Integrace jednotného přihlašování (SSO) Microsoft Entra se SAP NetWeaverem

V tomto článku se dozvíte, jak integrovat SAP NetWeaver s Microsoft Entra ID. Když integrujete SAP NetWeaver s Microsoft Entra ID, můžete:

• Kontrola v Microsoft Entra ID, kdo má přístup k SAP NetWeaver.
• Povolte uživatelům, aby se k SAP NetWeaveru automaticky přihlásili pomocí svých účtů Microsoft Entra.
• Spravujte účty v jednom centrálním umístění.

Požadavky

Scénář popsaný v tomto článku předpokládá, že již máte následující požadavky:

• Uživatelský účet Microsoft Entra s aktivním předplatným. Pokud ho ještě nemáte, můžete si vytvořit účet zdarma.
• Jedna z následujících rolí:
  • správce aplikace
  • správce cloudových aplikací
  • vlastník aplikace.

• Předplatné SAP NetWeaver s povoleným jednotným přihlašováním (SSO)
• SAP NetWeaver V7.20 nebo novější

Popis scénáře

• SAP NetWeaver podporuje SAML (jednotné přihlašování (SSO) iniciované poskytovatelem služby) i OAuth. V tomto článku nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

Přidání SAP NetWeaveru z galerie

Pokud chcete nakonfigurovat integraci SAP NetWeaveru do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat SAP NetWeaver z galerie.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
2. Přejděte k IdentitaAplikacePodnikové aplikaceNová aplikace.
3. V části Přidat z galerie zadejte do vyhledávacího pole SAP NetWeaver.
4. Na panelu výsledků vyberte SAP NetWeaver a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro SAP NetWeaver

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s SAP NetWeaver pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v SAP NetWeaver.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s SAP NetWeaverem, proveďte následující kroky:

1. Nakonfigurujte jednotné přihlašování Microsoft Entra tak, aby uživatelé mohli tuto funkci používat.
   1. Vytvoření testovacího uživatele Microsoft Entra k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
   2. přiřadit testovacího uživatele Microsoft Entra, aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
2. Nakonfigurujte SAP NetWeaver pomocí SAML a nakonfigurujte nastavení jednotného přihlašování na straně aplikace.
   1. Vytvořte testovacího uživatele SAP NetWeaver, který bude mít v SAP NetWeaveru jako protějšek uživatele B.Simona, propojeného s Microsoft Entra.
3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.
4. Nakonfigurujte SAP NetWeaver pro OAuth tak, aby na straně aplikace nakonfigurovali nastavení OAuth.
5. Vyžádání přístupového tokenu ze služby Azure AD pro použití Azure AD jako zprostředkovatele identity (IDP).

Konfigurace jednotného přihlašování Microsoft Entra

V této části povolíte jednotné přihlašování Microsoft Entra.

Pokud chcete nakonfigurovat jednotné přihlašování Microsoft Entra pomocí SAP NetWeaveru, proveďte následující kroky:

1. Otevřete nové okno webového prohlížeče a přihlaste se k firemnímu webu SAP NetWeaver jako správce.

2. Ujistěte se, že jsou v kódu SMICM T-Code aktivní služby HTTP a https a že jsou přiřazeny příslušné porty.

3. Přihlaste se k obchodnímu klientovi systému SAP (T01), kde je vyžadováno jednotné přihlašování (SSO), a aktivujte správu relací zabezpečení HTTP.

   1. Přejděte na kód transakce SICF_SESSIONS. Zobrazí všechny relevantní parametry profilu s aktuálními hodnotami. Vypadají takto:-

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0 
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Poznámka:

      Upravte výše uvedené parametry podle požadavků vaší organizace, výše uvedené parametry jsou zde uvedeny pouze jako indikace.

   2. V případě potřeby upravte parametry v profilu instance nebo výchozího profilu systému SAP a restartujte systém SAP.

   3. Poklikáním na příslušného klienta aktivujete relaci zabezpečení HTTP.

      

   4. Aktivace následujících služeb SICF:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Přejděte na transakční kód SAML2 v obchodním klientovi systému SAP [T01/122]. Otevře se uživatelské rozhraní v prohlížeči. V tomto příkladu jsme předpokládali číslo 122 jako obchodního klienta SAP.

