SAP官網的架構圖
https://cloudplatform.sap.com/scenarios/usecases/authentication.html

上圖介紹了用戶訪問SAP云平臺時經歷的Authentication過程。
本文使用的例子是用戶訪問SAP Marketing Cloud而非SAP云平臺，但是原理一致。

步驟1：用戶向Service provider發起服務請求。
步驟2：Service provider把這個請求重定向到提供認證的租戶上，在我這個例子是SAP ID service，即account.sap.com.

這里Marketing Cloud和SAP ID Service被配置為互相信任。

請求1響應頭里的302重定向字段：https://let-me-in.hybris.com/saml/idp-redirection?httpd_location=https://hybris.com/sap/bc/ui5_ui5/ui2/ushell/shells/abap/FioriLaunchpad.html

被重定向到SAP云平臺的account ID service(accounts.sap.com):
https://accounts.sap.com/saml2/idp/sso?sp=com:ydcHybris:spring:sp2&RelayState=https://hybris.com/sap/bc/ui5_ui5/ui2/ushell/shells/abap/FioriLaunchpad.html

步驟3：IDP給用戶發送一個html page，要求用戶提供用戶名和密碼。

如果查看這個html的源代碼，能發現除了用戶名和密碼兩個輸入字段外，還包含了一些隱含字段，如下圖高亮所示，這些字段是IDP返回給用戶時在服務器端生成的，用于步驟5的IDP服務器端認證處理：

• xsrfProtection
• spId
• spName
• authenticity_token
• idpSSOEndpoint

步驟4：用戶輸入用戶名和密碼后，點擊login按鈕，這些信息通過HTML form發送到了SAP ID service的服務器端：

sso請求的url：https://accounts.sap.com/saml2/idp/sso

第二個大寫的SSO請求的url：https://let-me-in.demo.hybris.com/saml/SSO

步驟5：SAP ID service的服務器端完成驗證，發送SAML assertions作為響應給用戶。

這個SAML響應是XML格式的，結構如下：

步驟6也就是最后一步，拿到這個SAML assertion后,用戶就能夠訪問service provider了。

[外鏈圖片轉存失敗(img-QZSbYmZ7-1566692676051)(https://upload-images.jianshu.io/upload_images/2085791-dcc88e58a67cac8c.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]要獲取更多Jerry的原創文章，請關注公眾號"汪子熙":

總結

以上是生活随笔為你收集整理的基于SAML2.0的SAP云产品Identity Authentication过程介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。