Delen via

Integratie van eenmalige aanmelding van Microsoft Entra met SAP Fiori

  • Artikel

In dit artikel leert u hoe u SAP Fiori integreert met Microsoft Entra ID. Wanneer u SAP Fiori integreert met Microsoft Entra ID, kunt u het volgende doen:

  • In Microsoft Entra-id beheren wie toegang heeft tot SAP Fiori.
  • Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij SAP Fiori.
  • Beheer uw accounts op één centrale locatie.

Voorwaarden

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

  • Een abonnement op SAP Fiori met ingeschakelde single sign-on (SSO).

Beschrijving van scenario

In dit artikel configureert en test u Microsoft Entra SSO (Single Sign-On) in een testomgeving.

  • SAP Fiori ondersteunt eenmalige aanmelding (SSO) geïnitieerd door SP

Notitie

Voor door SAP Fiori geïnitieerde iFrame-verificatie raden we u aan de parameter IsPassive te gebruiken in de SAML AuthnRequest voor stille verificatie. Raadpleeg voor meer informatie over de parameter IsPassive de informatie voor Microsoft Entra SAML-eenmalige aanmelding.

Als u de integratie van SAP Fiori in Microsoft Entra ID wilt configureren, moet u SAP Fiori vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.
  2. Blader naar Identity>Applications>Enterprise-toepassingen>Nieuwe toepassing.
  3. In de sectie Toevoegen uit de galerie, typ SAP Fiori in het zoekvak.
  4. Selecteer SAP Fiori- in het resultatenvenster en voeg vervolgens de app toe. Wacht enkele seconden terwijl de app wordt toegevoegd aan uw tenant.

U kunt ook de Enterprise App Configuration Wizardgebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Microsoft Entra SSO configureren en testen voor SAP Fiori

Configureer en test de Microsoft Entra Single Sign-On (SSO) met SAP Fiori met behulp van een testgebruiker genaamd B.Simon. SSO (eenmalige aanmelding) werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de corresponderende gebruiker in SAP Fiori.

Voer de volgende stappen uit om Single Sign-On van Microsoft Entra voor SAP Fiori te configureren en te testen:

  1. Microsoft Entra SSO configureren - om uw gebruikers in staat te stellen deze functie te gebruiken.
    1. Een Microsoft Entra-testgebruiker maken : als u eenmalige aanmelding van Microsoft Entra wilt testen met B.Simon.
    2. Wijs de Microsoft Entra-testgebruiker toe : om B.Simon in staat te stellen gebruik te maken van eenmalige aanmelding van Microsoft Entra.
  2. Eenmalige aanmelding bij SAP Fiori configureren : als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
    1. Testgebruiker voor SAP Fiori maken : als u een tegenhanger van B.Simon in SAP Fiori wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
  3. Single Sign-On (SSO) testen - om te controleren of de configuratie werkt.

Microsoft Entra SSO configureren

Volg deze stappen om Microsoft Entra SSO in te schakelen.

  1. Open een nieuw browservenster en meld u als beheerder aan bij de bedrijfssite van SAP Fiori.

  2. Zorg ervoor dat http- en https--services actief zijn en dat de relevante poorten zijn toegewezen aan transactiecode SMICM-.

  3. Meld u aan bij SAP Business Client voor SAP system T01, waarbij eenmalige aanmelding is vereist. Activeer vervolgens HTTP-beveiligingssessiebeheer.

    1. Ga naar transactiecode SICF_SESSIONS. Alle relevante profielparameters met huidige waarden worden weergegeven. Ze zien eruit als in het volgende voorbeeld:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Notitie

      Pas de parameters aan op basis van de vereisten van uw organisatie. De voorgaande parameters worden alleen als voorbeeld gegeven.

    2. Pas indien nodig de parameters in het exemplaarprofiel (standaard) van het SAP-systeem aan en start het SAP-systeem opnieuw op.

    3. Dubbelklik op de relevante client om een HTTP-beveiligingssessie in te schakelen.

      De pagina Huidige waarden van relevante profielparameters in SAP

    4. Activeer de volgende SICF-services:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Ga naar de transactiecode SAML2 in de Business Client voor het SAP-systeem [T01/122]. De gebruikersinterface van de configuratie wordt geopend in een nieuw browservenster. In dit voorbeeld gebruiken we Business Client voor SAP-systeem 122.

    de aanmeldingspagina van de SAP Fiori Business-client

  5. Voer uw gebruikersnaam en wachtwoord in en selecteer vervolgens Aanmelden bij.

    De SAML 2.0-configuratiepagina van het ABAP-systeem T01/122 in SAP

  6. Vervang T01122 door in het vak http://T01122 naam en selecteer Opslaan.

    Notitie

    Standaard heeft de providernaam de indeling <sid><client>. Microsoft Entra ID verwacht de naam in het formaat <protocol>://<naam>. U wordt aangeraden de naam van de provider te behouden als https://<sid><client>, zodat u meerdere SAP Fiori ABAP-engines kunt configureren in Microsoft Entra ID.