   

5. Zadejte uživatelské jméno a heslo pro přístup k uživatelskému rozhraní a klikněte na Upravit.

   

6. Nahraďte zprostředkovatele název od T01122 na http://T01122 a klikněte na Uložit.

   Poznámka:

   Ve výchozím nastavení je název poskytovatele uveden ve formátu <sid><client>, ale Microsoft Entra ID očekává název ve formátu <protocol>://<name>. Doporučuje se proto zachovat název poskytovatele ve formátu https://<sid><client> pro umožnění konfigurace více modulů SAP NetWeaver ABAP v Microsoft Entra ID.

   

7. Generování metadat zprostředkovatele služeb: Jakmile dokončíme konfiguraci nastavení místního zprostředkovatele a důvěryhodného zprostředkovatele v uživatelském rozhraní SAML 2.0, dalším krokem bude vygenerovat soubor metadat poskytovatele služeb (který bude obsahovat všechna nastavení, kontexty ověřování a další konfigurace v SAP). Po vygenerování tohoto souboru tento soubor nahrajte do Microsoft Entra ID.

   

   1. Přejděte na kartu Místní zprostředkovatel.

   2. Klikněte na Metadata.

   3. Uložte vygenerovaný soubor XML metadat do počítače a nahrajte ho v části Základní konfigurace SAML, aby se automaticky vyplní hodnoty identifikátorua adresy URL odpovědi na webu Azure Portal.

Podle těchto kroků povolíte jednotné přihlašování Microsoft Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte na aplikace Identity>Podnikové aplikace>SAP NetWeaver>stránku integrace aplikací, vyhledejte oddíl Správa a vyberte Jednotné přihlašování.

3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

4. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

   

5. Pokud chcete nakonfigurovat aplikaci v režimu iniciovaném protokolem IDP, v části Základní konfigurace SAML proveďte následující krok:

   1. Kliknutím na Nahrát soubor metadat nahrajete soubor metadat zprostředkovatele služeb, který jste získali dříve.

   2. Kliknutím na logo složky vyberte soubor metadat a klikněte na Nahrát.

   3. Po úspěšném nahrání souboru metadat se hodnoty identifikátoru a adresy URL odpovědi automaticky vyplní do textového pole základní konfigurace SAML, jak je znázorněno níže:

   4. Do textového pole Přihlašovací adresa URL zadejte adresu URL pomocí následujícího vzoru: https://<your company instance of SAP NetWeaver>

   Poznámka:

   Někteří zákazníci narazili na chybu nesprávné adresy URL odpovědi nakonfigurované pro svou instanci. Pokud se zobrazí nějaká taková chyba, použijte tyto příkazy PowerShellu. Nejprve aktualizujte adresu URL odpovědi v objektu aplikace, pak aktualizujte služební principál. K získání hodnoty ID Service Principal použijte Get-MgServicePrincipal.

   $params = @{
      web = @{
         redirectUris = "<Your Correct Reply URL>"
      }
   }
   Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
   Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
   

6. Aplikace SAP NetWeaver očekává SAML tvrzení v určitém formátu, což vyžaduje přidání vlastních mapování atributů v konfiguraci atributů SAML tokenu. Následující snímek obrazovky ukazuje seznam výchozích atributů. Kliknutím na ikonu Upravit otevřete dialogové okno Atributy uživatele.

   

7. V části Deklarace identity uživatele v dialogovém okně Atributy uživatele nakonfigurujte atribut tokenu SAML, jak je znázorněno na obrázku výše, a proveďte následující kroky:

   1. Kliknutím na ikonu Upravit otevřete dialogové okno Spravovat požadavky uživatelů.

      

      

   2. V seznamu transformace vyberte ExtractMailPrefix().

   3. V seznamu Parametr 1 vyberte user.userprincipalname.

   4. Klikněte na Uložit.

8. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte XML federačních metadat a vyberte stáhnout certifikát a uložit ho do počítače.

