Menyiapkan Microsoft Entra ID, Azure API Management, dan SAP untuk SSO dari konektor SAP OData

Anda dapat menyiapkan konektor SAP OData untuk Power Platform menggunakan Microsoft Entra kredensial ID untuk akses menyeluruh (SSO) ke SAP. Hal ini memungkinkan pengguna Anda untuk mengakses data SAP dalam Power Platform solusi tanpa harus masuk beberapa kali ke beberapa layanan sambil menghormati otorisasi dan peran yang ditetapkan di SAP.

Artikel ini memandu Anda melalui prosesnya, termasuk menyiapkan kepercayaan antara SAP dan Microsoft Entra ID dan mengonfigurasi Azure API Management untuk mengonversi Microsoft Entra token ID OAuth menjadi token SAML yang digunakan untuk melakukan panggilan OData ke SAP.

Anda juga bisa mendapatkan wawasan dan konteks tambahan ke dalam proses penyiapan di posting blog, Hore! Konektor SAP OData sekarang mendukung OAuth2 dan Perambatan Prinsip SAP.

Prasyarat

• Instans SAP
• Sumber daya Azure API Management

Unduh metadata SAML penyedia lokal dari SAP

Untuk menyiapkan hubungan kepercayaan antara SAP dan Microsoft Entra ID menggunakan SAML 2.0, pertama-tama unduh file xml metadata dari SAP.

Lakukan langkah-langkah ini sebagai admin SAP Basis di SAP GUI.

1. Di GUI SAP, jalankan transaksi SAML2 untuk membuka wizard dependen klien SAP yang relevan dan pilih tab Penyedia Lokal .

2. Pilih Metadata, lalu pilih Unduh Metadata. Anda akan mengunggah metadata SAML SAP ke Microsoft Entra ID di langkah selanjutnya.

3. Perhatikan Nama Penyedia yang sesuai denganURI.

Konsultasikan dokumentasi resmi SAP untuk info tambahan.

Impor metadata SAP ke aplikasi Microsoft Entra ID enterprise

Lakukan langkah-langkah ini sebagai Microsoft Entra admin ID di portal Microsoft Azure.

1. Pilih Microsoft Entra Aplikasi> IDEnterprise.

2. Pilih Aplikasi baru.

3. Cari SAP Netweaver.

4. Beri nama aplikasi perusahaan, lalu pilih Buat.

5. Buka Akses menyeluruh dan pilih SAML.

6. Pilih Unggah file metadata dan pilih file metadata yang Anda unduh dari SAP.

7. Pilih Tambahkan.

8. Ubah URL Balasan (URL Layanan Konsumen Pernyataan) ke titik akhir token SAP OAuth . URL dalam format https://<SAP server>:<port>/sap/bc/sec/oauth2/token.

9. Ubah URL Sign-on menjadi nilai yang sesuai dengan URI. Parameter ini tidak digunakan dan dapat diatur ke nilai apa pun yang sesuai dengan URI.

10. Pilih Simpan.

11. Di bawah Atribut & Klaim, pilih Edit.

12. Konfirmasikan bahwa Nama klaim Pengidentifikasi Pengguna Unik (ID Nama) diatur ke user.userprincipalname [nameid=format:emailAddress].

13. Di bagian Sertifikat SAML, pilih Unduh untuk Sertifikat (Base64) dan XML Metadata Federasi.

Konfigurasikan Microsoft Entra ID sebagai Penyedia Identitas tepercaya untuk OAuth 2.0 di SAP

1. Ikuti langkah-langkah yang diuraikan dalam Microsoft Entra dokumentasi ID untuk bagian SAP NetWeaver dan OAuth2.

2. Kembali ke artikel ini setelah klien OAuth2 dibuat di SAP.

Lihat dokumentasi resmi SAP tentang SAP NETWEAVER untuk detail tambahan. Catatan, Anda harus menjadi administrator SAP untuk mengakses informasi tersebut.

Membuat Microsoft Entra aplikasi ID yang mewakili sumber daya Azure API Management

Siapkan Microsoft Entra aplikasi ID yang memberikan akses ke Microsoft Power Platform konektor SAP OData. Aplikasi ini memungkinkan sumber daya Azure API Management untuk mengonversi OAuth token ke token SAML.

Lakukan langkah-langkah ini sebagai Microsoft Entra admin ID di portal Microsoft Azure.

