Udostępnij za pośrednictwem

Integracja jednokrotnego logowania (SSO) w Microsoft Entra z SAP Fiori

  • Artykuł

Z tego artykułu dowiesz się, jak zintegrować aplikację SAP Fiori z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu rozwiązania SAP Fiori z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do rozwiązania SAP Fiori.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji SAP Fiori przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Warunki wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Subskrypcja aplikacji SAP Fiori z obsługą logowania jednokrotnego.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

  • Aplikacja SAP Fiori obsługuje logowanie jednokrotne inicjowane SP

Nota

W przypadku uwierzytelniania iFrame zainicjowanego przez SAP Fiori zalecamy użycie parametru IsPassive w SAML AuthnRequest na potrzeby uwierzytelniania dyskretnego. Aby uzyskać więcej informacji na temat parametru IsPassive, zobacz informacje o logowaniu jednokrotnym SAML Microsoft Entra.

Aby skonfigurować integrację aplikacji SAP Fiori z aplikacją Microsoft Entra ID, należy dodać aplikację SAP Fiori z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracji Microsoft Entra jako co najmniej Administrator w chmurze aplikacji.
  2. Przejdź do Identity>aplikacji>aplikacje dla przedsiębiorstw>nowa aplikacja.
  3. W sekcji Dodaj z galerii wpisz SAP Fiori w polu wyszukiwania.
  4. Wybierz SAP Fiori z panelu wyników, a następnie dodaj aplikację. Proszę zaczekać kilka sekund, aż aplikacja zostanie dodana do twojej dzierżawy.

Alternatywnie możesz użyć także Kreatora konfiguracji aplikacji Enterprise. W tym kreatorze możesz dodać aplikację do dzierżawcy, dodać użytkowników/grupy do aplikacji, przypisać role oraz skonfigurować Single Sign-On (SSO). Dowiedz się więcej o kreatorach Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO dla oprogramowania SAP Fiori

Skonfiguruj i przetestuj Microsoft Entra SSO z oprogramowaniem SAP Fiori przy użyciu użytkownika testowego o nazwie B.Simon. Aby jednokrotne logowanie (SSO) działało, należy ustanowić relację związaną z kontem użytkownika Microsoft Entra i odpowiadającym użytkownikiem w systemie SAP Fiori.

Aby skonfigurować i przetestować Microsoft Entra SSO z systemem SAP Fiori, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO, aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz użytkownika testowego Microsoft Entra - aby przetestować logowanie jednokrotne Microsoft Entra przy użyciu B.Simon.
    2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z logowania jednokrotnego Microsoft Entra.
  2. Skonfiguruj SAP Fiori SSO — aby ustawić logowanie jednokrotne po stronie aplikacji.
    1. Tworzenie użytkownika testowego SAP Fiori — aby mieć w SAP Fiori odpowiednik użytkownika B.Simon, połączony z reprezentacją w Microsoft Entra.
  3. test SSO — aby sprawdzić, czy konfiguracja działa.

Konfiguracja Microsoft Entra SSO

Wykonaj następujące kroki, aby włączyć jednokrotne logowanie Microsoft Entra.

  1. Otwórz nowe okno przeglądarki internetowej i zaloguj się do firmowej witryny sap Fiori jako administrator.

  2. Upewnij się, że usługi http i https są aktywne i że odpowiednie porty są przypisane do kodu transakcji SMICM.

  3. Zaloguj się do klienta SAP Business Client dla systemu SAP T01, gdzie jest wymagane logowanie jednokrotne. Następnie aktywuj zarządzanie sesjami zabezpieczeń HTTP.

    1. Przejdź do kodu transakcji SICF_SESSIONS. Wyświetlane są wszystkie odpowiednie parametry profilu z bieżącymi wartościami. Wyglądają one jak w poniższym przykładzie:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Notatka

      Dostosuj parametry zgodnie z wymaganiami organizacji. Powyższe parametry są podane tylko jako przykład.

    2. W razie potrzeby dostosuj parametry w profilu wystąpienia (domyślnego) systemu SAP i uruchom ponownie system SAP.

    3. Kliknij dwukrotnie odpowiedniego klienta, aby włączyć sesję zabezpieczeń HTTP.

      Strona bieżących wartości odpowiednich parametrów profilu w programie SAP

    4. Aktywuj następujące usługi SICF:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Przejdź do kodu transakcji SAML2 w kliencie biznesowym dla systemu SAP [T01/122]. Interfejs użytkownika konfiguracji zostanie otwarty w nowym oknie przeglądarki. W tym przykładzie używamy klienta biznesowego dla systemu SAP 122.

    strona logowania klienta SAP Fiori Business

  5. Wprowadź nazwę użytkownika i hasło, a następnie wybierz pozycję Zaloguj się.

    strona SAML 2.0 systemu ABAP T01/122 w systemie SAP

  6. W polu Nazwa dostawcy zastąp T01122http://T01122, a następnie wybierz Zapisz.

    Notatka

    Domyślnie nazwa dostawcy ma format <sid><klient>. Identyfikator Entra firmy Microsoft oczekuje nazwy w formacie protokołu <>:// nazwa<>. Zalecamy zachowanie nazwy dostawcy jako https://<sid><klienta>, aby można było skonfigurować wiele silników SAP Fiori ABAP w Microsoft Entra ID.