   

9. V části Nastavení SAP NetWeaver zkopírujte odpovídající adresy URL podle vašeho požadavku.

   

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele S názvem B.Simon.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
4. Ve vlastnostech uživatele postupujte takto:
   1. Do pole Zobrazovaný název zadejte B.Simon.
   2. V poli Uživatelské hlavní jméno zadejte username@companydomain.extension. Například B.Simon@contoso.com.
   3. Zaškrtněte políčko Zobrazit heslo a poznamenejte si hodnotu zobrazenou v poli Heslo.
   4. Vyberte Zkontrolovat a vytvořit.
5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k Salesforce.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
2. Přejděte na Identity>Aplikace>Podnikové aplikace. Ze seznamu aplikací vyberte aplikaci.
3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
4. Vyberte Přidat uživatele nebo skupiny, a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
   1. V dialogovém okně Uživatelé a skupiny vyberte v seznamu Uživatelé B.Simon a pak v dolní části obrazovky vyberte tlačítko Vybrat.
   2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli. Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
   3. V dialogovém okně Přidat úkol vyberte tlačítko Přiřadit.

Konfigurace SAP NetWeaveru pomocí SAML

1. Přihlaste se k systému SAP a přejděte na kód transakce SAML2. Otevře se nové okno prohlížeče s konfigurační obrazovkou SAML.

2. Pokud chcete konfigurovat koncové body pro důvěryhodného zprostředkovatele identity (Microsoft Entra ID), přejděte na kartu Důvěryhodné zprostředkovatele .

   

3. V místní nabídce stiskněte Přidat a vyberte Nahrát soubor metadat.

   

4. Nahrajte soubor metadat, který jste stáhli.

   

5. Na další obrazovce zadejte název aliasu. Zadejte například aadstsa pokračujte stisknutím klávesy Další .

   

6. Ujistěte se, že algoritmus digest by měl být SHA-256 a nevyžaduje žádné změny a stiskněte klávesu Další.

   

7. V koncových bodech jednotného přihlašování použijte HTTP POST a pokračujte kliknutím na tlačítko Další .

   

8. Na Koncové body pro jediné odhlášení vyberte HTTPRedirect a klikněte na Další pro pokračování.

   

9. V koncových bodech artefaktů pokračujte stisknutím klávesy Další.

   

10. V poli Požadavky na ověření klikněte na Dokončit.

    

11. Přejděte na kartu Důvěryhodný poskytovatel>Federace identit (ze spodní části obrazovky). Klikněte na možnost Upravit.

    

12. Klikněte na Přidat pod kartou Federace identit (dolní okno).

    

13. V automaticky otevíracím okně vyberte Nezadaná z podporovaných formátů NameID a klikněte na OK.

    

14. Zadejte hodnotu Zdroj ID uživatele jako Atribut prohlášení, Režim mapování ID uživatele jako E-mail a Název atributu prohlášení jako http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    

15. Všimněte si, že hodnoty zdroje ID uživatele a režimu mapování ID uživatele určují propojení mezi uživatelem SAP a nárokem v Microsoft Entra.

Scénář: Mapování uživatelů SAP na Microsoft Entra

1. Snímek obrazovky s podrobnostmi NameID ze SAP.

   

2. Snímek obrazovky zmiňující požadovaná prohlášení z Microsoft Entra ID.

   

   Scénář: Vyberte ID uživatele SAP na základě nakonfigurované e-mailové adresy v SU01. V takovém případě by mělo být ID e-mailu nakonfigurované v su01 pro každého uživatele, který vyžaduje jednotné přihlašování.

   1. Snímek obrazovky s podrobnostmi NameID ze SAP

      

   2. Snímek obrazovky uvádějící požadované nároky z Microsoft Entra ID.

   

3. Klepněte na tlačítko Uložit a potom klepněte na Povolit pro povolení zprostředkovatele identity.

   

4. Po zobrazení výzvy klikněte na OK .

   

Vytvoření testovacího uživatele SAP NetWeaver

V této části vytvoříte uživatele B.simon v SAP NetWeaver. Obraťte se prosím na tým odborníků na SAP nebo spolupracujte s partnerem SAP vaší organizace a přidejte uživatele na platformě SAP NetWeaver.

