SAP BTP 内の XSUAA サービスでは、ユーザ、アイデンティティプロバイダ、およびアプリケーションまたはサービス間の権限フローが処理されます。XSUAA サービスは、SAP BTP 専用の SAP からの内部開発です。Cloud Foundry プロジェクトには、UAA と呼ばれるオープンソースコンポーネントがあります。UAA は、認証および権限を処理する OAuth プロバイダです。SAP は UAA のベースを使用し、SAP BTP で使用される SAP 固有の機能で拡張しました。
XSUAA サービスにより、SAP BTP, Cloud Foundry での認証および権限が処理され、ビジネスロールを介してビジネスユーザに権限が付与されます。XSUAA サービスでは、ユーザデータまたはユーザレコードは保存されません。XSUAA サービスには、アイデンティティプロバイダへの認証済接続が必要です。これは、SAP ID Service、または SAP BTP に統合された別のコーポレートアイデンティティプロバイダです。これは、SAP Cloud Identity Services - Identity Authentication Service (IAS) を介して行うことができます。
XSUAA サービスは、ビジネスユーザ認証および権限のために、SAP BTP における Cloud Foundry 環境の中心的なインフラストラクチャコンポーネントとして機能します。SAP では、サービスブローカ、マルチテナンシー、管理 API 機能、およびいくつかの軽微な拡張を追加することで Cloud Foundry UAA を拡張しました。XSUAA は OAuth を使用して複数のサービス間の認証を行い、をアイデンティティプロバイダに接続します。
OAuth は、アプリケーションおよび Web サイトで権限を処理するためのオープン標準です。OAuth はパスワードデータを共有しませんが、代わりに認可トークンを使用してコンシューマとサービスプロバイダ間の ID を証明します。これは、パスワードを提供することなく、代理で相互に対話する 1 つのアプリケーションを承認できる認証プロトコルです。OAuth から使用されるトークンは、JWT トークンと呼ばれます。JWT ("jot" と発音される) は、パーティ間で情報を安全に送信するためのコンパクトで自己完結型の方法を定義するオープン標準です。JWT は、ユーザ情報およびアクセス権を安全に送信するために OAuth で広く使用されています。