启用自定义 SAML 身份提供者

安全断言标记语言 2.0 (SAML 2.0) 是在安全域之间交换验证和权限数据的 Internet 标准。

SAML 2.0 是一种基于 XML 的协议，使用包含断言的安全令牌在身份提供者和 Web 服务提供者之间传递有关主体（通常是最终用户）的信息。SAML 2.0 支持基于 Web 的身份验证和授权场景，包括单点登录 (SSO)。

SAML 2.0 架构至少包含两个组件：

1. SAML 2.0 身份提供者（IdP）
2. SAML 2.0 Internet 服务提供商 (ISP)

SAML 2.0 IdP 是验证最终用户并以信任合作伙伴（即 SAML 2.0 ISP）的可信方式声明其身份信息的权威站点。它负责管理用户身份生命周期。

ISP 托管 Web 应用程序，并与 IdP 具有信任关系，以接受和信任由 IdP 代表用户提供的断言信息。ISP 将身份生命周期和访问管理加载委派给 IdP。

SAML 2.0 使用声明属性在 IdP 和 ISP 之间映射身份。可以是用户标识、电子邮件地址或任何自定义字段。但请记住，映射属性区分大小写！

SAML 2.0 流程流严格取决于时间。SAML 2.0 流程流必须在短时间内执行，由可选不之前和不在或之后属性指定。您需要确保身份提供者时钟和服务提供者时钟同步。

在此学习之旅中，我们使用 SAML 2.0 身份验证为 SAP Analytics Cloud 设置自定义 SAML IdP。

以下是典型的 SAML 工作流：

1. 用户尝试访问受 SAML 2.0 保护的资源。
2. ISP 将用户重定向到 SAML IdP 以进行身份验证。
3. IdP 向用户查询验证凭据。
4. 用户提供请求的凭据。
5. IdP 通过验证响应将用户返回到 ISP。
6. ISP 向用户显示请求的资源。

还可以使用 SAP Analytics Cloud 设置 IdP 发起的单点登录。缺省情况下，未启用身份提供者发起的 SSO。

要在 SAP 数据中心中运行的 租户上启用 IdP 发起的 SSO，必须请求 IdP 管理员向身份提供者添加新的断言使用者服务端点。

执行此操作的可能原因包括：

1. 减少架构中的往返次数。从 ISP 开始，始终将用户代理重定向到 IdP。从身份提供者开始，至少保存一个双程通讯。
2. 使您的 IdP 成为单一访问点。
3. 也许您的门户是您的 ISP 的主机。由于所有用户无论如何都从这里开始，所以在将其发送到 ISP 之前，您不必将它们发送到 ISP，然后再返回到门户。

默认情况下，SAP Analytics Cloud 使用 SAP Cloud Identity 身份验证。还支持使用身份提供者 (IdP) 的 SAML 单点登录 (SSO)。虽然可以是企业预置身份提供者或基于云的身份提供者，但必须支持 SAML 2.0 协议。

SAP Analytics Cloud 系统所有者可以将其 租户配置为使用自定义 SAML IdP 进行身份验证。在"系统"页面中，他们转到"安全"选项卡，在其中选择"编辑"图标，如下例所示，并执行必要的配置。

你必须与 IdP 管理员合作，才能为 SAP Analytics Cloud 启用自定义 SAML IdP。您的身份提供者管理员需要在身份提供者中执行许多所需的配置步骤。

在模拟公司，SAP NetWeaver IdP（SAP 的企业预置 SAML 2.0 提供者）将用作 SAP Analytics Cloud 的自定义 SAML IdP。

本视频将向您展示 SAP Analytics Cloud 系统所有者和 SAP NetWeaver IdP 的 IdP 管理员配置的内容，让你从开始到完成如何在 SAP Analytics Cloud 中启用 SAML SSO。

注意：在本视频中，使用旧的主屏幕。

下载 SAP Analytics Cloud 系统元数据文件。SAP Analytics Cloud 系统元数据文件是一个 XML 文件，其中同时包含 租户的元数据信息和 SAP Analytics Cloud 系统证书，你需要将其导入到自定义 SAML IdP 中。向 IdP 管理员提供元数据文件以进行流程中的下一步。

上载到 SAML IdP 后，将在自定义 SAML IdP 和 SAP Analytics Cloud 系统之间创建信任关系。

IdP 管理员在自定义 SAML IdP 中映射你的 SAML IdP 用户特性。它们为你提供来自你上载到 SAP Analytics Cloud 的自定义 SAML IdP 的元数据文件。