Testování SSO

1. Po aktivaci zprostředkovatele identity Microsoft Entra ID zkuste získat přístup k následující adrese URL a zkontrolujte jednotné přihlašování a ujistěte se, že se nezobrazí výzva k zadání uživatelského jména a hesla.

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   (nebo) použijte následující adresu URL.

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   Poznámka:

   Nahraďte sapurl skutečným názvem hostitele SAP.

2. Výše uvedená adresa URL by vás měla dostat na níže uvedenou obrazovku. Pokud se vám podaří otevřít následující stránku, nastavení jednotného přihlašování Microsoft Entra bylo úspěšně dokončeno.

   

3. Pokud se zobrazí výzva k zadání uživatelského jména a hesla, můžete problém diagnostikovat povolením trasování pomocí adresy URL:

   https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Konfigurace SAP NetWeaveru pro OAuth

1. Dokumentovaný proces SAP je k dispozici na místě: Vytvoření oboru OAuth 2.0 a povolení služby brány NetWeaver

2. Přejděte na SPRO a vyhledejte služby Activate and Maintain.

   

3. V tomto příkladu chceme připojit službu OData: DAAG_MNGGRP pomocí OAuth k jednotnému přihlašování Microsoft Entra. Použijte vyhledávání názvu technické služby pro službu DAAG_MNGGRP a aktivujte, pokud ještě není aktivní (vyhledejte green stav na kartě uzly ICF). Ujistěte se, jestli je správný systémový alias (připojený back-endový systém, ve kterém je služba skutečně spuštěná).

   

   • Potom klikněte na tlačítko OAuth na horním panelu tlačítek a přiřaďte scope (ponechte výchozí název podle nabídky).

4. V našem příkladu je DAAG_MNGGRP_001 obor. Vygeneruje se z názvu služby tím, že automaticky přidá číslo. Sestavu /IWFND/R_OAUTH_SCOPES můžete použít ke změně názvu oboru nebo k ručnímu vytvoření nového záznamu.

   

   Poznámka:

   Zpráva soft state status is not supported – lze ignorovat, protože žádný problém.

Vytvoření uživatele služby pro klienta OAuth 2.0

1. OAuth2 používá service ID k získání přístupového tokenu pro koncového uživatele. Důležité omezení návrhu OAuth: OAuth 2.0 Client ID Musí být stejné jako username u klienta OAuth 2.0, který používá pro přihlášení při vyžádání přístupového tokenu. Proto v našem příkladu zaregistrujeme klienta OAuth 2.0 s názvem CLIENT1. Předpokladem je, že uživatel se stejným názvem (CLIENT1) musí existovat v systému SAP a tento uživatel nakonfigurujeme tak, aby ho používala uvedená aplikace.

2. Při registraci klienta OAuth používáme SAML Bearer Grant type.

   Poznámka:

   Další podrobnosti najdete v tématu Registrace klienta OAuth 2.0 pro typ udělení SAML nositele zde.

3. Spuštěním T-Code SU01 vytvořte uživatele CLIENT1 a přiřaďte heslo System type. Uložte heslo, protože budete muset zadat přihlašovací údaje programátorovi rozhraní API, který by ho měl uložit s uživatelským jménem do volajícího kódu. Neměl by být přiřazen žádný profil ani role.

Registrace nového ID klienta OAuth 2.0 pomocí průvodce vytvořením

1. Registrace nového klienta OAuth 2.0 spuštění transakce SOAUTH2. Transakce zobrazí přehled o již zaregistrovaných klientech OAuth 2.0. Zvolte Vytvořit a spusťte průvodce pro nového klienta OAuth s názvem CLIENT1 v tomto příkladu.

2. Přejděte na T-Code: SOAUTH2 a zadejte popis a klikněte na další.

   

   

3. Vyberte již přidaný SAML2 IdP – Microsoft Entra ID z rozevíracího seznamu a uložte.

   

   

   

4. Kliknutím na Přidat pod přiřazení oboru přidejte dříve vytvořený obor: DAAG_MNGGRP_001

   

   

5. Klikněte na dokončit.

Vyžádání přístupového tokenu z Azure AD

Pokud chcete požádat o přístupový token ze systému SAP pomocí Azure Active Directory (Azure AD) jako zprostředkovatele identity (IDP), postupujte takto:

