Интеграция единого входа Microsoft Entra с SAP Business ByDesign

В этой статье вы узнаете, как интегрировать SAP Business ByDesign с идентификатором Microsoft Entra ID. Интеграция SAP Business ByDesign с идентификатором Microsoft Entra позволяет:

• Контролируйте в Microsoft Entra ID, кто имеет доступ к SAP Business ByDesign.
• Включите автоматический вход пользователей в SAP Business ByDesign с помощью учетных записей Microsoft Entra.
• Управляйте своими учетными записями в одном месте.

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • администратор облачных приложений
  • владелец приложения.

• подписка SAP Business ByDesign с поддержкой единого входа (SSO).

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• SAP Business ByDesign поддерживает SSO, инициируемый SP.

Добавьте SAP Business ByDesign из галереи

Чтобы настроить интеграцию SAP Business ByDesign с идентификатором Microsoft Entra ID, необходимо добавить SAP Business ByDesign из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора облачных приложений.
2. Перейдите к Identity>Applications>Enterprise applications>New application.
3. В разделе Добавление из коллекции в поле поиска введите SAP Business ByDesign.
4. Выберите SAP Business ByDesign в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и настроить конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra

Настройте и проверьте единый вход Microsoft Entra в SAP Business ByDesign с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в SAP Business ByDesign.

Чтобы настроить и проверить единый вход Microsoft Entra в SAP Business ByDesign, выполните следующие действия:

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
2. Настройте SSO (единый вход) в SAP Business ByDesign, чтобы задать параметры единого входа на уровне приложения.
   1. Создайте тестового пользователя SAP Business ByDesign, чтобы иметь аналог пользователя Britta Simon, связанного с представлением пользователя Microsoft Entra в SAP Business ByDesign.
3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка SSO Microsoft Entra

Выполните следующие действия, чтобы включить единый вход (SSO) Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора облачных приложений.

2. Перейдите к Identity>Applications>Enterprise applications>SAP Business ByDesign>Single sign-on.

3. На странице Выбрать метод единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

   

5. В разделе Базовая конфигурация SAML выполните приведенные ниже действия.

   a. В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://<servername>.sapbydesign.com

   b. В текстовое поле Идентификатор (идентификатор сущности) введите URL-адрес в следующем формате: https://<servername>.sapbydesign.com.

   Примечание.

   Эти значения не являются реальными. Необходимо обновить эти значения действующим URL-адресом для входа и идентификатором. Чтобы получить эти значения, обратитесь в службу поддержки клиентов SAP Business ByDesign. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

6. Приложение SAP Business ByDesign ожидает утверждения SAML в определенном формате. Настройте следующие утверждения для этого приложения. Управлять значениями этих атрибутов можно в разделе Атрибуты пользователя на странице интеграции приложения. На странице Настройка единого входа с помощью SAML нажмите кнопку Изменить, чтобы открыть диалоговое окно Атрибуты пользователя.

   

7. Щелкните значок Изменить, чтобы изменить параметр Значение идентификатора имени.

   

8. В разделе Управление утверждениями пользователя выполните следующие действия.

   

   a. Выберите значение Преобразование для параметра Источник.

   b. Из раскрывающегося списка Преобразование выберите ExtractMailPrefix().

   Примечание.

   По умолчанию SAP Business ByDesign использует формат NameID, не указанный для сопоставления пользователей. Это приложение сопоставляет NameID утверждений SAML с псевдонимом пользователя SAP Business ByDesign. Кроме того, это приложение поддерживает формат идентификатора имени emailAddress. В этом случае приложение сопоставляет NameID из утверждения в формате SAML с адресом электронной почты пользователя SAP Business ByDesign и контактными данными сотрудника SAP Business ByDesign. Дополнительные сведения см. в статье "Единый вход" в SAP Business ByDesign.

9. На странице Настройка единого входа с помощью SAML, в разделе Сертификат подписи SAML, щелкните Скачать, чтобы загрузить XML-файл метаданных федерации из предложенных вариантов в соответствии с вашими требованиями и сохраните его на вашем компьютере.

