嗨，菲尔，

非常感谢您的评论，我们发现NEO Console Client不能完全按照您的描述工作，但我确实找到了答案。 我认为您的情况可能是由于巧合而产生的，例如 如果您具有与SubAcocunt管理员相同的用户，并且还使用相同的电子邮件地址/密码（通常不属于我们的情况）将其加载到SAP Identity Authentication租户。

我发现，一旦我们将SAP身份验证（链接到ADFS/企业AD）作为SubAccount的平台IDP打开，那么NEO控制台客户端就无法再从SubAccount引用管理员用户。 如果我将" accounts.sap.com "作为平台IDP，那么我们可以参考 SubAccount中具有SAP S-user凭据的Admin用户。 我们需要使用带有ADFS/企业AD的SAP身份验证作为平台IDP，因此我必须保持打开状态。 我还尝试过使用SAP Identity Authentication中的一个用户，该用户也已在SubAccount中设置为管理员-但我们始终使用SAP Identity Authentication中该用户的"登录ID"字段作为SubAccount级别的用户名-这实际上是问题所在 。 我将在下面解释更多。

我找到了一个SAP注释，该注释指出了可以解决我的问题的更详细的信息。 关键是您必须使用SAP Identity Authentication中的内部P用户ID或与该用户关联的电子邮件地址。 我们通常以用户身份使用"登录ID"字段。 一旦我切换为使用" P"用户，它便开始工作。 重要的是要确保SubAccount管理员用户也存在于SAP身份验证中，否则当平台IDP为SAP身份验证时它将不起作用。 同样要注意的是，它不能仅是仅位于后端公司AD中的用户，而必须是SAP Identity Authentication中的本地用户。

有问题的SAP注释为2501986 https：//launchpad。 support.sap.com/#/notes/0002501986

SAP注释中的关键信息是：

"如果使用的是SAP Identity Authentication Service（IAS）租户作为平台身份提供者，则只能通过输入IAS租户的ID（PXXXXXX）或电子邮件向IAS租户中的用户进行身份验证。请选中SAP KBA 2752896以 确定正在使用的平台身份提供商。"

Lutz Rottmann ，

希望以上内容对您有用。 重点：

假设SubAccount平台IdP是SAP Cloud Identity身份验证租户：

1。 将您的管理员用户添加到SAP Identity Authentication并在此处设置其密码。 建议使用它一次登录到SAP Identity Authentication中以更改初始密码。

2。 将该用户作为管理员添加到具有上述身份验证租户作为IdP的SubAccount。 将用户添加到SubAccount时，请添加其" P" ID，当然，在将用户添加到SubAccount时，请确保"用户群"是您的身份验证租户。

3。 使用NEO Console客户端使用SAP Identity Authentication中的" P" ID（或电子邮件地址）和密码登录到SubAccount，它应该可以正常工作。

此致

布伦丹