Bagikan melalui

Integrasi masuk tunggal (SSO) Microsoft Entra dengan SAP Fiori

  • Artikel

Dalam artikel ini, Anda akan mempelajari cara mengintegrasikan SAP Fiori dengan MICROSOFT Entra ID. Saat mengintegrasikan SAP Fiori dengan MICROSOFT Entra ID, Anda dapat:

  • Kontrol dalam Microsoft Entra ID siapa yang memiliki akses ke SAP Fiori.
  • Memungkinkan pengguna Anda untuk masuk secara otomatis ke SAP Fiori dengan akun Microsoft Entra mereka.
  • Kelola akun Anda di satu lokasi pusat.

Prasyarat

Skenario yang diuraikan dalam artikel ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:

  • Langganan SAP Fiori dengan single sign-on (SSO) diaktifkan.

Deskripsi skenario

Dalam artikel ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.

  • SAP Fiori mendukung SSO yang diinisiasi oleh SP

Nota

Untuk autentikasi iFrame yang dimulai pada SAP Fiori, sebaiknya gunakan parameter IsPassive di SAML AuthnRequest untuk autentikasi senyap. Untuk detail selengkapnya tentang parameter IsPassive , rujuk informasi Microsoft Entra SAML single sign-on .

Untuk mengonfigurasi integrasi SAP Fiori ke microsoft Entra ID, Anda perlu menambahkan SAP Fiori dari galeri ke daftar aplikasi SaaS terkelola Anda.

  1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Aplikasi Cloud.
  2. Telusuri ke Identitas Aplikasi>Aplikasi enterprise>Aplikasi baru>.
  3. Di bagian Tambahkan dari galeri, ketik SAP Fiori di kotak pencarian.
  4. Pilih SAP Fiori dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa detik saat aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard Enterprise App Configuration. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji Microsoft Entra SSO untuk SAP Fiori

Konfigurasikan dan uji SSO Microsoft Entra dengan SAP Fiori menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di SAP Fiori.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan SAP Fiori, lakukan langkah-langkah berikut:

  1. Mengonfigurasi microsoft Entra SSO - untuk memungkinkan pengguna Anda menggunakan fitur ini.
    1. Buat pengguna uji Microsoft Entra - untuk menguji single sign-on Microsoft Entra dengan B.Simon.
    2. Tetapkan pengguna tes Microsoft Entra - untuk memungkinkan B.Simon menggunakan masuk tunggal Microsoft Entra.
  2. Mengonfigurasi SSO SAP Fiori - untuk mengonfigurasi pengaturan akses menyeluruh di sisi aplikasi.
    1. Buat pengguna SAP Fiori sebagai padanan B.Simon di SAP Fiori yang ditautkan ke representasi pengguna di Microsoft Entra.
  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Konfigurasi SSO Microsoft Entra

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

  1. Buka jendela browser web baru dan masuk ke situs perusahaan SAP Fiori Anda sebagai administrator.

  2. Pastikan bahwa layanan protokol http dan protokol https aktif, serta port yang relevan ditetapkan ke kode transaksi SMICM.

  3. Masuk ke SAP Business Client untuk sistem SAP T01, di mana single sign-on diperlukan. Kemudian, aktifkan Manajemen Sesi Keamanan HTTP.

    1. Buka kode transaksi SICF_SESSIONS. Semua parameter profil yang relevan dengan nilai saat ini ditampilkan. Mereka terlihat seperti contoh berikut:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Nota

      Sesuaikan parameter berdasarkan persyaratan organisasi Anda. Parameter sebelumnya hanya diberikan sebagai contoh.

    2. Jika perlu, sesuaikan parameter dalam profil instans (default) sistem SAP dan mulai ulang sistem SAP.

    3. Klik dua kali klien yang relevan untuk mengaktifkan sesi keamanan HTTP.

      Halaman Nilai Parameter Profil yang Relevan Saat Ini di SAP

    4. Aktifkan layanan SICF berikut:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Pergi ke kode transaksi SAML2 di Klien Bisnis untuk sistem SAP [T01/122]. UI konfigurasi terbuka di jendela browser baru. Dalam contoh ini, kami menggunakan Klien Bisnis untuk sistem SAP 122.

    halaman masuk Klien SAP Fiori Business

  5. Masukkan nama pengguna dan kata sandi Anda, lalu pilih Masuk.

    Halaman Konfigurasi SAML 2.0 pada Sistem ABAP T01/122 di SAP

  6. Dalam kotak Nama Penyedia, ganti T01122 dengan http://T01122, lalu pilih Simpan.

    Nota

    Secara default, nama penyedia dalam format <sid><klien>. MICROSOFT Entra ID mengharapkan nama dalam format protokol <>:// nama<>. Sebaiknya pertahankan nama penyedia sebagai https://<sid><klien> sehingga Anda dapat mengonfigurasi beberapa mesin SAP Fiori ABAP di ID Microsoft Entra.

