SAP云平台集成（以前称为HCI）用于将本地/第三方应用程序连接到SAP云应用程序。HCI充当部署在SCP（SAP云门户）上的应用程序和用于数据通信的本地/第三方应用程序之间的接口。根据与云通信的应用程序的性质，海量数据，所使用的通信协议会有所不同，云服务器价格，从webservice（HTTPS）到Odata服务。本指南旨在从应用程序的角度解释安全配置。

出于管理目的，将使用Web URL访问SCP–HCI链接：

https://account.AAA.hana.ondemand.com/cockpit#/organization/AAAAAA

一旦用户启动上述网址，他们将被要求使用S或P用户ID凭据输入SAP Identity provider（SAP ID服务），以登录到SCP门户。登录后，用户将看到下面的屏幕。

在第一页，用户可以访问在SCP（SAP云平台）上设置的帐户。每个环境（Dev、QA、PROD）都有单独的帐户，以便在较低和较高的环境之间进行操作分离。

一旦用户选择其中一个帐户（在本例中，我们选择AAAA），门户将进入下一页：

只要没有配置自定义平台标识提供程序，所有用户都需要使用SAP ID服务凭据才能访问SAP cockpit页面。除了cockpit，要访问部署在租户上的应用程序，SCP利用信任设置来确定登录方法。默认情况下，SCP利用SAP ID服务对应用程序的用户进行身份验证。

用户需要提供其S或P用户ID（用于登录SAP service Marketplace的ID）凭据才能访问SCP应用程序。以下是建立使用SAP Identity provider的信任设置。

如上图所示，信任设置显示了设置为SAP ID服务的身份提供程序，淘客放单，该服务使用标准SAP用户ID（如S或P用户）对SCP应用程序的用户进行身份验证。在此场景中，HCI利用saps-user ID允许用户对部署在租户上的应用程序进行身份验证。我们可以将自定义身份提供程序配置为允许SCP应用程序使用公司ID对用户进行身份验证。

通过导航到应用程序->订阅，可以找到当前部署的应用程序列表，如下所示：

如图所示，我们看到列出了多个应用程序，这些应用程序正在这个租户上部署和使用。这些应用程序利用"信任设置"进行身份验证。

SCP驾驶舱的身份提供程序可以通过"信任设置"下的平台身份提供程序配置更改为自定义SCP身份验证租户。先决条件是在SCP帐户的"服务"配置下启用了"平台身份提供商"功能。

当我们点击任何应用程序时，我们会看到显示web URL的以下屏幕：

点击此URL时，启动网页，根据"信任设置"中定义的SAP S用户ID进行身份验证，如果用户拥有适当的授权，则会显示以下结果：

在用户需要的访问级别上，我们将在以下部分提供信息。

应用程序访问

通过角色分配给用户的特定授权来控制对部署在HCI上的应用程序的访问。这是通过组实现的，这些组包含每个应用程序的单个角色的组合，这些角色分配给用户以访问应用程序中的特定部分。下面是HCI上角色管理的屏幕截图。

在侧菜单上，在授权功能区上，驾驶舱显示授权管理屏幕，以创建新组、为每个应用程序分配角色并将单个用户分配到特定组

要将角色分配到指定组，什么叫物联网，请单击"分配"在红色突出显示的角色旁边。弹出窗口询问需要分配给指定组的相应子帐户、应用程序和角色。完成输入后，淘客单，单击"保存"完成活动。

然后将相应的角色和应用程序分配给指定的组。同样，用户也可以通过点击用户旁边的"分配"链接来分配到组中。

一旦在用户自由文本中输入了S用户ID，单击"保存"完成活动。

授权现在生效，用户可以根据通过组分配的授权访问内容。

授权的定义在下面的链接中定义：

对于任务和必需角色：

https://help.sap.com/viewer/368c481cd6954bdfa5d0435479fd4eaf/Cloud/en-US/289ef3f8cfad442ea86fe0d5ddad8c42.html

访问云驾驶舱

用户将通过向成员部分分配其S-user ID来访问云驾驶舱。下面是显示"成员"屏幕的屏幕截图：

在上角，单击"添加成员"找到下面的窗口：

在用户ID的自由文本下输入S-User ID，并在"分配角色"下选择适当的角色以授予指定用户相应的访问权限。这些角色是SAP Cloud cockpit提供的标准预定义角色。以下是角色描述：

管理员：提供驾驶舱的完整管理权限。开发者：提供对驾驶舱的开发相关访问。支持用户：提供对驾驶舱的只读访问。应用程序用户管理：提供对驾驶舱的用户管理访问。云连接器管理：此访问权限仅授予用于云和内部部署应用程序之间连接的服务帐户。