对于在非 SAP 数据中心上运行的 SAP Analytics Cloud 系统：

如果 SAP Analytics Cloud 在非 SAP 数据中心上运行，则必须配置 SAML IdP 以将用户属性映射到以下区分大小写且列入允许清单的断言属性。

我们建议你仅映射将在 SAP Analytics Cloud 中使用的用户特性和角色。映射其他用户属性可能会导致大量 SAML 断言，这可能会导致登录错误。如果 SAP Analytics Cloud 在非 SAP 数据中心上运行，则必须配置 SAML IdP 以将用户属性映射到以下区分大小写的白名单断言属性：

选择"用户特性"。该特性用于将现有 SAML 用户列表中的用户映射到 SAP Analytics Cloud。选择的用户属性必须与自定义 SAML 断言中使用的 NameID 匹配：

<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"><Your Unique Identifier></NameID>

NameID 区分大小写，必须与自定义 SAML IdP 中的值完全匹配。例如，如果你的 SAML IdP 返回的 NameId 是 user@company.com ，而 SAP Analytics Cloud 中使用的电子邮件是 User@company.com ，则映射将失败。

在下拉菜单中，有三个选项：

1. 如果 NameID 映射到 SAP Analytics Cloud"用户 ID"，请选择"用户 ID"。
2. 如果 NameID 映射到 SAP Analytics Cloud 电子邮件地址，请选择"电子邮件"。
3. 如果 NameID 映射到自定义值，请选择"自定义 SAML 用户映射"。

   如果电子邮件地址包含混合大小写，例如 User@COMPANY.com，请考虑选择自定义 SAML 用户映射。

   如果选择此选项，则"用户"列表中将会有一个名为"SAML 用户映射"的新列。切换到 SAML IdP 后，必须为所有现有用户手动更新此列。

在以下示例中，你可以看到 ADMIN 用户被选作"登录凭据（用户 ID）"，以使用 SAML 测试用户特性映射。使用此用户，可以通过打开私有浏览会话并将"验证你的账户"对话框中显示的 URL 粘贴到浏览器地址栏中，确认映射是否正常工作。将显示 SAP Analytics Cloud 登录页面，你可以在其中输入在"登录凭据（用户 ID）"字段中选择的用户用户凭据，以通过自定义 SAML IdP 进行身份验证。

必须使用私人会话登录 URL，例如 Chrome 中的隐身模式。这可确保当您粘贴链接时，系统将提示您登录，并且不会重用现有浏览器会话。

使用私有浏览窗口成功登录后，在"验证你的账户"对话框中选择"检查验证"。如果验证成功，则"登录凭据"框周围将显示绿色边框。

在 SAP Analytics Cloud 中设置 SAML SSO 时，还可以添加可选配置。

1. 配置身份提供者管理工具。

   该工具允许系统所有者管理使用 SAP Analytics Cloud 配置的自定义 SAML 身份提供者。他们可以选择为当前自定义 SAML 身份提供者上载新元数据，也可以恢复使用默认身份提供者。

2. 添加用户配置文件 URL。URL 应链接到 SAML IdP 的配置文件管理页面。
3. 添加密码管理 URL。URL 应链接到 SAML IdP 的密码管理页面。
4. 配置注销。选择以下注销选项之一：
   • 应用程序注销：从 SAP Analytics Cloud 注销，并保持登录到你的 IdP 系统。
   • IdP 注销：从 SAML IdP 注销。

   • 默认情况下，当用户从 SAP Analytics Cloud 注销时，他们会自动从其 SAML IdP 注销。

如果元数据文件包含自定义 SAML IdP 中的新证书，则可以在"安全"页面中或使用"身份提供者管理"工具更新"SAML IdP 签名证书"。

请记住，要继续使用 SAML SSO，必须在证书过期之前续订 SAP Analytics Cloud SAML 签名证书。在证书过期日期之前，将向管理员发送一封电子邮件，其中包含有关如何续订 SAML X509 证书的详细信息。如果距离证书过期不到 30 天，则在你登录 SAP Analytics Cloud 时也会显示警告消息。

有关为 SAP Analytics Cloud 启用和维护自定义 SAML IdP 的更多信息，请访问：启用自定义 SAML 身份提供者 | SAP Help Portal