简介

在设置使用SAP云平台工作流服务的环境时，主要问题之一是如何处理用户：

谁在接收用户任务来执行这些任务？谁可以监控工作流的执行？谁可以启动工作流？

第一个问题描述对工作流的参与，企业信息化管理软件，第二个和第三个问题描述权限。要与工作流服务交互，大数据质量，您需要同时执行以下两个操作：

向用户授予权限，以便他们可以与工作流服务本身交互，并且将用户设置为在工作流服务中建模和执行的用户任务的收件人。

对于权限和用户任务收件人，您可以使用组而不是单个用户，以使您的设置更加灵活。这个博客文章系列描述了如何实现这一点。第一篇博文（这篇博文）描述了在SAP云平台中使用组的理论，特别是SAP云平台工作流。第二篇博文中有许多例子，详细说明了在SAP云平台工作流中使用组需要具体做些什么。此外，您还将看到如何使用组来组织SAP云平台门户中的权限。

SAP云平台中的身份设置和联合

工作流服务所依赖的在子帐户中配置的身份提供程序（IdP）。

身份提供程序为该子帐户可用的所有应用程序（使用订阅或直接）提供用户基础。SAP云平台不提供自己的用户数据库

默认子账户连接到SAP ID服务。SAP ID服务是您注册以获得SAP云平台初始访问权限的地方。因此，SAP ID服务的用户群是有限的，淘客公众号，通常仅用于测试和探索目的。

因此，如果您已经拥有子账户，您将希望使用您的公司IdP用户群。或者，您可以注册SAP云平台身份验证服务的租户作为子帐户的身份提供者，大数据处理平台，并在那里提供您的用户群。有关更多信息，请参阅身份验证租户作为应用程序身份提供程序。

在任何情况下，淘客app系统，您都需要配置您的子帐户。有关更多信息，请参阅将SAP云平台配置为本地服务提供商。配置之后，子帐户将充当SAML使用者，也称为本地服务提供者。它与所选的身份提供者（=SAML权限）交互，以获取有关主体（通常是用户）的信息。服务提供商（SAP云平台）提供服务和相应的权限，即访问这些服务的角色。但是，身份提供者提供了有关主体（即用户）的信息。

当您的云帐户连接到企业身份提供者，并且该提供者公开用户属性时，工作尚未完成。SAP云平台上的应用程序（在我们的例子中是工作流服务）也必须能够理解这些属性。因此，您需要定义企业标识提供者发送的用户属性（所谓的断言属性）如何映射到SAP云平台上应用程序使用的用户属性（主体属性）。

定义和使用组

您的子帐户以及工作流服务现在可以访问用户库所选身份提供程序的。然而，迄今为止提供的用户群没有任何分组概念。因此，您必须与单个用户一起工作—这可能是一个乏味且容易出错的活动。此外，使用组可以提高工作流的灵活性：用户可以轻松地动态添加到组中，并可以立即与工作流服务交互。

组由服务提供商提供，但也由身份提供商提供。连接服务和身份提供程序提供了使用这些组的不同选项：

您可以在子帐户中手动创建组。但是，这些组仅在该特定子帐户中可用，而不是在所有子帐户中全局可用。如果您想将组限制为特定的子帐户，这很有用。

如果所选的IdP已经包含关于IdP上用户的组分配的信息，则可以适当地公开和映射该信息。确保您至少有一个用于组标识的属性：工作流服务要求一个名为"groups"的属性在运行时解析组并分配用户。因此，您需要将公司IdP的相应组标识属性（"断言属性"）映射到主体属性"组"。

有关将断言映射到主体属性的更多信息，请参阅将信任配置到SAML标识提供程序。另请参考博客第二部分的例子。

使用这种方法时，你不是在创建新的组。然后，工作流服务只接受来自IdP的用户属性组。

您可以使用帐户上的本地组和来自企业标识提供商的组的组合。例如，这在以下情况下非常有用：

将公司标识提供程序中的组合并到一组任务收件人中。以避免更改公司标识提供程序，并在工作流上下文中为组提供更有意义的名称。若要使用已存在的工作流模型，将预定义的组作为任务收件人，并在组具有不同名称的情况下使用公司标识提供程序。

若要使用此选项，需要显式映射公司标识提供程序上的组和本地组。请参考博客第二部分中的示例，并参阅配置对SAML身份提供程序的信任。