集成了IAS的SuccessFactors与微软的SSO配置

English Version: https://blogs.sap.com/2023/06/08/%e9%9b%86%e6%88%90%e4%ba%86ias%e7%9a%84successfactors%e4%b8%8e%e5%be%ae%e8%bd%af%e7%9a%84sso%e9%85%8d%e7%bd%ae-2/

本文会讲述如何使用在一个集成了IAS的SuccessFactors系统上，使用微软账号SSO登录。

众所周知，SF系统仅支持SAML协议且只能配置一个Idp，所以一般客户会将SF与IAS进行SAML2.0 SSO配置，再让IAS作为SAP所有环境的统一Auth平台。如果要用微软账号登录SF，这个配置也是在IAS和微软之间进行的，SF系统不需要再做额外配置了。

配置前置条件：

1. 管理员权限的Azure Tenant
2. 管理员权限的IAS

首先，我们要在微软Active Porttal里的App Registrations里创建App。在侧边栏Authentication这个选项中，点击Add a platform，随后配置如图所示的Redirect url。这个地址就是你IAS domain加上/oauth2/callback。配置完成后大致如下图所示。这个配置的作用是让微软在完成登录后，能够转跳到redirect url，为了安全起见，没有配置在这里的的url是无法成功转跳的。

Redirect url config in Azure

接下来我们添加一个Client Id和Secret，这个不难，如图所示，记得保存你的secret，因为只能看一次。

Secret in Azure

然后我们进入IAS，选择Identity Providers -> Coperate Identity Providers. 点击Create新建一个Idp，Identity Provider Type选择OpenId Connect Compliant。

点击OpenID Connect Configuration，在discovery url中填入https://login.microsoftonline.com/{TenantId}/v2.0，点击Load，Name和Endpoints就会被自动加载。

Client Id请填入微软的App Id，如图所示。Secret填入刚才你新建的Secret。

Client id of Azure App

Login Hint和Subject Name Identifier都选择Email，因为微软一般都是用UPN进行user propagation，而UPN就是Email。Single Sign-On部分打开Forward All SSO Requests to Corporate Idp. Identity Federation里面打开Use Identity Authentication user store（这个打不打开目前似乎并不影响）。Logout Redirect URL根据需求随意配置或者不配置。最终配置效果如图所示：

Identity Providers in IAS

这些配置完成后，进入Applications & Resources -> Applications，选择SF应用，集成了IAS的SF应该都有这个Application的，选择Conditional Authentication，设置刚刚配置的Azure Idp为Default Identity Provider。回到上级菜单，选中Trust All Corporate Identity Providers。配置如图所示：

Default Idp of SF

Applications in IAS

至此，所有配置完成，接下来登录SF都需要使用微软账号登录。过程是：
navigate to SF -> not login -> IAS -> Microsoft -> login -> IAS -> SF.