    Zaktualizowana nazwa dostawcy na stronie konfiguracji SAML 2.0 w systemie ABAP T01/122 w SAP

  7. Wybierz kartę Dostawca lokalny>Metadane.

  8. W oknie dialogowym metadanych SAML 2.0 pobierz wygenerowany plik XML metadanych i zapisz go na komputerze.

    link Pobierz metadane w oknie dialogowym Metadane SAP SAML 2.0

  9. Zaloguj się do centrum administracji platformą Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.

  10. Przejdź do aplikacji Identity>Aplikacje>dla przedsiębiorstw>SAP Fiori>jednokrotne logowanie.

  11. Na stronie Wybierz sposób logowania jednokrotnego wybierz SAML .

  12. Na stronie Konfigurowanie logowania jednokrotnego SAML kliknij ikonę ołówka Podstawowa konfiguracja SAML, aby edytować ustawienia.

    edytowanie podstawowej konfiguracji protokołu SAML

  13. W sekcji Podstawowa konfiguracja protokołu SAML, jeśli posiadasz plik metadanych dostawcy usług , wykonaj następujące kroki:

    1. Kliknij pozycję Przekaż plik metadanych.

      przekaż plik metadanych

    2. Kliknij logo folderu, aby wybrać plik metadanych, a następnie kliknij przycisk Przekaż.

      wybierz plik metadanych

    3. Po pomyślnym przekazaniu pliku metadanych wartości identyfikatora i adresu URL odpowiedzi są automatycznie wypełniane w okienku Podstawowa konfiguracja protokołu SAML . W polu adres URL logowania wprowadź adres URL, który ma następujący wzorzec: https://<your company instance of SAP Fiori>.

      Notatka

      Niektórzy klienci napotkali błąd konfiguracji związany z adresem URL odpowiedzi, który został nieprawidłowo skonfigurowany w ich instancji. Jeśli wystąpi taki błąd, użyj tych poleceń programu PowerShell. Najpierw zaktualizuj adresy URL odpowiedzi w obiekcie aplikacji przy użyciu adresu URL odpowiedzi, a następnie zaktualizuj jednostkę usługi. Użyj Get-MgServicePrincipal, aby uzyskać wartość identyfikatora jednostki usługi.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. Aplikacja SAP Fiori oczekuje, że asercji SAML będą w określonym formacie. Skonfiguruj następujące żądania dla tej aplikacji. Aby zarządzać tymi wartościami atrybutów, w okienku Konfigurowanie pojedynczego Sign-On przy użyciu SAML wybierz pozycję Edytuj.

    okienko Atrybuty użytkownika

  15. W okienku atrybuty użytkownika & żądania skonfiguruj atrybuty tokenu SAML, jak widoczne na poprzedniej ilustracji. Następnie wykonaj następujące kroki:

    1. Wybierz pozycję Edytuj, aby otworzyć okienko zarządzania oświadczeniami użytkowników.

    2. Na liście przekształcenia wybierz ExtractMailPrefix().

    3. Na liście Parametr 1 wybierz pozycję user.userprincipalname.

    4. Wybierz pozycję Zapisz.

      okienko Zarządzanie oświadczeniami użytkowników

      sekcja Przekształcenie w panelu Zarządzanie oświadczeniami użytkowników

  16. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu SAML, w sekcji Certyfikat podpisu SAML, znajdź Federation Metadata XML i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    link pobierania certyfikatu

  17. W sekcji Konfigurowanie SAP Fiori skopiuj odpowiednie adresy URL w zależności od wymagań.

    Skopiuj adresy URL konfiguracji

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra przynajmniej jako Administrator użytkowników.
  2. Przejdź do Identity>Users>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownikaw górnej części ekranu.
  4. Właściwościach użytkownika wykonaj następujące kroki:
    1. W polu nazwa wyświetlana wprowadź B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extension. Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło, a następnie zapisz wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji SAP Fiori.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako przynajmniej Administrator aplikacji w chmurze.
  2. Przejdź do Identity>Applications>Enterprise applications>SAP Fiori.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy .
  4. Wybierz Dodaj użytkownika/grupę, a następnie wybierz Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania.
    1. W oknie dialogowym użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę. Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie zadania kliknij przycisk Przypisz.

Konfigurowanie SSO SAP Fiori

  1. Zaloguj się do systemu SAP i przejdź do kodu transakcji SAML2. Zostanie otwarte nowe okno przeglądarki ze stroną konfiguracji PROTOKOŁU SAML.

  2. Aby skonfigurować punkty końcowe dla zaufanego dostawcy tożsamości (Microsoft Entra ID), wybierz kartę Zaufani dostawcy.

