安德烈斯，你好

在SCP中，所有身份验证都委派给所谓的IdP（身份提供者）。 该系统将代表SCP执行身份验证，并将返回包含有关用户详细信息的SAML声明票证。 一旦通过身份验证，SCP将检查该用户是否被授权使用正在调用的资源。

这就是SCP具有成员概念的原因。 成员不是用户对象。 除了用户ID外，它们不包含密码或任何其他信息。

假设您是SCP帐户的成员，但您在座舱上没有任何管理权限。 您也许可以加载座舱的初始页面，但无权访问其任何资源。

SCP附带将SAP的身份服务配置为用户持久性存储。 因此，当您尝试登录时，SCP将加载SAP ID Service进行身份验证。 您可以通过驾驶舱上的"信任"菜单更改该初始配置，以便可以针对其他IdP进行身份验证。 假设您拥有公司的LDAP服务，并且已经为其配置了IdP服务，例如Shibboleth或ADFS。 在这种情况下，您只需在SCP的驾驶舱内注册公司IDP，就可以使用公司ID和密码进行登录。

SAP还为您提供了自己的IaP作为SaaS以供企业使用，称为 SAP Cloud 身份认证服务能够通过SAP Cloud Connector将SCP连接到您的本地LDAP服务器-以及其他有用的功能，例如为不想将企业用户与云用户混在一起的公司管理用户身份。

此设置的另一方面是，您可以将用户身份传递给后端-称为主体传播。 这样，在SCP上运行的应用程序可能会通过SAP Cloud Connector在本地SAP-Gateway系统中使用REST服务。 如果配置为"主体传播"，则此消耗将确保将来自SCP的用户ID发送为SAP Gateway系统的身份验证手段。

所以回到您最初的问题描述：" 我的实际问题是我们需要查看SCP中的用户是否存在于后端系统中"。 考虑到以上所有情况，如果启用"主体传播"，则不必担心用户是否在驾驶舱中注册。 我并不是说这是一个非常简单的配置-正如您所说的，首先需要理解许多安全概念。

因此，您可能必须首先选择希望人们如何登录SCP应用程序以及应如何调用（经过身份验证的）本地系统的服务。 您可能还需要弄清楚如何完全管理用户。 有些人可能更喜欢在云中拥有不同的用户/密码，但希望能够将这些用户映射到后端用户-这也是可能的。

一旦拥有所有特权，您可能需要订阅其他服务，安装其他服务或简单地配置已经拥有的服务。

顺便说一句：oAuth是委托身份验证的另一种方法。 因此，您可以将应用程序配置为登录过程基于社交网络登录（例如Twitter或Facebook）。 您可以在SAP Community Network上看到这样的设置。 一旦授权Likedin上的SCN代表您共享，您只需单击Linkedin按钮，然后单击Share-不执行登录。 这是oAuth，SCP对此提供了支持，因此您可以开发应用程序以使用这种委托。

致谢，
Ivan

非常感谢您的解释

我认为身份验证和授权是理解和认证的基本概念之一 正确实施我建议您聘请经验丰富的顾问，以帮助您和您的团队理解它。 关于如何确保后端中也存在所有SCP用户的问题，您可以使用 SAP Cloud Platform身份配置服务方案。

谢谢格雷戈尔，我想您的答案是 很有用。