    De bijgewerkte providernaam in de SAML 2.0-configuratie van het ABAP-systeem T01/122-pagina in SAP

  7. Selecteer het tabblad Lokale provider >Metadata.

  8. Download in het dialoogvenster SAML 2.0 Metadata het gegenereerde XML-bestand met metagegevens en sla het op uw computer op.

    De koppeling Metagegevens downloaden in het dialoogvenster METAGEGEVENS van SAP SAML 2.0

  9. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.

  10. Blader naar Identity>Applications>Ondernemingstoepassingen>SAP Fiori>Eenmalige aanmelding.

  11. Selecteer op de pagina Een methode voor eenmalige aanmelding selecterenSAML-.

  12. Klik op de pagina Eenmalige aanmelding instellen met SAML op het potloodpictogram voor Standaard SAML-configuratie om de instellingen te bewerken.

    Standaard SAML-configuratie bewerken

  13. Voer in de sectie Basis SAML-configuratie de volgende stappen uit als u het metagegevensbestand van de serviceproviderhebt:

    1. Klik op Metadata-bestand uploaden.

      metagegevensbestand uploaden

    2. Klik op maplogo om het metagegevensbestand te selecteren en klik op Upload.

      metagegevensbestand kiezen

    3. Wanneer het metagegevensbestand is geüpload, worden de id- en antwoord- URL automatisch ingevuld in het deelvenster Standaard SAML-configuratie. Voer in het vak aanmeldings-URL een URL in met het volgende patroon: https://<your company instance of SAP Fiori>.

      Notitie

      Sommige klanten hebben een fout ondervonden van een onjuiste antwoord-URL die is geconfigureerd voor hun exemplaar. Als u een dergelijke fout ontvangt, gebruikt u deze PowerShell-opdrachten. Werk eerst de antwoord-URL's in het applicatie-object bij met de nieuwe antwoord-URL en werk vervolgens het service-principal bij. Gebruik de Get-MgServicePrincipal om de waarde van de serviceprincipal-ID op te halen.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. De SAP Fiori-toepassing verwacht dat de SAML-asserties een specifieke indeling hebben. Configureer de volgende claims voor deze toepassing. In het deelvenster Instellen Single Sign-On met SAML, selecteert u Bewerkenom deze kenmerkwaarden te beheren.

    Gebruikerskenmerken-paneel

  15. Configureer in het deelvenster Gebruikerskenmerken & Claims de SAML-tokenkenmerken, zoals wordt weergegeven in de vorige afbeelding. Voer vervolgens de volgende stappen uit:

    1. Selecteer bewerken om het deelvenster Gebruikersclaims beheren te openen.

    2. Selecteer ExtractMailPrefix()in de lijst Transformation .

    3. In de lijst Parameter 1, selecteer user.userprincipalname.

    4. Selecteer opslaan.

      Het deelvenster Gebruikersclaims beheren

      de sectie Transformatie in het deelvenster voor het beheren van gebruikersclaims

  16. Zoek op de pagina Eenmalige aanmelding met SAML instellen, in de sectie SAML-ondertekeningscertificaat, naar Federatie Metadata XML en selecteer Download om het certificaat te downloaden en op uw computer op te slaan.

    de downloadkoppeling voor het certificaat

  17. In het gedeelte SAP Fiori instellen kopieert u de juiste URL('s) op basis van uw behoeften.

    configuratie-URLs kopiëren

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
  2. Blader naar Identity>Users>Alle gebruikers.
  3. Selecteer Nieuwe gebruiker>Nieuwe gebruiker makenboven aan het scherm.
  4. Voer in de eigenschappen User de volgende stappen uit:
    1. Voer in het veld weergavenaamB.Simonin.
    2. Voer in het veld User Principal Name de username@companydomain.extensionin. Bijvoorbeeld B.Simon@contoso.com.
    3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
    4. Selecteer Beoordelen + maken
  5. Selecteer Create.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door toegang te verlenen tot SAP Fiori.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.
  2. Navigeer naar Identiteit>Toepassingen>Enterprise-toepassingen>SAP Fiori.
  3. Selecteer op de overzichtspagina van de app de optie Gebruikers en groepen.
  4. Selecteer Gebruiker/groep toevoegenen selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
    1. Selecteer in het dialoogvenster Gebruikers en groepen de gebruiker B.Simon uit de lijst Gebruikers, en klik vervolgens op de knop Selecteer onder aan het scherm.
    2. Als u verwacht dat een rol wordt toegewezen aan de gebruikers, kunt u deze selecteren in de Selecteer een rol vervolgkeuzelijst. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
    3. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen.

