SAP Cloud Platform Integration 2.45.x版提供了对运行在SAP Cloud Foundry上的应用程序的主体传播的支持。本博客介绍了如何使用此增强功能。

功能本身非常容易使用HTTP接收器适配器/连接器，但了解自定义身份提供程序（IdP）的必要设置以及在SAP Cloud Platform Neo和Cloud foundry帐户之间建立信任并不复杂和耗时。

该功能应使用下图所示的示例用例进行解释。

myApp需要通过使用SAP Cloud Platform Integration设计和部署的集成流，从暴露HTTP端点并在SAP Cloud Platform（CF）版本上运行的应用程序httpApp收集响应。需要与登录myApp的用户一起收集httpApp的响应。这意味着，移动物联网，登录用户的上下文（主体）必须从myApp传播到集成流，然后传播到httpApp。这是通过HTTP接收器适配器/连接器中的OAuth2 SAML承载断言验证实现的。

在阅读本博客之前，我们假设您已经在您的cloud foundry帐户上部署了一个应用程序，并使用XSUAA服务实例进行了保护。如果没有，那么您可以参考以下博客链接：

要创建一个简单的应用程序并将其部署到您的CF帐户上，请完成博客中提到的所有步骤链接：https://blogs.sap.com/2017/05/19/step-3-with-sap-s4hana-cloud-sdk-helloworld-on-scp-cloudfoundry/为了保护您在cloud foundry上的应用程序，请完成博客中提到的所有步骤链接：https://blogs.sap.com/2017/07/18/step-7-with-sap-s4hana-cloud-sdk-secure-your-application-on-sap-cloud-platform-cloudfoundry/

已为SuccessFactors OData V2启用了类似功能，详情见博客https://blogs.sap.com/2018/07/30/sap-cloud-platform-integration-principal-propagation-with-successfactors-odata-v2/并建议您浏览上述博客，其中提供了大多数设置信息，此处也需要这些信息，但不包括与设置相关的成功因素（如第1.1.1节，以上博客的1.6条与此无关）。在这个博客中，应该提供设置的摘要。

对于上述示例用例，您需要在定制IDP（Cust）中完成用户、组创建的设置。IdP）；连接客户。IdP到SubAccnt1；在SubAccnt2中创建OAuth2客户端；按照上述博客的设置指南在SubAccnt1和SubAccnt2之间建立信任，如第1.1、1.2、1.3、1.4和1.5节所述。第1.1.1节和第1.6节与此无关。

要在SubAccnt2和Cloud Foundry帐户之间建立信任，请执行以下步骤：

从您的SubAccnt2下载元数据。

转到SubAccnt2，转到"信任管理"，并将本地服务提供商的配置类型更改为"自定义"，保存然后下载元数据。

返回在CloudFoundry驾驶舱中，转到您的子帐户，然后转到信任配置页面并按："新建信任配置"，然后上载上一步的元数据XML文件，解析并保存。完成！

一旦创建了信任，从安全菜单中选择信任配置，然后从列表中单击信任配置的名称。在打开的对话框中，选择Role Collection Mapping并将您的角色集合映射到自定义IDP中创建的用户组。

现在，我们将设计集成流，云服务器免费，该集成流与HTTP receiver adapter中的OAuth2 SAML Bearer Assertion authentication与cloud foundry应用程序公开的HTTP端点进行通信。我们将首先为SAML承载断言部署OAuth2凭据。

对于凭据部署，您将需要从SAML元数据中为您的CF帐户提供一些信息。您可以通过以下链接访问cloud foundry的元数据：https://.authentication./saml/metadata

在元数据中，您需要"entityID"和标记为"AssertionConsumerService"并带有"Binding="的令牌URL瓮：绿洲:名称：tc:SAML:2.0:绑定：URI".

遵循上述第2.1节直到打开部署对话框（步骤7）。之后，您需要选择目标系统类型为SAP Cloud Platform（CF）。

在您的SAP Cloud Platform Integration Web UI的设计空间中，创建或选择您选择的包。创建集成流工件。（创建集成流项目的步骤省略）。

考虑在HTTP receiver adapter/connector中创建的示例集成流

，大数据和数据库，在地址字段中，提供cloud foundry应用程序公开的HTTP端点。观察身份验证类型是OAuth2 SAML承载断言。对于凭证名称，大数据是什么意思，请提供您在部署OAuth2 SAML凭证时使用的名称。

保存并部署集成流。因为它有SOAP sender适配器，所以它将导致SAP云平台集成中的SOAP端点URL。要获取SOAP端点URL，请转到"监视Web UI"，然后在"管理集成内容"中单击"已启动的互动程序"。复制SOAP端点URL并将其临时保存在文本编辑器中。这将用于为myApp创建的目的地配置。

按照上述博客第3节的步骤设置一个目的地，用于myApp和集成流之间的通信。在此步骤之后，当您调用myApp时，免费自助建站系统，登录屏幕将显示您配置的自定义idp。成功登录后，myApp将通过目标配置调用集成流，集成流将通过HTTP接收器适配器调用cloud foundry应用程序公开的端点，用户上下文/主体将跨不同帐户传播到所有相关应用程序。