本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# SSO — SAP 云身份服务和 AWS IAM 身份中心
<a name="sso-iam"></a>

RISE with SAP 的安全最佳实践之一是，通过与企业身份提供者（IdP）集成来集中管理用户访问权限。这使您可以更轻松地配置、取消配置和管理整个公司的用户访问权限，包括 RISE with SAP、 AWS 服务等。

 AWS IAM 身份中心是您可以与 RISE 集成以支持单点登录 (SSO) 的 IdP 之一。IAM Identity Center 为用户提供了一个集中式接入点，使他们能够在 AWS 组织内一致地管理 AWS 账户和应用程序（例如在多账户设置中）。

如果您已拥有 Okta、Ping、Microsoft Windows Active Directory、Microsoft Entra（以前称为 Azure Active Directory）等身份源，则可通过安全断言标记语言（SAML）和跨域身份管理系统（SCIM）协议将身份源集成到 IAM Identity Center。

有关更多信息，请参阅以下参考资料：
+  [什么是 IAM Identity Center？](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 
+ IAM Identity Center 与其他身份源的集成，请参阅[入门教程](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)。
+  [SAP Cloud Identity Services - Identity Authentication](https://help.sap.com/docs/identity-authentication)。

下图显示了在 RISE with SAP 的背景下，来自 SAP BTP 的身份验证和 AWS IAM Identity Center 之间的集成

![\[SAP Cloud Identity Services 与 IAM Identity Center\]](http://docs.aws.amazon.com/zh_cn/sap/latest/general/images/rise-security-iam.png)


 **身份验证流程** 

1. 用户通过互联网浏览器访问 SAP Fiori。

1. SAP Fiori 将 SAML 请求重定向回互联网浏览器。

1. 互联网浏览器将 SAML 请求中继到 SAP Cloud Identity Services。

1. SAP Cloud Identity Services 将身份验证请求委派给 IAM Identity Center。

1. 如果 IAM Identity Center 与 Okta、Ping、Entra 等现有身份源集成，则 IdP 将对用户进行身份验证。

1. IdP 对用户进行身份验证后，会向互联网浏览器提供包含用户身份信息的 SAML 响应。

1. 用户可访问 RISE with SAP 系统。

有关如何执行此操作的更多信息，您可以参阅 SA [P Cloud Platform Cloud Foundry 的 IA AWS M 身份中心（ AWS SSO 的继任者）集成指南](https://static.global.sso.amazonaws.com/app-c1553f5036ecbcd6/instructions/index.htm)。