您好 Dominik Spitzl ，

这里有一些选项。

但是首先，您需要了解身份验证在SCP上的工作方式。 在SAML 2.0身份验证（SCP支持的身份验证）的上下文中，SAP Cloud Platform将身份验证过程委托给称为IdP（身份提供程序）的身份。 因此，SCP没有用户持久性存储。 默认情况下，SCP预先配置了一个称为SAP ID Service的IdP。 此服务包含所有SAP S用户和P用户-因此，这就是您现在向S用户进行身份验证的原因。

1）您可以将IdP切换为公司IdP服务，例如 Microsoft ADFS-这是一个IdP解决方案，可连接到Microsoft AD系统以执行身份验证。

2）您可以以相同的方式将IdP切换到SCP-IAS并维护该系统中的用户。

3）您可以以相同的方式将IdP切换到SCP-IAS 但要使其连接到您的Microsoft AD系统（如果未安装ADFS）。 IAS将通过SAP Cloud Connector连接到您的AD，SAP Cloud Connector是在本地安装的系统，可在公司网络和SCP服务之间建立安全的隧道。

4）您可以将SAP ID Service保留为您的 IdP并在那里维护用户。

无论选择哪种选项，都必须在SCP和后端系统之间配置SSO。 这可以通过使用SAP Cloud Connector（SCC）来实现。 由于来自AD或SAP ID服务的用户通常与ABAP系统中的用户不同，因此，您必须配置主体传播才能在系统之间实现SSO。 可以将SCC配置为将SAML令牌重新传输到您的后端，也可以使它发出可以由ABAP系统读取的X.509证书。

自注册是IdP功能。 SAP ID Service已经提供了实现它的方法，但是您需要使用户成为帐户的成员才能允许访问您的应用程序。 IAS有其自己的方法来制作自定义自注册屏幕（我怀疑ADFS也具有此功能）。 您需要确保设置自动组映射（以便将角色自动分配给用户）。 可以通过Cloud Cockpit在IdP上进行配置。 您可以将LDAP的部分属性映射到分配了应用程序角色的SCP组。

希望此信息有助于您做出决定。

此致，
伊万