本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# SSO — SAP 云身份服务和 AWS IAM Identity Center
<a name="sso-iam"></a>

RISE with SAP 的安全最佳实践之一是，通过与企业身份提供者（IdP）集成来集中管理用户访问权限。这使您可以更轻松地配置、取消配置和管理整个公司的用户访问权限，包括 RISE with SAP、 AWS 服务等。

 AWS IAM 身份中心是您可以与 RISE 集成以支持单个 Sign-On (SSO) 的 IdP 之一。IAM Identity Center 为用户提供了一个集中式接入点，使他们能够在 AWS 组织内一致地管理 AWS 账户和应用程序（例如在多账户设置中）。

如果你已经有现有的身份源，例如 Okta、Ping、微软 Windows Active Directory、Microsoft Entra（以前称为 Azure Active Directory）或其他身份源，则可以通过安全断言标记语言 (SAML) 和身份管理系统 (SCIM) 协议将身份源集成到 IAM Cross-Domain 身份中心。

有关更多信息，请参阅以下参考资料：
+  [什么是 IAM Identity Center？](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 
+ IAM Identity Center 与其他身份源的集成，请参阅[入门教程](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)。
+  [SAP Cloud Identity Services - Identity Authentication](https://help.sap.com/docs/identity-authentication)。

下图显示了在 RISE with SAP 的背景下，来自 SAP BTP 的身份验证和 AWS IAM Identity Center 之间的集成

![SAP Cloud Identity Services 与 IAM Identity Center](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-iam.png)


 **身份验证流程** 

1. 用户通过互联网浏览器访问 SAP Fiori。

1. SAP Fiori 将 SAML 请求重定向回互联网浏览器。

1. 互联网浏览器将 SAML 请求中继到 SAP Cloud Identity Services。

1. SAP Cloud Identity Services 将身份验证请求委派给 IAM Identity Center。

1. 如果 IAM Identity Center 与 Okta、Ping、Entra 等现有身份源集成，则 IdP 将对用户进行身份验证。

1. IdP 对用户进行身份验证后，会向互联网浏览器提供包含用户身份信息的 SAML 响应。

1. 用户可访问 RISE with SAP 系统。

有关如何执行此操作的更多信息，您可以参阅 SA [P Cloud Platform Cloud Foundry 的 IA AWS M 身份中心（ AWS SSO 的继任者）集成指南](https://static.global.sso.amazonaws.com/app-c1553f5036ecbcd6/instructions/index.htm)。