SSO - SAP Cloud Identity Services 和 AWS IAM Identity Center

RISE with SAP 的安全最佳实践之一是，通过与企业身份提供者（IdP）集成来集中管理用户访问权限。这使您能够更轻松地预调配、取消预调配和管理整个公司内（包括 RISE with SAP、AWS 服务等）的用户访问权限。

AWS IAM Identity Center 是可与 RISE 集成以支持单点登录（SSO）的 IdP 之一。IAM Identity Center 为用户提供了一个集中式接入点，使其能够在 AWS Organizations 内统一地管理 AWS 账户和应用程序（例如，在多账户设置中）。

如果您已拥有 Okta、Ping、Microsoft Windows Active Directory、Microsoft Entra（以前称为 Azure Active Directory）等身份源，则可通过安全断言标记语言（SAML）和跨域身份管理系统（SCIM）协议将身份源集成到 IAM Identity Center。

有关更多信息，请参阅以下参考资料：

什么是 IAM Identity Center？
IAM Identity Center 与其他身份源的集成，请参阅入门教程。
SAP Cloud Identity Services - Identity Authentication。

下图说明了在 RISE with SAP 场景中，SAP BTP 身份验证与 AWS IAM Identity Center 的集成

SAP Cloud Identity Services 与 IAM Identity Center

身份验证流程

用户通过互联网浏览器访问 SAP Fiori。
SAP Fiori 将 SAML 请求重定向回互联网浏览器。
互联网浏览器将 SAML 请求中继到 SAP Cloud Identity Services。
SAP Cloud Identity Services 将身份验证请求委派给 IAM Identity Center。
如果 IAM Identity Center 与 Okta、Ping、Entra 等现有身份源集成，则 IdP 将对用户进行身份验证。
IdP 对用户进行身份验证后，会向互联网浏览器提供包含用户身份信息的 SAML 响应。
用户可访问 RISE with SAP 系统。

有关如何执行此操作的更多信息，您可以参阅 SAP Cloud Platform Cloud Foundry 的 AWS IAM Identity Center（AWS SSO 的后继版本）集成指南。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

安全性

SSO – SAP Cloud Identity Services 与 Microsoft Entra