Megosztás a következőn keresztül:

Microsoft Entra egyszeri bejelentkezés (SSO) integrációja az SAP Fiorival

  • Cikk

Ebből a cikkből megtudhatja, hogyan integrálhatja az SAP Fiorit a Microsoft Entra ID-val. Ha integrálja az SAP Fiori-t a Microsoft Entra ID-val, az alábbiakat teheti:

  • Az SAP Fiorihoz való hozzáférést a Microsoft Entra ID-ben vezérelheti.
  • Lehetővé teszi, hogy a felhasználók automatikusan bejelentkezhessenek az SAP Fioriba a Microsoft Entra-fiókjukkal.
  • A fiókokat egy központi helyen kezelheti.

Előfeltételek

A cikkben ismertetett forgatókönyv feltételezi, hogy már rendelkezik a következő előfeltételekkel:

  • SAP Fiori egyszeri bejelentkezésre (SSO) engedélyezett előfizetés.

Forgatókönyv leírása

Ebben a cikkben a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.

  • Az SAP Fiori támogatja a SP által kezdeményezett egyszeri bejelentkezést.

Jegyzet

Az SAP Fiori által kezdeményezett iFrame-hitelesítéshez javasoljuk, hogy a csendes hitelesítéshez használja az IsPassive paramétert az SAML AuthnRequestben. Az IsPassive paraméter további részleteiért tekintse meg Microsoft Entra SAML egyszeri bejelentkezési információkat.

Az SAP Fiori Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az SAP Fiorit a katalógusból a felügyelt SaaS-alkalmazások listájához.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Keresse meg Identity>Alkalmazások>Vállalati alkalmazásokat>Új alkalmazás.
  3. A Hozzáadás a galériából szakaszban írja be SAP Fiori a keresőmezőbe.
  4. Válassza SAP Fiori a találatok panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként a Vállalati alkalmazáskonfigurációs varázslót is használhatja. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése az SAP Fiorihoz

Konfigurálja és tesztelje a Microsoft Entra SSO-t az SAP Fiorival egy B.Simonnevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az SAP Fioriban.

A Microsoft Entra SSO SAP Fiorival való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:

  1. A Microsoft Entra SSO konfigurálása – hogy a felhasználók számára elérhetővé váljon a funkció használata.
    1. Microsoft Entra tesztfelhasználói létrehozása – a Microsoft Entra egyszeri bejelentkezésének tesztelése B.Simonnal.
    2. A Microsoft Entra tesztfelhasználói hozzárendelése – lehetővé teszi, hogy B.Simon a Microsoft Entra egyszeri bejelentkezését használja.
  2. SAP Fiori SSO konfigurálása – az egyszeri bejelentkezési beállítások alkalmazásoldali konfigurálásához.
    1. SAP Fiori tesztfelhasználó létrehozása – a B.Simon SAP Fiori-beli megfelelője, amely kapcsolódik a felhasználó Microsoft Entra-reprezentációjához.
  3. SSO- tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

  1. Nyisson meg egy új webböngészőablakot, és jelentkezzen be rendszergazdaként az SAP Fiori vállalati webhelyére.

  2. Győződjön meg arról, hogy http és https-szolgáltatások aktívak, és hogy a megfelelő portok hozzá vannak rendelve a tranzakciókódhoz SMICM.

  3. Jelentkezzen be az SAP Business Client for SAP-rendszerbe T01, ahol egyszeri bejelentkezésre van szükség. Ezután aktiválja a HTTP biztonsági munkamenet-kezelést.

    1. Nyissa meg a tranzakciókódot SICF_SESSIONS. Az aktuális értékekkel rendelkező összes releváns profilparaméter megjelenik. A következő példához hasonlóan néznek ki:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Jegyzet

      Módosítsa a paramétereket a szervezeti követelményeknek megfelelően. Az előző paraméterek csak példaként vannak megadva.

