背景和上下文

默认情况下，所有SAP云平台帐户都连接到身份提供商的SAP ID服务。S用户帐户和SCN帐户（P用户）的标识由SAP ID服务管理。虽然这对客户和合作伙伴来说是一个很好的起点，但很明显，他们最终会希望使用在其组织中本机设置的身份提供程序，例如Azure Active Directory/Okta/等。许多客户还直接使用SAP自己的身份验证服务（IAS）作为身份提供程序甚至可以使用IAS作为实际公司用户商店的代理，物联网展会，大数据是做什么的，我们将IAS设置为自定义身份提供程序，以便配置角色以访问集成套件功能。

身份提供程序上的设置

配置IDP以向子帐户上的应用程序提供身份基本上是通过交换SAML元数据工件来建立互信的两步过程。作为第一步，让我们从我们所在的子帐户获取SAML元数据。

"信任配置"部分有一个下载SAML元数据的按钮。点击此按钮并在本地保存元数据文件的XML表示。

现在，转到IAS租户的管理页面来配置我们刚刚下载的工件。"应用程序"部分允许我们配置不同的应用程序（身份）设置。

让我们称我们的应用程序为"集成套件应用程序"。

这里需要配置的3个重要部分是–a）设置SAML服务提供商（SAP云平台）的配置b）主题名称标识符和c）应用程序的映射需要提供给服务提供商的断言。

第一部分，上传第一步中下载的SAML元数据。

第二部分，指定用户的电子邮件应该映射到断言中的mail属性。这一点很重要，因为默认情况下XSUAA希望电子邮件属性作为主题标识符。

对于第三部分，添加用户属性"Groups"并将其分配给名为"Groups"的断言属性（区分大小写）

IDP上的下一个配置是利用"Groups"的概念打包到SAML断言中，而不必在Cloud Foundry上的角色管理步骤中处理单个用户分配。这样的方法是许多IT组织的首选，因为它允许用户在一个地方（即IDP本身）轻松地上下注册和拥有权限

在用户管理部分，我们为演示目的注册了两个用户。当我们想要区分时，这将在不同的博客文章中加以利用在管理员和外部开发人员权限之间。

我们转到用户组部分，这里我们看到为我们的目的配置了3个组："IntegrationDevelopers"，"apimagementadmins"和"ApplicationDevelopers"

请注意，我们的目标用户"P000438"已被分配到apimagementadmins组。

现在，我们通过下载与此IAS实例对应的SAML配置，准备配置自定义标识提供程序设置的第二部分。

单击"下载元数据文件"按钮。

SAP云平台子账户设置

接下来，前往Cloud Foundry子账户的驾驶舱，点击信任配置部分的"新建信任配置"按钮。

导入上一步下载的SAML元数据文件。在这里调用的另一个步骤是显式启用用户登录的配置（SAML服务提供者设置）。我们还为影子用户创建启用了这个功能，这意味着身份提供者提供的用户登录详细信息在默认情况下被UAA组件自动用于创建"影子用户"。此时，我们启用此步骤主要是为了避免显式提供用户电子邮件地址供UAA获取。

我们将信任配置称为"isuite idp"。请注意，我们将信任配置（SAP ID服务和自定义创建的）都保留为活动状态。

我们返回"订阅"磁贴并单击"转到应用程序"。

因为SAP ID服务被标记为"活动"，我们需要明确告诉系统我们打算使用自定义身份提供商登录。

让我们通过提供用户id和密码凭据来登录。系统（UAA）将从认证会话中获取相应的电子邮件地址，并创建一个影子用户。

但由于我们尚未将该用户与任何角色设置关联，应用程序提示我们找不到它要找的角色。

让我们回到信任配置设置。

让我们转到"角色集合映射"部分，而不是尝试按用户分配。

选择"Integration\u Provisioner"角色集合并分配值"APIManagementAdmins"的组属性。您会记得这是我们在IAS租户中创建的自定义组。

现在（在新会话中）让我们调用Integration Suite应用程序。

为了检查浏览器协商的SAML断言，我们启用了SAML跟踪插件。在这里，企业开发软件，我们可以清楚地确定身份提供者向应用程序提供的断言除了填充其他标准字段外，还填充了Group属性。

最后，欢迎使用Integration Suite启动板！

下一步

现在我们在Integration Suite的启动板中找到了自己，公众号返利系统，接下来我们将通过博客中的启动板来配置Integration Suite。在接下来的一些博客文章中，我们还将探讨如何使用此设置来探索API门户和开发人员门户的API访问机制。

，云 服务器