[更新日期：2019年5月1日]：增加了关于使用IAS作为代理和已知限制的部分。

如果您已登录到SAP云平台（SAP CP）帐户，您可能会使用"S"用户或"P"用户。SAP CP将自动对您进行身份验证，并提供对云平台帐户内相关服务的访问。所有SAP CP试用帐户也是如此。默认情况下，"安全">"信任设置"下的应用程序标识提供程序配置了SAP ID服务。

SAP ID服务是SAP的公共标识提供程序，是SAP的关键服务，因为它包含SAP社区中的所有用户，甚至是访问服务市场的用户。

需要注意的是，SAP CP没有自己的自己的用户存储。当您启动一个试用SAP CP帐户时，中国电信物联网，您将获得一个预先配置了SAP ID service作为应用程序标识提供者的帐户。

当您作为开发人员访问SAP CP的服务时，企业号应用，它将使用SAP ID service将您登录到这些服务。即使是访问SAP CP上部署的应用程序的最终用户，这种行为也是一样的

如果您想了解更多关于此主题的内容，我建议您学习openSAP课程"在SAP云平台上构建门户网站"第5周第3单元：身份验证、授权和安全

显然，大数据专业怎么样，让最终用户使用"S"或"P"用户ID登录以查看应用程序或Fiori启动板是不实际的。因此，在大多数SAP CP实施中，客户都会将"应用程序身份提供者"改为指代自己的云或本地身份提供者（IdP）。在这个博客"使用云身份为云门户设置身份验证"中，我展示了客户如何向sapcp帐户注册身份验证服务（IAS）。SAP Identity Authentication service（IAS）是SAP基于订阅提供的基于SAML的IdP。当然，您可以用任何基于SAML的IdP配置sapcp帐户。

在这个博客中，我想重点介绍一个叫做"平台身份提供者"的东西。您需要寻找一个"平台身份提供商"，并启用此服务以访问选项卡-平台身份提供商。

平台身份提供商是访问SAP云平台帐户的用户基础。默认情况下，其配置为SAP ID服务。现在可以切换到身份验证服务（IAS）租户。这意味着您可以使用IAS tenant内的用户登录到SAP CP cockpit。

如果客户不想使用IAS tenant，因为他们的所有开发人员/员工都存储在外部IdP（例如MS Active Directory）中，该怎么办。对于这种情况，客户需要使用IAS tenant作为代理，并将activedirectory配置为公司身份提供者。这是一段youtube视频，解释了这些步骤。

平台身份提供商的更改与应用程序身份提供商没有任何关系。

一旦您将平台身份提供商配置为IAS租户，您的云平台帐户现在可以使用IAS租户的用户访问。

有两个URL您可以使用。

下面的URL是您用来访问SAP CP的默认URL。您仍然可以使用默认的SAP ID服务访问您的SAP CP帐户。要找到您的SAP CP驾驶舱URL，您可以查看帮助页。

https://account。。hana.ondemand.com/驾驶舱

要让您的开发人员使用配置的IdP访问SAP CP cockpit，请让他们使用以下URL

https://账号-/

在启动新URL之前，您需要提供对您自己用户的访问权限，因为它将不再识别您的"S"或"P"用户。

因此，请使用现有的URL并导航到全局帐户。您应该可以进入"成员"菜单，点击"添加成员"。

在弹出的屏幕中，手动输入IAS租户详细信息，并提供需要添加为全局成员的用户。

保存更改后，如果您已经创建了子帐户，您应该可以看到添加为全局成员的用户

，对每个子帐户重复相同的过程。您需要将自己添加为每个子帐户的成员。

当您单击"添加成员"按钮时，选择用户群作为您的IAS租户，并提供需要访问子帐户的所有用户。

这就完成了平台标识的设置提供者。你现在可以使用新的URL访问SAP CP cockpit–https://账号-。hana.ondemand.com/驾驶舱#/主页/概述

这会将用户重定向到IAS租户（已配置为平台标识提供程序）。成功验证后，用户将被授予访问SAP CP Cockpit的权限，如下所示。

自动分配开发人员角色

下一个常见问题是–如何避免将开发人员用户名硬编码到所需角色。如果您使用的是sapwebide全栈或Portal服务，您会记得它需要为用户分配相应的角色。由于sapwebide和Portal服务是sapcp的应用程序，因此用户由"应用程序标识提供者"中配置的IdP进行身份验证。因此，我们现在将重点转向"应用程序身份提供商"。

我想向您介绍同一个博客"使用云身份为云门户设置身份验证"。我将在这个博客的基础上扩展这个场景。因此，大数据的解决方案，请在继续之前浏览此博客。

在我的身份验证服务中，我设置了3个用户

P000159P000160型P000161

我还创建了两个组—一个用于SAP WebIDE，另一个用于门户服务。

这是我为门户管理员创建的组

我已将组分配给以下用户

P000159（无组分配）P000160（CI\u WEBIDE）P000161（CI\u PORTAL）

下一个任务是导航到SAP CP子帐户并为WebIDE和PORTAL服务创建SAP CP组。我已将相关的SAP WebIDE标准角色分配给新组。

同样，我也已将标准门户角色分配给新创建的SAP CP门户组。

最后一步是在"信任>应用程序标识提供程序"下执行组映射。我已将IAS租户组映射到SAP CP组。

这就完成了所需的配置。

您现在可以提供到您的开发人员/门户管理员的直接链接，以访问相应的服务。

SAP WebIDE–https://webidecp-。调度程序.hana.ondemand.com/

门户–https://flpnwc-。调度程序.hana.ondemand.com/sites/adminspace？hc_login

当用户P000159尝试访问这两个服务时，该用户将成功通过身份验证，但会出现如下所示的访问错误。

我希望本博客能给您一些想法，让您了解如何为将使用SAP CP帐户进行开发和管理任务的开发人员/管理员配置访问权限。

使用企业身份提供商作为平台IdP