用 SAML 保护 Web 应用的 ABAP 端落地方法，从信任关系到 SICF 策略绑定

在一个典型的 SAP Fiori 或 SAP Gateway 项目里，SAML 2.0并不是配置完Service Provider和Identity Provider信任关系就结束了。信任关系解决的是一个更底层的问题，ABAP 系统是否认可某个外部身份提供者签发的断言，是否能识别断言里的用户身份，是否能把外部身份映射到本地用户。可真正进入业务系统时，还会碰到另一个问题，哪些ICF服务需要走SAML，哪些资源可以沿用其他登录方式，哪些敏感应用必须强制重新认证，哪些移动端或集成端访问又不能弹出交互式登录页面。

这就是Protecting Web Applications with SAML这一块配置真正要解决的内容。它不是在重新建立信任，而是在已经完成SAML Service Provider和可信Identity Provider配置之后，把一批 Web 资源放到一套可维护、可复用、可调整的安全策略之下。SAP 官方说明里也明确提到，配置完SAML 2.0 Service Provider对Identity Provider的信任之后，就可以指定哪些资源由SAML 2.0保护，并设置超出信任关系本身的自定义要求。(