    2. Szükség esetén módosítsa az SAP-rendszer példányprofiljának paramétereit, és indítsa újra az SAP-rendszert.

    3. A HTTP-biztonsági munkamenet engedélyezéséhez kattintson duplán a megfelelő ügyfélre.

      Az SAP-ben a releváns profilparaméterek aktuális értékeinek oldala

    4. Aktiválja a következő SICF-szolgáltatásokat:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Lépjen SAML2 tranzakciókódhoz az SAP-rendszer üzleti ügyfélalkalmazásában [T01/122]. A konfigurációs felhasználói felület egy új böngészőablakban nyílik meg. Ebben a példában a Business Clientt használjuk az SAP 122-hez.

    AZ SAP Fiori Business Client bejelentkezési oldalának

  5. Adja meg a felhasználónevet és a jelszót, majd válassza a Bejelentkezéslehetőséget.

    Az ABAP rendszer T01/122 SAML 2.0 konfigurációs oldala az SAP

  6. A Szolgáltató neve mezőben cserélje le T01122http://T01122, majd válassza a Mentéslehetőséget.

    Jegyzet

    Alapértelmezés szerint a szolgáltató neve <sid><ügyfél>formátumban van. A Microsoft Entra ID a nevet a <protokoll>://<név>formátumban várja. Javasoljuk, hogy a szolgáltató nevét hagyja meg https://<sid><client> formában, így több SAP Fiori ABAP-motort tud konfigurálni a Microsoft Entra ID-ban.

    A frissített szolgáltató neve az SAP ABAP rendszer T01/122 oldalának SAML 2.0 konfigurációjában

  7. Válassza a Helyi szolgáltató fül>Metaadatoklehetőséget.

  8. Az SAML 2.0 Metaadatok párbeszédpanelen töltse le a létrehozott metaadat-XML-fájlt, és mentse a számítógépre.

    A Metaadatok letöltése hivatkozás az SAP SAML 2.0 Metaadatok párbeszédpanelen

  9. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább egy felhőalkalmazás-rendszergazdaként.

  10. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>AZ SAP Fiori>Egyszeri bejelentkezés.

  11. A Egyetlen bejelentkezési módszer kiválasztása lapon válassza SAMLlehetőséget.

  12. Az Egyszeri bejelentkezés beállítása SAML- lapon kattintson az Alapvető SAML-konfiguráció ceruza ikonra a beállítások szerkesztéséhez.

    Egyszerű SAML-konfiguráció szerkesztése

  13. Az Alapvető SAML konfiguráció szakaszban, ha van a szolgáltatói metaadatfájl, hajtsa végre a következő lépéseket:

    1. Kattintson Metaadatfájl feltöltéseelemre.

      Metaadatfájl feltöltése

    2. Kattintson mappa emblémájára a metaadatfájl kiválasztásához, majd a Feltöltésgombra.

      metaadatfájl kiválasztása

    3. A metaadatfájl sikeres feltöltése után a Azonosító és Válasz URL-cím értékek automatikusan feltöltődnek az Egyszerű SAML-konfiguráció panelen. A Bejelentkezés URL-cím mezőbe írjon be egy URL-címet, amely a következő mintával rendelkezik: https://<your company instance of SAP Fiori>.

      Jegyzet

      Egyes ügyfelek olyan hibát tapasztaltak, hogy helytelen válasz URL-cím lett konfigurálva a példányukhoz. Ha ilyen hibaüzenetet kap, használja ezeket a PowerShell-parancsokat. Először frissítse az alkalmazásobjektum válasz URL-címét a Válasz URL-címmel, majd frissítse a szolgáltatásnevet. A Get-MgServicePrincipal használatával kérje le a szolgáltatásnév azonosítójának értékét.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. Az SAP Fiori alkalmazás elvárja, hogy az SAML-állítások egy adott formátumban legyenek. Állítsa be az alábbi igényeket ehhez az alkalmazáshoz. Az attribútumértékek kezeléséhez az Egyszeri Sign-On beállítása SAML panelen válassza a Szerkesztéslehetőséget.

