ACTUALIZACIÓN:
Ahora recomendamos que utilices SAP Cloud Identity Services - Identity Authentication como un concentrador, especialmente si tus usuarios comerciales están almacenados en varios proveedores de identidad corporativos. Para este escenario, conecta Identity Authentication como un proveedor de identidad personalizado único a SAP BTP. Luego utiliza Identity Authentication para integrar tus proveedores de identidad corporativos. Para obtener instrucciones, consulta
Habilitar SSO Entre Azure AD y SAP Cloud Platform Usando el Servicio de Autenticación de Identidad
.
En esta publicación, vamos a configurar Microsoft Azure AD como el Proveedor de Identidad de aplicaciones que se ejecutan en una subcuenta de SAP BTP, Cloud Foundry. Además, vamos a otorgar autorizaciones (scopes) a los usuarios mediante la asignación de Grupos de Azure a Colecciones de Roles.
Requisitos previos
-
Debes tener una subcuenta de Cloud Foundry (empresarial o de prueba) y ser un
administrador de seguridad
de la misma (lo que significa que puedes ver el menú de Seguridad en el Cockpit de SAP BTP).
-
Debes tener una suscripción de Microsoft Azure.
Procedimiento
-
Descarga el archivo de metadatos SAML de la subcuenta de Cloud Foundry
-
Agrega Cloud Foundry como una Aplicación Empresarial en Azure.
-
Agrega Azure como Proveedor de Identidad en la cuenta de Cloud Foundry.
-
Configura las asignaciones de Colecciones de Roles.
-
Prueba.
1. Descarga el archivo de metadatos SAML de la subcuenta de Cloud Foundry
Para descargar el archivo de metadatos de la subcuenta, accede a tu subcuenta de CF a través del Cockpit de BTP y ve a Seguridad >
Configuración de Confianza
.
Haz clic en el botón
Metadatos SAML
para descargarlo.
2. Agrega Cloud Foundry como una Aplicación Empresarial en Azure
Ve al Portal de Azure > Azure Active Directory > Aplicaciones empresariales y haz clic en
Nueva Aplicación
.
Busca la aplicación de SAP Cloud Platform en la
galería
, ponle un nombre y guárdala.
Accede a la aplicación recién creada, haz clic en
Inicio de sesión único
en la izquierda y selecciona
SAML
.
Sube el archivo de metadatos descargado de la cuenta de Cloud Foundry. El panel
Configuración básica de SAML
se abrirá. Completa la
URL de Inicio de Sesión
y guarda (la URL de Inicio de Sesión puede ser cualquier aplicación de CF o la URL de UAA, por ejemplo. No afectará la configuración).
Bajo
'2. Atributos y Reclamaciones de Usuario'
, haz clic en el icono de lápiz y configura el
identificador de nombre, reclamación de grupos
y
atributos de usuario
como se muestra a continuación (sensible a mayúsculas y minúsculas). Asegúrate de eliminar el espacio de nombres de los atributos.
Sugerencia:
para las direcciones de correo electrónico, tanto "email" como