SSO — SAP 云身份服务和 Amazon IAM 身份中心

RISE with SAP 的安全最佳实践之一是，通过与企业身份提供者（IdP）集成来集中管理用户访问权限。这使您可以更轻松地配置、取消配置和管理整个公司的用户访问权限，包括 RISE with SAP、 Amazon 服务等。

Amazon IAM 身份中心是您可以与 RISE 集成以支持单点登录 (SSO) 的 IdP 之一。IAM Identity Center 为用户提供了一个集中式接入点，使他们能够在 Amazon 组织内一致地管理 Amazon 账户和应用程序（例如在多账户设置中）。

如果您已拥有 Okta、Ping、Microsoft Windows Active Directory、Microsoft Entra（以前称为 Azure Active Directory）等身份源，则可通过安全断言标记语言（SAML）和跨域身份管理系统（SCIM）协议将身份源集成到 IAM Identity Center。

有关更多信息，请参阅以下参考资料：

什么是 IAM Identity Center？
IAM Identity Center 与其他身份源的集成，请参阅入门教程。
SAP Cloud Identity Services - Identity Authentication。

下图显示了在 RISE with SAP 的背景下，来自 SAP BTP 的身份验证和 Amazon IAM Identity Center 之间的集成

SAP Cloud Identity Services 与 IAM Identity Center

身份验证流程

用户通过互联网浏览器访问 SAP Fiori。
SAP Fiori 将 SAML 请求重定向回互联网浏览器。
互联网浏览器将 SAML 请求中继到 SAP Cloud Identity Services。
SAP Cloud Identity Services 将身份验证请求委派给 IAM Identity Center。
如果 IAM Identity Center 与 Okta、Ping、Entra 等现有身份源集成，则 IdP 将对用户进行身份验证。
IdP 对用户进行身份验证后，会向互联网浏览器提供包含用户身份信息的 SAML 响应。
用户可访问 RISE with SAP 系统。

有关如何执行此操作的更多信息，您可以参阅 SA P Cloud Platform Cloud Foundry 的 IA Amazon M 身份中心（ Amazon SSO 的继任者）集成指南。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

安全性

SSO – SAP Cloud Identity Services 与 Microsoft Entra