1. Pilih Microsoft Entra ID Pendaftaran>Aplikasi Pendaftaran> Baru.

2. Masukkan Nama , lalu pilih Daftar.

3. Pilih Sertifikat & rahasia Rahasia> klien baru.

4. Masukkan Deskripsi , lalu pilih Tambahkan.

5. Salin dan simpan rahasia ini di tempat yang aman.

6. Pilih izin api>Tambahkan izin.

7. Pilih Izin> yang Didelegasikan Microsoft Graph.

8. Cari dan pilih openid.

9. Pilih Tambahkan izin.

10. Pilih Autentikasi>Tambahkan platform>Web.

11. Atur Pengalihan URI ke. https://localhost:44326/signin-oidc

12. Pilih Token akses dan token ID, lalu pilih Konfigurasikan.

13. Pilih Ekspos API.

14. Di samping URI ID Aplikasi, pilih Tambahkan.

15. Terima nilai default dan pilih Simpan.

16. Pilih Tambahkan cakupan.

17. Atur Nama cakupan ke user_impersonation.

18. Atur Siapa yang dapat menyetujui? ke Admin dan pengguna.

19. Pilih Tambahkan cakupan.

20. Salin ID Aplikasi (klien).

Otorisasi sumber daya Azure API Management untuk mengakses SAP Netweaver menggunakan Microsoft Entra aplikasi ID perusahaan

1. Saat aplikasi Microsoft Entra ID enterprise dibuat, aplikasi ini membuat pendaftaran aplikasi yang cocok. Temukan Pendaftaran Aplikasi yang cocok dengan Microsoft Entra aplikasi ID perusahaan yang Anda buat untuk SAP NetWeaver.

2. Pilih Ekspos API>Tambahkan aplikasi klien.

3. Tempelkan ID Aplikasi (klien) dari Microsoft Entra pendaftaran aplikasi ID instans Azure API Management Anda ke ID Klien.

4. Pilih cakupan user_impersonation , lalu pilih Tambahkan aplikasi.

Otorisasi Microsoft Power Platform konektor SAP OData untuk mengakses API yang diekspos oleh Azure API Management

1. Dalam Microsoft Entra pendaftaran aplikasi ID Azure API Management, pilih Ekspos API> Tambahkan id klien konektor Power Platform 6bee4d13-fd19-43de-b82c-4b6401d174c3 SAP OData di bawah aplikasi klien resmi.

2. Pilih cakupan user_impersonation , lalu pilih Simpan .

Mengonfigurasi SAP OAuth

Buat OAuth klien 2.0 di SAP yang memungkinkan Azure API Management mendapatkan token atas nama pengguna.

Lihat dokumentasi resmi SAP untuk detailnya.

Lakukan langkah-langkah ini sebagai admin SAP Basis di SAP GUI.

1. Jalankan SOAUTH2 transaksi.

2. Pilih Buat.

3. Pada halaman ID Klien:

   • Untuk OAuth ID Klien 2.0, pilih pengguna sistem SAP.
   • Masukkan Deskripsi , lalu pilih Berikutnya.

4. Pada halaman Autentikasi Klien, pilih Berikutnya.

5. Pada halaman Pengaturan Jenis Hibah:

   • Untuk Trusted OAuth 2.0 IdP, pilih Microsoft Entra entri ID.
   • Pilih Refresh Allowed, lalu pilih Berikutnya.

6. Pada halaman Penetapan Cakupan , pilih Tambahkan, pilih layanan OData yang digunakan Azure API Management (misalnya ZAPI_BUSINESS_PARTNER_0001), lalu pilih Berikutnya.

7. Pilih selesai.

Mengonfigurasi Azure API Management

Impor metadata XML SAP OData ke instans Azure API Management Anda. Kemudian, terapkan kebijakan Azure API Management untuk mengonversi token.

1. Buka instans Azure API Management Anda dan ikuti langkah-langkah untuk membuat API SAP OData.

2. Di bawah API, pilih Nilai bernama.

3. Tambahkan pasangan kunci/nilai berikut:

Menerapkan kebijakan token Azure API Management

Gunakan kebijakan Azure API Management untuk mengonversi token yang Microsoft Entra dikeluarkan ID menjadi token yang diterima SAP NetWeaver. Ini dilakukan dengan menggunakan alur OAuth2SAMLBearer. Lihat dokumentasi resmi SAP untuk informasi lebih lanjut.

1. Salin kebijakan Azure API Management dari halaman GitHub resmi Microsoft.

2. Buka portal Microsoft Azure.

3. Buka sumber daya Azure API Management Anda.

4. Pilih API, lalu pilih API OData yang Anda buat.

5. Pilih Semua operasi.

6. Di bawah Pemrosesan masuk, pilih Kebijakan </>.

7. Hapus kebijakan yang ada dan tempel kebijakan yang Anda salin.

8. Pilih Simpan.

Konten terkait

• Konektor SAP OData
• Konektor SAP OData sekarang mendukung OAuth2 dan SAP Principal Propagation | Power Automate Blog Komunitas
• Kebijakan Azure API Management untuk SAP SuccessFactors | GitHub
• Konektor SAP OData untuk SAP SuccessFactors | Blog komunitas SAP
• SAP Business Accelerator Hub juga menawarkan konten yang terkait dengan kebijakan rangkaian integrasi SAP untuk SuccessFactors dan NetWeaver. Anda harus memiliki akun SAP untuk mengakses konten ini.