在上一篇博文中，大数据下载，我介绍了设置角色集合并将其手动分配给最终用户所需的步骤。在这篇博文中，我将重点介绍如何将身份提供者的用户组映射到角色集合。这将涉及在SAP云平台Cloud Foundry环境中的身份提供者和门户网站之间建立信任。当您计划向最终用户推出门户网站，并且必须根据其角色为其分配相关应用程序时，这一点非常重要。对于本博客，我使用的身份提供商是SAP云平台身份验证服务。

以下是设置身份验证服务和SAP云平台云铸造之间信任所需遵循的步骤

导航到IAS租户，并在"应用程序和资源"下访问租户设置下载元数据文件

获取元数据文件，我们需要使用下面的URL

https://.Authentication.在单独的浏览器选项卡中查询UAA（用户帐户和身份验证服务器）的SAML元数据端点。hana.ondemand.com/saml/metadata

租户名称=从您的子帐户的概览菜单中获得的子域值

区域=API端点（删除）美国石油学会.cf)

在您的子账户中，创建新的信任配置。

上传您之前下载的元数据文件并提供名称。

导航到IAS中的应用程序菜单并创建新的应用程序。在"SAML2.0配置"中上传从云平台子账户获取的SAML元数据文件。在"主题名称标识符"中，下载返利，确保在"断言属性"中将值设置为"E-Mail"

并确保添加"组"（区分大小写）。这是映射角色集合所必需的，在SAP帮助中有进一步解释。

在IAS中，我创建了两个组。"管理用户的"CI\u门户"和业务用户的"mysales"。我已将这些组分配给IAS中的相应用户，如下所示。

导航到Cloud Foundry subaccount中的"信任配置"菜单，选择IAS的自定义IdP配置。在"角色集合映射"菜单中，您可以创建新条目，将现有角色集合映射到IAS组（如下所示）。请注意，没有手动将角色集合分配给用户。也可以使用此屏幕中的下一个菜单完成。

最后禁用SAP ID服务，云店，因为我们将使用IAS作为IdP继续

现在是测试门户网站的时候了。当我尝试访问门户网站时，游戏返利，它现在会提示我一个来自IAS的登录屏幕

当我以业务用户身份登录时，我相应的IAS组（mysales）在身份验证过程中映射到角色集合（Sales），我可以看到Sales Order应用程序。

当你打开浏览器的SAML跟踪插件时，你会看到能够看到从IAS传递到门户网站的属性值。请注意，属性"Groups"与IAS组一起传递，IAS组最终映射到角色集合。

如果您想了解更多关于将IAS配置为针对Azure AD对用户进行身份验证的代理的信息，淘客app开发，您可以参考我的博客文章"在SAP云平台中集成身份验证服务和Azure Active Directory–代理和条件验证方案–第3部分"

以直接在Azure AD和Cloud Foundry子帐户之间配置信任，你可以关注Lucas Vaccaro的博客文章"如何将Azure广告与SAP云平台Cloud Foundry集成"