    Nama penyedia yang diperbarui di halaman Konfigurasi SAML 2.0 Sistem ABAP T01/122 di SAP

  7. Pilih tab Penyedia Lokal >Metadata.

  8. Dalam kotak dialog Metadata SAML 2.0, unduh file XML metadata yang dihasilkan dan simpan di komputer Anda.

    tautan Unduh Metadata dalam kotak dialog Metadata SAML 2.0 SAP

  9. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Aplikasi Cloud.

  10. Telusuri Identitas>Aplikasi>Aplikasi Enterprise>SAP Fiori>Single Sign-On (SSO).

  11. Pada halaman Pilih metode single sign-on, pilih SAML.

  12. Pada halaman Siapkan Single Sign-On dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

    Edit Konfigurasi SAML Dasar

  13. Pada bagian Konfigurasi SAML Dasar, jika Anda memiliki file metadata Penyedia Layanan , lakukan langkah-langkah berikut:

    1. Klik Unggah file metadata.

      Mengunggah file metadata

    2. Klik logo folder untuk memilih file metadata dan klik Unggah.

      memilih file metadata

    3. Saat file metadata berhasil diunggah, nilai Pengidentifikasi dan URL Balasan secara otomatis diisi di panel Konfigurasi SAML Dasar. Dalam kotak URL Masuk, masukkan URL yang memiliki pola berikut: https://<your company instance of SAP Fiori>.

      Nota

      Beberapa pelanggan mengalami kesalahan URL Balasan yang salah yang dikonfigurasi untuk instans mereka. Jika Anda menerima kesalahan tersebut, gunakan perintah PowerShell ini. Pertama-tama perbarui URL Balasan di objek aplikasi dengan URL Balasan, lalu perbarui prinsipal layanan. Gunakan Get-MgServicePrincipal untuk mendapatkan nilai ID Prinsipal Layanan.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. Aplikasi SAP Fiori mengharapkan pernyataan SAML berada dalam format tertentu. Konfigurasikan klaim berikut untuk aplikasi ini. Untuk mengelola nilai atribut ini, di panel Siapkan Single Sign-On dengan SAML, pilih Edit.

    Panel Atribut Pengguna

  15. Di jendela Atribut Pengguna & Klaim, konfigurasikan atribut token SAML seperti yang ditunjukkan pada gambar sebelumnya. Kemudian, selesaikan langkah-langkah berikut:

    1. Pilih Edit untuk membuka panel Kelola klaim pengguna.

    2. Pada daftar Transformasi , pilih ExtractMailPrefix().

    3. Dalam daftar Parameter 1, pilih user.userprincipalname.

    4. Pilih Simpan.

      panel Kelola klaim pengguna

      bagian Transformasi di panel Kelola klaim pengguna

  16. Pada halaman Siapkan akses menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, temukan XML Metadata Federasi dan pilih Unduh untuk mengunduh sertifikat dan menyimpannya di komputer Anda.

    tautan untuk mengunduh Sertifikat

  17. Pada bagian Siapkan SAP Fiori, salin URL yang sesuai berdasarkan kebutuhan Anda.

    Menyalin URL konfigurasi

Membuat dan menetapkan pengguna uji Microsoft Entra

Ikuti prosedur dalam panduan cepat membuat dan menetapkan akun pengguna untuk membuat akun pengguna uji bernama B.Simon.

