这是我关于SAP云平台上云架构的博客系列的第3部分。您可以在这里找到概述页面。

在我之前关于用户管理的博客中，您了解了在生产SAP CP场景中通常涉及的不同身份提供者和用户类型。在上一篇博客的理论之后，我现在想解释一下如何在SAP CP中配置和使用所有这些功能。

首先，我认为在应用程序用户方面有三个用例：

内部：SAP CP应用程序的所有用户都是公司/客户的内部用户。外部：SAP CP应用程序的所有用户都是外部用户（不包括开发人员、支持用户、项目负责人）。如果您为自己的客户（通常不属于公司内部用户管理的一部分，例如LDAP）、您的合作伙伴或internet上完全外部的个人开发应用程序，则此场景是典型的。混合：您的SAP CP应用程序的用户可以来自您的内部公司，也可以来自您的外部客户或合作伙伴，大数据共享平台，或者完全来自外部。

对于内部用例，您很可能已经在某种企业用户商店/企业身份提供器中拥有了所有用户。它可以是公司的LDAP、SAP用户管理引擎或Microsoft Active Directory。在这种情况下，最简单、最结构化的方法可能是将此用户管理与SAP CP子帐户安全集成，以便内部用户可以使用其正常用户和密码访问SAP CP应用程序。我相信，大多数内部最终用户都会期望这样做能奏效。此外，在我看来，如果您在一个中心位置管理所有内部用户，而不是在内部用户案例的内部系统和云使用案例的外部云标识提供者中管理所有内部用户，那么您的体系结构会更加干净。

在我的SAP CP项目中，我在通过SAML端点集成企业用户管理方面取得了特别好的经验。例如，Microsoft的Active Directory联合身份验证服务（ADFS）允许您通过SAML2.0端点公开Active Directory用户。将这样一个SAML端点与sapcp集成非常简单，是一种非常安全和标准化的方法，允许您的内部用户访问您的云应用程序。使用这样的SAML端点不仅可以很容易地验证用户身份（身份验证），还可以通过SAML断言属性发布用户组信息，因此还可以通过SAML执行部分授权过程。我将在稍后的博客中详细介绍用户组、角色和权限，但简而言之：使用SAML断言属性，您可以公开用户在SAML端点的组成员身份，云教云，并将您公司的所有组定义从您的中央用户管理中重用到SAP CP中。非常方便…

对于外部用例，我建议使用SAML身份提供者。例如，SAP提供了一个SAML身份提供者（SAP云平台身份验证，简称SCI）。我当然会建议您尝试一下SCI，因为SCI可以与SAP CP紧密集成。但是，SCI不是SAP CP的一部分，淘客app开发，原则上，每个其他SAML身份提供者也可以工作。在不在公司网络内的身份提供者中管理外部用户有许多优点：

对于应在短时间内交付的项目，与SCI集成比让广告管理员正确配置其ADF快得多。您不必通过ADFS"公开"您的activedirectory。尽管这是一件常见的事情，而且据我所见，安全同事们对此总是很满意，但可能是贵公司不希望ADFS SAML端点可以从internet访问。特别是对于有用户的外部用例，您很可能不想在企业广告中维护这些用户，外部SAML身份提供者有助于保持企业身份管理的"干净"。

现在，最有趣的，当然是混合场景。在这里，您有一个由外部用户和内部用户访问的应用程序。当然，您不希望将所有内部用户从您的企业身份提供商复制到SCI租户（相信我，与不断同步不同的身份提供商相比，您的用户信息的单一真实来源是非常方便的事情）。除此之外，您可能不希望企业标识提供者中有外部用户。因此，最终，您需要在SCI中维护外部用户，并在公司用户管理中维护内部用户。为了尽可能降低维护工作量和成本，您应该将两个身份提供者集成到应用程序的HCP子帐户中。在安全->信任的云驾驶舱中，您可以轻松添加多个受信任的身份提供者。当然，SAML断言属性映射会有所不同（我们将在下一篇博客中讨论这一点），但是您可以为所有受信任的身份提供者重用相同的SAP CP用户组（Security->Authorization）。一旦您将两个身份提供者添加到子帐户，您的外部用户就可以使用SCI进行身份验证（和授权），您的内部用户就可以从内部网络使用其"正常"用户名访问SAP CP应用程序。

这种方法唯一的小缺点是：您必须使用URL参数以控制哪个身份提供程序用于身份验证。可以将一个标识提供程序配置为默认值，因此如果未指定参数，则使用此标识提供程序。我通常将SCI设置为默认的身份提供者，以便外部客户可以使用更简单的URL而不使用参数。然后，内部用户必须使用URL参数""访问应用程序URL？saml2idp="。从我的观点（以及到目前为止我的客户的观点）来看，这始终是一个可以接受的限制。