режим редактирования.
- Измените тип конфигурации на «Пользовательский» .
- Нажмите « Сохранить ».
- Нажмите «Получить метаданные» , чтобы загрузить метаданные учетной записи аутентификации SAP Cloud Platform Identity.
- Перейдите на вкладку «Поставщик удостоверений приложения» . Добавить доверенного поставщика идентификационных данных .
- Загрузите метаданные клиента SAP, которые вы скачали на шаге 8.
- Перейдите в учетную запись клиента по адресу https://{your-domain}.accounts.ondemand.com/admin/#/applications/ и замените {your-domain} на домен вашей системы аутентификации SAP Cloud Platform Identity Authentication.
- Нажмите «Добавить» , чтобы зарегистрировать ваше приложение.
- Перейдите в раздел «Поставщик аутентификации» и выберите Google в качестве поставщика идентификации.
- Нажмите «Конфигурация SAML 2.0» и загрузите метаданные учетной записи аутентификации SAP Cloud Platform Identity, которые вы скачали на шаге 14.
- Развертывайте свои приложения в облаке SAP. Узнайте больше .
Шаг 3: Настройте Google в качестве поставщика идентификации SAML.
В консоли администратора Google перейдите в меню.
Приложения Веб- и мобильные приложения .Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
- Нажмите «Добавить приложение». Поиск приложений .
- В поле «Введите название приложения» введите SAP Cloud Platform Identity Authentication .
- В результатах поиска наведите указатель мыши на SAP Cloud Platform Identity Authentication и нажмите «Выбрать» .
- В окне сведений о поставщике идентификации Google нажмите «Продолжить» .
- На странице с подробной информацией об поставщике услуг :
- Для URL-адреса ACS и идентификатора сущности замените {your-domain} на домен вашей системы аутентификации SAP Cloud Platform Identity Authentication.
- Для параметра «Начальный URL» убедитесь, что флажок «Подписанный ответ» снят.
Если вы поставите галочку в этом поле, будет подписан весь ответ. Если галочка не будет поставлена, будет подписано только утверждение.
- Нажмите «Продолжить» .
- (Необязательно) Чтобы ввести названия групп, имеющих отношение к этому приложению:
- Для выбора членства в группе (необязательно) нажмите «Поиск группы» , введите одну или несколько букв названия группы и выберите название группы.
- При необходимости добавьте дополнительные группы (максимум 75 групп).
- В поле «Атрибут приложения» введите соответствующее имя атрибута группы поставщика услуг.
Независимо от количества введенных вами названий групп, ответ SAML будет включать только те группы, в которые пользователь входит (прямо или косвенно). Для получения дополнительной информации перейдите в раздел «О сопоставлении членства в группах» .
- Нажмите «Готово» .
Шаг 4: Включите приложение для пользователей.
В консоли администратора Google перейдите в меню.
Приложения Веб- и мобильные приложения .Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
- Нажмите «Аутентификация пользователей SAP Cloud Platform» .
- Нажмите «Доступ пользователя» .
Чтобы включить или выключить службу для всех сотрудников вашей организации, нажмите «Включить для всех» или «Выключить для всех» , а затем нажмите «Сохранить» .
- (Необязательно) Чтобы включить или выключить службу для организационного подразделения:
- В левой части экрана выберите организационное подразделение.
- Чтобы изменить статус службы, выберите «Вкл. » или «Выкл.» .
- Выберите один вариант:
- Если для параметра «Статус службы» установлено значение «Наследуется» , и вы хотите сохранить обновленную настройку, даже если изменится родительская настройка, нажмите «Переопределить» .
- Если для параметра «Статус службы» установлено значение «Переопределено» , нажмите «Наследовать» , чтобы вернуться к настройкам родительского параметра, или нажмите «Сохранить» , чтобы сохранить новые настройки, даже если настройки родительского параметра изменятся.
Узнайте больше об организационной структуре .
- (Необязательно) Чтобы включить службу для группы пользователей в рамках организационных подразделений или внутри них, выберите группу доступа. Подробности см. в разделе «Настройка доступа к службе с помощью групп доступа» .
- Убедитесь, что домены электронной почты учетных записей пользователей SAP Cloud Platform Identity Authentication совпадают с основным доменом управляемой учетной записи Google вашей организации.
Шаг 5: Убедитесь, что SSO работает.
SAP Cloud Platform Identity Authentication поддерживает как инициируемый поставщиком идентификации, так и инициируемый поставщиком услуг единый вход (SSO).
Проверка инициированного поставщиком идентификации единого входа (SSO)
В консоли администратора Google перейдите в меню.
Приложения Веб- и мобильные приложения .Для выполнения этой задачи необходимо войти в систему как суперадминистратор .
- Нажмите «Аутентификация пользователей SAP Cloud Platform» .
- В разделе «Аутентификация пользователей SAP Cloud Platform» нажмите «Проверить вход по протоколу SAML» .
Приложение должно открыться в отдельной вкладке. Если этого не происходит, устраните ошибку и попробуйте снова. Подробную информацию об устранении неполадок см. в разделе «Сообщения об ошибках приложений SAML» .
Проверьте инициированный поставщиком услуг единый вход (SSO).
- Закройте все окна браузера.
- Запустите приложение, используя URL-адрес, полученный после развертывания приложения в SAP Cloud.
Вас должны перенаправить на страницу входа в Google. - Выберите свою учетную запись и введите пароль.
После подтверждения ваших учетных данных приложение должно открыться.
Шаг 6: Настройка предоставления прав доступа пользователям.
Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.