Mengonfigurasi SSO SAP Fiori

  1. Masuk ke sistem SAP dan buka kode transaksi SAML2. Jendela browser baru terbuka dengan halaman konfigurasi SAML.

  2. Untuk mengonfigurasi titik akhir untuk penyedia identitas tepercaya (ID Microsoft Entra), pilih tab Penyedia Tepercaya.

    tab Penyedia Tepercaya di SAP

  3. Pilih Tambahkan, lalu pilih Unggah File Metadata dari menu konteks.

    opsi Tambahkan dan Unggah File Metadata di SAP

  4. Unggah file metadata yang Anda unduh. Pilih Berikutnya.

    Pilih file metadata yang akan diunggah di SAP

  5. Pada halaman berikutnya, dalam kotak Alias, masukkan nama alias. Misalnya, aadsts. Pilih Berikutnya.

    kotak Alias di SAP

  6. Pastikan bahwa nilai dalam kotak Algoritma Digest adalah SHA-256. Pilih Berikutnya.

    Memverifikasi nilai Algoritma Digest di SAP

  7. Di bawah Titik Akhir Sign-On Tunggal, pilih HTTP POST, lalu pilih Selanjutnya.

    opsi titik akhir Sign-On tunggal di SAP

  8. Pada bagian Titik Akhir Keluar Tunggal, pilih Pengalihan HTTP, lalu pilih Berikutnya.

    opsi Titik Akhir Keluar Tunggal di SAP

  9. Di bawah Titik Akhir Artefak, pilih Berikutnya untuk melanjutkan.

    opsi Titik Akhir Artefak di SAP

  10. Di bawah Persyaratan Autentikasi, pilih Selesai.

    opsi Persyaratan Autentikasi dan opsi Selesai di SAP

  11. Pilih Penyedia Tepercaya>Federasi Identitas (di bagian bawah halaman). Pilih Edit.

    tab Penyedia Tepercaya dan Federasi Identitas di SAP

  12. Pilih Tambahkan.

    opsi Tambah pada tab Federasi Identitas

  13. Dalam kotak dialog Format NameID yang Didukung, pilih Tidak Ditentukan. Pilih OK.

    Kotak dialog Format NameID yang Didukung dan opsi di SAP

    Nilai untuk Sumber ID Pengguna dan Mode Pemetaan ID Pengguna menentukan tautan antara pengguna SAP dan klaim Microsoft Entra.

    Skenario 1: Pemetaan pengguna SAP ke pengguna Microsoft Entra

    1. Di SAP, di bawah Rincian Format NameID "Tidak Ditentukan", catat rincian berikut:

      Cuplikan layar yang menunjukkan dialog 'Detail dari Format NameID

    2. Di portal Microsoft Azure, di bawah Atribut Pengguna & Klaim, perhatikan klaim yang diperlukan dari ID Microsoft Entra.

      Cuplikan layar yang memperlihatkan kotak dialog

    Skenario 2: Pilih ID pengguna SAP berdasarkan alamat email yang dikonfigurasi di SU01. Dalam hal ini, ID email harus dikonfigurasi di SU01 untuk setiap pengguna yang memerlukan SSO.

    1. Di SAP, di bawah Rincian Format NameID "Tidak Ditentukan", catat rincian berikut:

      kotak dialog Detail Format NameID

    2. Di portal Microsoft Azure, di bawah Atribut Pengguna & Klaim, perhatikan klaim yang diperlukan dari ID Microsoft Entra.

      kotak dialog Atribut Dan Klaim Pengguna di portal Microsoft Azure

  14. Pilih Simpan, lalu pilih Aktifkan untuk mengaktifkan penyedia identitas.

    opsi Simpan dan Aktifkan di SAP

  15. Pilih OK saat diminta.

    opsi OK dalam kotak dialog Konfigurasi SAML 2.0 di SAP

Membuat pengguna uji SAP Fiori

Di bagian ini, Anda membuat pengguna bernama Britta Simon di SAP Fiori. Bekerja sama dengan tim ahli SAP internal Anda atau mitra SAP organisasi Anda untuk menambahkan pengguna di platform SAP Fiori.

Uji SSO

  1. Setelah ID Microsoft Entra id diaktifkan di SAP Fiori, coba akses salah satu URL berikut untuk menguji akses menyeluruh (Anda tidak boleh dimintai nama pengguna dan kata sandi):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Nota

    Ganti <sap-url> dengan nama host SAP yang sebenarnya.

  2. URL pengujian harus membawa Anda ke halaman aplikasi pengujian berikut di SAP. Jika halaman terbuka, Microsoft Entra Single Sign-On berhasil disiapkan.

    Halaman aplikasi pengujian standar di SAP

  3. Jika Anda dimintai nama pengguna dan kata sandi, aktifkan pelacakan untuk membantu mendiagnosis masalah. Gunakan URL berikut untuk pelacakan:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Konten terkait

Setelah mengonfigurasi SAP Fiori, Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi berasal dari Akses Bersyarat. Pelajari cara menerapkan kontrol sesi dengan Microsoft Defender for Cloud Apps.