Configureer Single Sign-On voor SAP Fiori

  1. Meld u aan bij het SAP-systeem en ga naar transactiecode SAML2. Er wordt een nieuw browservenster geopend met de SAML-configuratiepagina.

  2. Als u eindpunten wilt configureren voor een vertrouwde id-provider (Microsoft Entra-id), selecteert u het tabblad Vertrouwde providers.

    het tabblad Vertrouwde providers in SAP

  3. Selecteer toevoegen en selecteer vervolgens Metagegevensbestand uploaden in het contextmenu.

    De opties voor het toevoegen en uploaden van metagegevensbestand in SAP

  4. Upload het metagegevensbestand dat u hebt gedownload. Selecteer Volgende.

    selecteer het metagegevensbestand dat u wilt uploaden in SAP

  5. Voer op de volgende pagina in het vak Alias de aliasnaam in. Bijvoorbeeld aadsts. Selecteer Volgende.

    Het vak Alias in SAP

  6. Zorg ervoor dat de waarde in het Digest Algorithm vak is SHA-256. Klik op Volgende.

    de waarde van het digest-algoritme controleren in SAP

  7. Selecteer onder Eindpunt Sign-Onde optie HTTP POSTen selecteer vervolgens Volgende.

    opties voor eindpunten met één Sign-On in SAP

  8. Selecteer onder eindpunten voor eenmalige afmelding, HTTP-omleiding en selecteer vervolgens Volgende.

    eindpunt-opties voor eenmalige afmelding in SAP

  9. Selecteer onder ArtefacteindpuntenVolgende om verder te gaan.

    opties voor artefacteindpunten in SAP

  10. Selecteer onder verificatievereistende optie voltooien.

    Opties voor authenticatievereisten en de optie Voltooien in SAP

  11. Kies voor Trusted Provider>Identity Federation (onderaan de pagina). Selecteer bewerken.

    de tabbladen Vertrouwde Provider en Identiteitsfederatie in SAP

  12. Selecteer toevoegen.

    De optie Toevoegen in het tabblad Identiteitsfederatie

  13. Selecteer in het dialoogvenster Ondersteunde NameID-indelingenOngespecificeerd. Selecteer OK.

    het dialoogvenster Ondersteunde NameID-indelingen en opties in SAP

    De waarden voor Gebruikers-ID Bron en Gebruikers-ID-Toewijzingsmodus bepalen de koppeling tussen de SAP-gebruiker en de Microsoft Entra-claim.

    Scenario 1-: SAP-gebruiker naar Microsoft Entra-gebruikerstoewijzing

    1. In SAP, onder Details van nameID-indeling 'Niet opgegeven', let op de details:

      nl-NL: Schermopname die het dialoogvenster

    2. Noteer in Azure Portal, onder Gebruikerskenmerken & Claims, de vereiste claims van Microsoft Entra ID.

      Schermopname van het dialoogvenster

    Scenario 2: selecteer de SAP-gebruikers-id op basis van het geconfigureerde e-mailadres in SU01. In dit geval moet de e-mail-id worden geconfigureerd in SU01 voor elke gebruiker die eenmalige aanmelding vereist.

    1. In SAP, onder Details van NameID-indeling 'Niet opgegeven', noteer de details:

      Het dialoogvenster in SAP met de Details van de NameID-indeling

    2. Noteer in Azure Portal, onder Gebruikerskenmerken & Claims, de vereiste claims van Microsoft Entra ID.

      het dialoogvenster Gebruikerskenmerken en -claims in de Azure Portal

  14. Selecteer Opslaanen daarna Inschakelen om de identiteitprovider in te schakelen.

    De opties opslaan en inschakelen in SAP

  15. Selecteer OK wanneer hierom wordt gevraagd.

    De optie OK in het dialoogvenster SAML 2.0-configuratie in SAP

SAP Fiori-testgebruiker maken

In deze sectie maakt u een gebruiker met de naam Britta Simon in SAP Fiori. Werk samen met uw interne SAP-team van experts of uw organisatie SAP-partner om de gebruiker toe te voegen aan het SAP Fiori-platform.

SSO testen

  1. Nadat de Id-provider Microsoft Entra ID is geactiveerd in SAP Fiori, probeert u toegang te krijgen tot een van de volgende URL's om eenmalige aanmelding te testen (u moet niet worden gevraagd om een gebruikersnaam en wachtwoord):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Notitie

    Vervang <sap-url> door de werkelijke SAP-hostnaam.

  2. Met de test-URL gaat u naar de volgende pagina van de testtoepassing in SAP. Als de pagina wordt geopend, is Microsoft Entra Single Sign-On succesvol ingesteld.

    De standaardpagina van de testtoepassing in SAP

  3. Als u wordt gevraagd om een gebruikersnaam en wachtwoord, schakelt u tracering in om het probleem te diagnosticeren. Gebruik de volgende URL voor de tracering:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Verwante inhoud

Zodra u SAP Fiori hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.