SAP官网的架构图 上图介绍了用户访问SAP云平台时经历的Authentication过程。 步骤1:用户向Service provider发起服务请求。 这里Marketing Cloud和SAP ID Service被配置为互相信任。 请求1响应头里的302重定向字段:https://let-me-in./saml/idp-redirection?httpd_location=https:///sap/bc/ui5_ui5/ui2/ushell/shells/abap/FioriLaunchpad.html 被重定向到SAP云平台的account ID service(accounts.): 步骤3:IDP给用户发送一个html page,要求用户提供用户名和密码。 如果查看这个html的源代码,能发现除了用户名和密码两个输入字段外,还包含了一些隐含字段,如下图高亮所示,这些字段是IDP返回给用户时在服务器端生成的,用于步骤5的IDP服务器端认证处理:
步骤4:用户输入用户名和密码后,点击login按钮,这些信息通过HTML form发送到了SAP ID service的服务器端: sso请求的url:https://accounts./saml2/idp/sso 第二个大写的SSO请求的url:https://let-me-in.demo./saml/SSO 步骤5:SAP ID service的服务器端完成验证,发送SAML assertions作为响应给用户。 这个SAML响应是XML格式的,结构如下: 步骤6也就是最后一步,拿到这个SAML assertion后,用户就能够访问service provider了。 要获取更多Jerry的原创文章,请关注公众号"汪子熙": |
|