基於SAML2.0的SAP雲產品Identity Authentication過程介紹

SAP官網的架構圖

上圖介紹了使用者訪問SAP雲平臺時經歷的Authentication過程。
本文使用的例子是使用者訪問SAP Marketing Cloud而非SAP雲平臺，但是原理一致。

步驟1：使用者向Service provider發起服務請求。
步驟2：Service provider把這個請求重定向到提供認證的租戶上，在我這個例子是SAP ID service，即account.sap.com.

這裡Marketing Cloud和SAP ID Service被配置為互相信任。

請求1響應頭裡的302重定向欄位：

被重定向到SAP雲平臺的account ID service(accounts.sap.com):

步驟3：IDP給使用者傳送一個html page，要求使用者提供使用者名稱和密碼。

如果檢視這個html的原始碼，能發現除了使用者名稱和密碼兩個輸入欄位外，還包含了一些隱含欄位，如下圖高亮所示，這些欄位是IDP返回給使用者時在伺服器端生成的，用於步驟5的IDP伺服器端認證處理：

• xsrfProtection
• spId
• spName
• authenticity_token
• idpSSOEndpoint

步驟4：使用者輸入使用者名稱和密碼後，點選login按鈕，這些資訊透過HTML form傳送到了SAP ID service的伺服器端：

sso請求的url：

第二個大寫的SSO請求的url：

步驟5：SAP ID service的伺服器端完成驗證，傳送SAML assertions作為響應給使用者。

這個SAML響應是XML格式的，結構如下：

步驟6也就是最後一步，拿到這個SAML assertion後,使用者就能夠訪問service provider了。

要獲取更多Jerry的原創文章，請關注公眾號"汪子熙":