    Zakładka zaufani dostawcy w programie SAP

  3. Wybierz pozycję Dodaj, a następnie wybierz pozycję Przekaż plik metadanych z menu kontekstowego.

    opcje dodawania i przesyłania pliku metadanych w programie SAP

  4. Przekaż pobrany plik metadanych. Wybierz pozycję Dalej.

    Wybierz plik metadanych do przekazania w programie SAP

  5. Na następnej stronie w polu Alias wprowadź nazwę aliasu. Na przykład aadsts. Wybierz pozycję Dalej.

    pole Alias w programie SAP

  6. Upewnij się, że wartość w polu algorytmu szyfrowania jest SHA-256. Wybierz pozycję Dalej.

    sprawdź wartość algorytmu skrótu w SAP

  7. W sekcji pojedyncze punkty końcowe Sign-On, wybierz HTTP POST, a następnie wybierz Dalej.

    opcje pojedynczych punktów końcowych Sign-On w programie SAP

  8. W obszarze Punkty końcowe jednokrotnego wylogowaniawybierz Przekierowanie HTTP, a następnie wybierz Dalej.

    Opcje punktów końcowych jednokrotnego wylogowania w programie SAP

  9. W obszarze Artifact Endpointswybierz opcję Dalej, aby kontynuować.

    Opcje punktów końcowych artefaktu w programie SAP

  10. W obszarze Wymagania dotyczące uwierzytelnianiawybierz Zakończ.

    opcje wymagań dotyczących uwierzytelniania i opcja Zakończ w programie SAP

  11. Wybierz Zaufany Dostawca>Identity Federation (W dolnej części strony). Wybierz Edytuj.

    zakładki Zaufany Dostawca i Federacja Tożsamości w SAP

  12. Wybierz pozycję Dodaj.

    Opcja

  13. W oknie dialogowym Obsługiwane formaty NameID wybierz nieokreślony. Wybierz pozycję OK.

    okno dialogowe Obsługiwane formaty NameID i opcje w programie SAP

    Wartości źródła identyfikatora użytkownika i trybu mapowania identyfikatora użytkownika określają połączenie między użytkownikiem SAP a roszczeniem Microsoft Entra.

    Scenariusz 1: mapowanie użytkownika SAP na użytkownika Entra firmy Microsoft

    1. W systemie SAP, w obszarze Szczegóły formatu identyfikatora NameID "Nieokreślony", zanotuj:

      Zrzut ekranu przedstawiający okno dialogowe

    2. W portalu Azure, w sekcji Atrybuty użytkownika & Oświadczenia, zanotuj wymagane oświadczenia z Microsoft Entra ID.

      Zrzut ekranu przedstawiający okno dialogowe

    scenariusz 2: wybierz identyfikator użytkownika SAP na podstawie skonfigurowanego adresu e-mail w programie SU01. W takim przypadku identyfikator poczty e-mail powinien być skonfigurowany w usłudze SU01 dla każdego użytkownika, który wymaga logowania jednokrotnego.

    1. W systemie SAP w obszarze Szczegóły formatu NameID "Nieokreślony"zanotuj szczegóły:

      okno dialogowe 'Szczegóły formatu NameID'

    2. Na portalu Azure w sekcji atrybutów użytkownika i oświadczeń User Attributes & Claimszanotuj wymagane oświadczenia z Microsoft Entra ID.

      okno dialogowe Atrybuty użytkownika i oświadczenia w portalu Azure

  14. Wybierz pozycję Zapisz, a następnie wybierz pozycję Włącz, aby włączyć dostawcę tożsamości.

    opcje Zapisz i Włącz w programie SAP

  15. Po wyświetleniu monitu wybierz pozycję OK.

    opcja OK w oknie dialogowym Konfiguracji SAML 2.0 w programie SAP

Tworzenie użytkownika testowego aplikacji SAP Fiori

W tej sekcji utworzysz użytkownika o nazwie Britta Simon w aplikacji SAP Fiori. Współpracuj z wewnętrznym zespołem ekspertów SAP lub partnerem SAP w organizacji, aby dodać użytkownika na platformie SAP Fiori.

Testowanie logowania jednokrotnego

  1. Po aktywowaniu dostawcy tożsamości Microsoft Entra ID w rozwiązaniu SAP Fiori spróbuj uzyskać dostęp do jednego z następujących adresów URL, aby przetestować logowanie jednokrotne (nie należy monitować o podanie nazwy użytkownika i hasła):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Uwaga

    Zastąp <sap-url> rzeczywistą nazwą hosta SAP.

  2. Adres URL testu powinien zostać wyświetlony na następującej stronie aplikacji testowej w oprogramowaniu SAP. Jeśli strona zostanie otwarta, logowanie jednokrotne firmy Microsoft Entra zostanie pomyślnie skonfigurowane.

    strona standardowej aplikacji testowej w oprogramowaniu SAP

  3. Jeśli zostanie wyświetlony monit o podanie nazwy użytkownika i hasła, włącz śledzenie, aby ułatwić diagnozowanie problemu. Użyj następującego adresu URL dla śledzenia:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Powiązana zawartość

Po skonfigurowaniu rozwiązania SAP Fiori możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.