   

10. В разделе "Настройка SAP Business ByDesign" скопируйте соответствующие URL-адреса, как это необходимо для приложения.

    

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в административный центр Microsoft Entra как минимум Администратор пользователя.
2. Перейдите в Идентификация>Пользователи>Все пользователи.
3. Выберите "Создать пользователя>" в верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле основного имени пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
   4. Выберите Review + create (Просмотреть и создать).
5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к SAP Business ByDesign.

1. Войдите в Центр администрирования Microsoft Entra в роли Администратора облачных приложений или выше.

2. Перейдите к Identity>Приложения>Корпоративные приложения>SAP Business ByDesign.

3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.

4. Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.

5. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.

6. Если приложение поддерживает назначение пользователям разных ролей, можно выбрать роль в раскрывающемся списке "Выбор роли ". Если для этого приложения нет ролей, вы увидите выбранную роль "Доступ по умолчанию".

7. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка SSO для SAP Business ByDesign

1. Войдите на портал SAP Business ByDesign с правами администратора.

2. Перейдите в Application and User Management Common Task (Общие задачи управления приложением и пользователем) и откройте вкладку Identity Provider.

3. Щелкните Новый Поставщик Удостоверений и выберите скачанный XML-файл метаданных. После импорта метаданных приложение автоматически отправляет необходимый сертификат подписи и сертификат шифрования.

   

4. Чтобы включить URL-адрес службы обработчика утверждений в запрос SAML, выберите Include Assertion Consumer Service URL (Включить URL-адрес службы обработчика утверждений).

5. Щелкните Activate Single Sign-On(Активировать единый вход).

6. Сохраните ваши изменения.

7. Перейдите на вкладку My System (Моя система).

   

8. В текстовое поле URL-адреса входа в Microsoft Entra ID вставьте значение URL-адреса входа, которое вы скопировали ранее.

   

9. Укажите, сможет ли сотрудник вручную переключаться между входом с помощью учетных данных (идентификатора пользователя и пароля) и единым входом, выбрав Manual Identity Provider Selection(Выбор поставщика удостоверений вручную).

10. В разделе URL-адреса единого входа укажите URL-адрес, который должен использоваться сотрудником для входа в приложение. В раскрывающемся списке URL Sent to Employee (URL-адрес для отправки сотруднику) можно выбрать следующие параметры.

    URL без SSO

    Система отправит сотруднику обычный URL-адрес системы. Сотрудник не может войти с помощью единого входа и вместо этого использовать пароль или сертификат.

    URL для единой аутентификации (SSO)

    Система отправляет сотруднику только URL-адрес единого входа. Сотрудник может войти, используя SSO (Единая система входа). Запрос на проверку подлинности перенаправляется через поставщика удостоверения личности.

    Automatic Selection

    Если единый вход не активен, система отправляет обычный системный URL-адрес сотруднику. Если функция единого входа активна, система проверит, есть ли у сотрудника пароль. При наличии пароля сотруднику отправляются оба URL-адреса: единого входа и без единого входа. Если пароля нет, сотруднику будет отправлен только URL-адрес единого входа.

11. Сохраните изменения.

Создание тестового пользователя SAP Business ByDesign

В этом разделе мы создадим пользователя Britta Simon в приложении SAP Business ByDesign. Чтобы добавить пользователей в SAP Business ByDesign обратитесь в службу поддержки клиентов SAP Business ByDesign.

Проверка SSO

В этом разделе вы проверите конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

1. Щелкните "Тестировать это приложение", которое перенаправит веб-браузер на URL-адрес входа SAP Business ByDesign, где можно инициировать поток входа.

2. Перейдите по URL-адресу входа в SAP Business ByDesign и инициируйте процесс входа.

3. Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку SAP Business ByDesign в Мои приложения, веб-браузер перенаправляется по URL-адресу для входа SAP Business ByDesign. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Связанное содержимое

• После настройки SAP Business ByDesign для единого входа вы можете применить функцию управления сеансами, которая предотвращает несанкционированное изъятие и проникновение в конфиденциальные данные вашей организации в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.