Krok 1: Registrace aplikace v Azure AD

1. Přihlaste se k webu Azure Portal: Přejděte na web Azure Portal na portal.azure.com.
2. Registrace nové aplikace:
   • Přejděte na Azure Active Directory.
   • Vyberte "Registrace aplikací" > "Nová registrace".
   • Vyplňte podrobnosti o aplikaci, jako je jméno, přesměrovací URI atd.
   • Klikněte na Zaregistrovat.
3. Konfigurace oprávnění rozhraní API:
   • Po registraci přejděte na oprávnění rozhraní API.
   • Klikněte na "Přidat oprávnění" a vyberte "Rozhraní API, která moje organizace používá".
   • Vyhledejte systém SAP nebo relevantní rozhraní API a přidejte potřebná oprávnění.
   • Udělte správci souhlas s oprávněními.

Krok 2: Vytvoření tajného klíče klienta

1. Přejděte do registrované aplikace: Přejděte na Certifikáty a tajné kódy.
2. Vytvořte nový tajný klíč klienta:
   • Klikněte na Nový tajný klíč klienta.
   • Zadejte popis a nastavte období vypršení platnosti.
   • Klikněte na Přidat a poznamenejte si hodnotu tajného klíče klienta, protože bude potřeba k ověření.

Krok 3: Konfigurace systému SAP pro integraci Azure AD

1. Přístup na SAP Cloud Platform: Přihlaste se ke svému SAP Cloud Platform Cockpitu.
2. Nastavení konfigurace důvěryhodnosti:
   • Přejděte na Security (Zabezpečení) > "Trust Configuration" (Konfigurace důvěryhodnosti).
   • Přidejte Azure AD jako důvěryhodného zprostředkovatele identity importováním XML federačních metadat z Azure AD. Najdete ho v části Koncové body registrace aplikace Azure AD (v části Dokument federačních metadat).
3. Konfigurace klienta OAuth2:
   • V systému SAP nakonfigurujte klienta OAuth2 pomocí ID klienta a tajného klíče klienta získaného z Azure AD.
   • Nastavte koncový bod tokenu a další relevantní parametry OAuth2.

Krok 4: Vyžádání přístupového tokenu

1. Připravte žádost o token:

   • Pomocí následujících podrobností vytvořte žádost o token:
     • Koncový bod tokenu: Obvykle se jedná o https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token.
     • ID klienta: ID aplikace (klienta) z Azure AD.
     • Tajný klíč klienta: Hodnota tajného klíče klienta z Azure AD.
     • Obor: Požadované obory (např https://your-sap-system.com/.default. ).
     • Typ udělení přístupu: Použijte client_credentials pro ověření mezi servery.

2. Proveďte požadavek na token:

   • K odeslání požadavku POST do koncového bodu tokenu použijte nástroj, jako je Postman nebo skript.
   • Příklad požadavku (v cURL):

     curl -X POST \
       https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token \
       -H 'Content-Type: application/x-www-form-urlencoded' \
       -d 'client_id={client_id}&scope=https://your-sap-system.com/.default&client_secret={client_secret}&grant_type=client_credentials'
     

3. Extrahujte přístupový token:

   • Pokud je požadavek úspěšný, odpověď bude obsahovat přístupový token. Tento přístupový token použijte k ověřování požadavků rozhraní API v systému SAP.

Krok 5: Použití přístupového tokenu pro požadavky rozhraní API

1. Zahrňte přístupový token do požadavků rozhraní API:
   • Pro každý požadavek na systém SAP zahrňte do hlavičky Authorization přístupový token.
   • Příklad záhlaví:

     Authorization: Bearer {access_token}
     

Související obsah

• Nakonfigurujte Microsoft Entra SAP NetWeaver tak, aby vynucovalo řízení relací, které v reálném čase chrání citlivá data vaší organizace před exfiltrací a infiltrací. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.
• Nakonfigurujte propagaci identity SAP (OAuth2) pomocí Azure API Management pro řízení a zabezpečení přístupu k systémům SAP z klientských aplikací v Azure, Power Platform, Microsoft 365 a dalších. Přečtěte si více o šíření principů SAP pomocí Azure API Management.