    Felhasználói attribútumok panel

  15. A Felhasználói attribútumok & Jogcímek panelen konfigurálja az SAML-jogkivonat attribútumait az előző képen látható módon. Ezután hajtsa végre a következő lépéseket:

    1. Válassza a Szerkesztés lehetőséget a Felhasználói igények kezelése panel megnyitásához.

    2. Az átalakítási listában válassza az ExtractMailPrefix()lehetőséget.

    3. Az 1. paraméter listájából válassza ki a user.userprincipalname-t.

    4. Válassza Mentéslehetőséget.

      Felhasználói jogcímek kezelése panel

      A felhasználói jogcímek kezelése panel Átalakítási szakasza

  16. Az Egyszeri bejelentkezés beállítása SAML lapon, az SAML aláíró tanúsítvány szakaszban keresse meg összevonási metaadatok XML-, majd válassza a Letöltés lehetőséget a tanúsítvány letöltéséhez és a számítógépre való mentéséhez.

    A tanúsítvány letöltési hivatkozása

  17. A SAP Fiori beállítása szakaszban másolja ki a megfelelő URL-cím(ek)et a követelmény alapján.

    Konfigurációs URL-címek másolása

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba, legalább felhasználói rendszergazdaként.
  2. Böngésszen az Identitás>Felhasználók>Minden felhasználómenübe.
  3. Válassza Új felhasználó>Új felhasználó létrehozásalehetőséget a képernyő tetején.
  4. A Felhasználói tulajdonságai között kövesse az alábbi lépéseket:
    1. A Megjelenítendő név mezőben adja meg a B.Simon.
    2. A Felhasználói azonosító név mezőbe írja be a username@companydomain.extension. Például B.Simon@contoso.com.
    3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
    4. Válassza Véleményezés + létrehozáslehetőséget.
  5. Válassza , hozzon létre.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon az SAP Fiorihoz való hozzáférés biztosításával.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba, mint legalább egy Felhőalkalmazások rendszergazdája.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>SAP Fiori.
  3. Az alkalmazás áttekintő lapján válassza Felhasználók és csoportoklehetőséget.
  4. Válassza a Felhasználó/csoport hozzáadásalehetőséget, majd válassza Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
    1. A Felhasználók és csoportok párbeszédpanelen válassza B.Simon a Felhasználók listából, majd kattintson a képernyő alján található Kijelölés gombra.
    2. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
    3. A Feladat hozzáadása párbeszédpanelen kattintson a Hozzárendelés gombra.

SAP Fiori SSO konfigurálása

  1. Jelentkezzen be az SAP-rendszerbe, és lépjen SAML2tranzakciókódra. Megnyílik egy új böngészőablak az SAML konfigurációs oldalával.

  2. A megbízható identitásszolgáltató (Microsoft Entra ID) végpontjainak konfigurálásához válassza a Megbízható szolgáltatók lapot.

