嗨，伊姆兰！

首先，请不要介意，但是这张图片确实令人困惑；-)描述和所示的auth-flow不匹配，但是我可以想象这是什么意思。 特别是，组件SAP SSO 3.0的表示表明它是一个"盒子"，事实并非如此。 它是由多个解决方案组件组成的套件。 SAP Identity Provider是其中的一部分。

除了SAP SSO 3.0之外，关于SAP身份管理领域中的其他组件（本地IDM和云IPS），由于总体原因，我还是建议在适当的研讨会上启动该项目 复杂。 由于您的要求可能无法涵盖您所有的具体技术要求，因此我只能猜测并希望我的解释有所帮助。

让我们开始。

要回答您的问题1：通常，无论在任何SP上运行，ADFS，SAP的IdP或任何其他IdP都可以始终用于任何SP。 这是SAML的基本原理，与IdP或SP的位置无关。 集成在自身网络或域（合作伙伴，Extranet，云），跨平台和跨域方案以及Identity Federation方案之外运行的Web服务，所有这些都可以通过SAP IdP实现。 在AS Java上运行的SAP IdP确实支持各种用户数据源，例如数据库，LDAP服务器和AS ABAP，基本上，UME允许您进行连接。 因此，您不必"存储"用户或在Box中隐式同步用户；-)而是通过LDAP将您的IdP直接连接到AD。 您也可以将SAP IDM连接到您的IdP，以供应帐户，例如 适用于外部，例如业务合作伙伴等。

由于IdP本身支持NetWeaver AS Java提供的身份验证方法，因此，企业用户在访问内部部署或云Web应用程序时都会体验到SSO。 在IdP上支持SPNEGO/Kerberos，X.509和其他机制进行初始用户身份验证。

BTW：对于问题2，几乎也可以使用IAS

问题2：场景1：该问题已经包含以下声明：应使用两个IdP（一个在云中，另一个在云中） 内部部署），至少看起来是这样。 无论何时何处，最常使用的SAML流是前端通道和SP启动的流。 用户在这里访问SP，然后转发到IdP。 决策（发现或选择正确的IdP）取决于并且可以不同地配置。 与身份验证方法相同，应该如何对外部或内部用户（在家工作）进行身份验证。 在这种情况下，您可以使用Cloud IdP（IAS），并且可以通过Cloud Connector将其连接到本地用户存储（AD）。 基于访问策略的IP范围，时间，角色成员资格等也是可能的。

方案2：同样，为什么要使用IAS和本地IdP？ 变得没有意义。 在这种情况下，请使用IAS或本地IdP。 流程是相同的，但是与方案1相比，身份验证通常是透明的（从SSO到IdP）。

SAP提供了两种产品SAP Single Sign-On和SAP Cloud Platform Identity Authentication。 两者可以结合。 在这种情况下，建议对浏览器应用程序，内部部署和云使用SAP Cloud Platform身份验证，对于内部部署的桌面客户端使用带有X.509证书或Kerberos的SAP Single Sign-On（当然也要支持 非Web应用程序（例如SAP GUI等）。要从本地桌面访问云服务，请使用Kerberos或X.509证书将身份验证自动进行到SAP Cloud Platform Identity Authentication。

欢呼声

Carsten

谢谢Carsten的详细解释，非常感谢。

我同意，图中的身份验证流程并不完全正确：-)。 我只是说明了高级图，以显示该项目范围内的SAP组件。

根据建议，我将在项目进行期间设置适当的车间，以最终确定具有适当流程和组件的解决方案。

再次感谢！