    Az SAP Megbízható szolgáltatók lapja

  3. Válassza a hozzáadásalehetőséget, majd a helyi menüben válassza a Metaadatfájl feltöltése lehetőséget.

    Metaadatok hozzáadása és feltöltése fájlbeállítások az SAP

  4. Töltse fel a letöltött metaadatfájlt. Válassza Következőlehetőséget.

    Válassza ki a feltöltendő metaadatfájlt az SAP

  5. A következő lapon, az Alias mezőben adja meg az alias nevét. Például aadsts. Válassza Következőlehetőséget.

    Az SAP Alias mezőjének

  6. Győződjön meg arról, hogy a Kivonatoló algoritmus mezőben szereplő érték SHA-256. Válassza Következőlehetőséget.

    Kivonatoló algoritmus értékének ellenőrzése az SAP

  7. Az Önálló Sign-On végpontokterületen válassza a HTTP POSTlehetőséget, majd válassza a Továbblehetőséget.

    egyedi Sign-On-végpontok beállításai az SAP

  8. Az egyszeri kijelentkezés végpontjaiterületen válassza a HTTP átirányításiopciót, majd válassza a Továbblehetőséget.

    egyszeri kijelentkezési végpontok beállításai az SAP

  9. A Artefakt Végpontokterületen válassza a Tovább lehetőséget a folytatáshoz.

    Összetevővégpontok beállításai az SAP

  10. A hitelesítési követelményekterületen válassza a Befejezéslehetőséget.

    Hitelesítési követelmények beállításai és a Befejezés lehetőség[e] az SAP

  11. Válassza a Megbízható szolgáltató>Identitásfederáció (a lap alján). Válassza Szerkesztéslehetőséget.

    Az SAP megbízható szolgáltatói és identitás-föderációs lapjai

  12. Válassza a lehetőséget, majd adja hozzá azelemet.

    A Hozzáadás lehetőség az Azonosság-föderáció lapján

  13. A Támogatott névazonosító formátumok párbeszédpanelen válassza a Meghatározatlanlehetőséget. Válassza OKlehetőséget.

    A Támogatott névazonosító formátumok párbeszédpanel és az SAP beállításai

    A felhasználói azonosító forrásának és felhasználói azonosító leképezési módjának értékei határozzák meg az SAP-felhasználó és a Microsoft Entra-jogcím közötti kapcsolatot.

    1. forgatókönyv: SAP-felhasználó és Microsoft Entra felhasználóleképezés

    1. Az SAP-ban "Meghatározatlan" névazonosító-formátum részleteialatt jegyezze fel a részleteket:

      Képernyőkép, amely az S A P-ben a 'Névazonosító-formátum

    2. Az Azure portálon a Felhasználói attribútumok & Jogcímekterületen jegyezze fel a Microsoft Entra ID szükséges követeléseit.

    2. forgatókönyv: Válassza ki az SAP felhasználói azonosítóját az SU01-ben konfigurált e-mail-cím alapján. Ebben az esetben az e-mail-azonosítót su01-ben kell konfigurálni minden olyan felhasználóhoz, aki egyszeri bejelentkezést igényel.

    1. Az SAP-ban "Meghatározatlan" névazonosító-formátum részleteialatt jegyezze fel a részleteket:

      Az SAP "Meghatározatlan" nameID formátumának részletei párbeszédpanel

    2. Az Azure portálon a Felhasználói attribútumok & Jogosultságokterületen jegyezze fel a Microsoft Entra ID szükséges jogosultságait.

      Felhasználói attribútumok és jogcímek párbeszédpanel az Azure Portalon

  14. Válassza a Mentéslehetőséget, majd válassza a Engedélyezés gombot az identitásszolgáltató engedélyezéséhez.

    Az SAP mentési és engedélyezési beállításai

  15. Ha a rendszer kéri, válassza OK lehetőséget.

    Az OK lehetőség az SAML 2.0 konfiguráció párbeszédablakban az SAP

SAP Fiori tesztfelhasználó létrehozása

Ebben a szakaszban egy Britta Simon nevű felhasználót hoz létre az SAP Fioriban. Dolgozzon együtt a beépített SAP-szakértői csapatával vagy a szervezet SAP-partnerével, hogy felvegye a felhasználót az SAP Fiori platformra.

Egyszeri bejelentkezés tesztelése

  1. Miután aktiválta az identitásszolgáltató Microsoft Entra-azonosítóját az SAP Fioriban, próbáljon meg hozzáférni az alábbi URL-címek egyikéhez az egyszeri bejelentkezés teszteléséhez (nem szabad felhasználónevet és jelszót kérni):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Jegyzet

    Cserélje le a <sap-url> a tényleges SAP-gazdagép nevére.

  2. A teszt URL-címének az SAP következő tesztalkalmazási oldalára kell vinnie. Ha megnyílik a lap, a Microsoft Entra egyszeri bejelentkezése sikeresen be van állítva.

    A szabványos tesztalkalmazás lapja az SAP

  3. Ha a rendszer felhasználónevet és jelszót kér, engedélyezze a nyomkövetést a probléma diagnosztizálásához. A nyomkövetéshez használja a következő URL-címet:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Kapcsolódó tartalom

Az SAP Fiori konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti ki a munkamenet-vezérlést a Microsoft Defender for Cloud Apps.