Partilhar via

Integração do logon único (SSO) do Microsoft Entra com o SAP Fiori

  • Artigo

Neste artigo, você aprenderá como integrar o SAP Fiori ao Microsoft Entra ID. Ao integrar o SAP Fiori ao Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso ao SAP Fiori.
  • Permita que seus usuários façam login automaticamente no SAP Fiori com suas contas Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

  • Assinatura habilitada para logon único (SSO) do SAP Fiori.

Descrição do cenário

Neste artigo, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • O SAP Fiori suporta SSO iniciado por SP

Observação

Para a autenticação iFrame iniciada pelo SAP Fiori, recomendamos o uso do parâmetro IsPassive no SAML AuthnRequest para autenticação silenciosa. Para obter mais detalhes do parâmetro IsPassive, consulte as informações sobre logon único SAML do Microsoft Entra .

Para configurar a integração do SAP Fiori no Microsoft Entra ID, você precisa adicionar o SAP Fiori da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Cloud Application Administrator.
  2. Navegue até Identidade>Aplicações>Aplicações de empresa>Nova aplicação.
  3. Na seção Adicionar à Galeria, digite SAP Fiori na caixa de pesquisa.
  4. Selecione SAP Fiori no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração do Enterprise App. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para SAP Fiori

Configure e teste o Microsoft Entra SSO com o SAP Fiori usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no SAP Fiori.

Para configurar e testar o Microsoft Entra SSO com o SAP Fiori, execute as seguintes etapas:

  1. Configurar o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    1. Criar um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
    2. Atribua o de usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
  2. Configurar o SAP Fiori SSO - para configurar as configurações de logon único no lado do aplicativo.
    1. Create SAP Fiori test user - para ter um equivalente de B.Simon no SAP Fiori que esteja vinculado à representação de usuário do Microsoft Entra.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Abra uma nova janela do navegador da Web e faça login no site da empresa SAP Fiori como administrador.

  2. Certifique-se de que http e serviços https estão ativos e que as portas relevantes estão atribuídas ao código de transação SMICM.

  3. Inicie sessão no SAP Business Client para o sistema SAP T01, onde é necessário o logon único. Em seguida, ative o Gerenciamento de Sessão de Segurança HTTP.

    1. Vá para o código de transação SICF_SESSIONS. Todos os parâmetros de perfil relevantes com valores atuais são mostrados. Eles se parecem com o seguinte exemplo:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Observação

      Ajuste os parâmetros com base nos requisitos da sua organização. Os parâmetros anteriores são dados apenas como exemplo.

    2. Se necessário, ajuste os parâmetros no perfil da instância (padrão) do sistema SAP e reinicie o sistema SAP.

    3. Clique duas vezes no cliente relevante para habilitar uma sessão de segurança HTTP.

      Os valores atuais dos parâmetros relevantes de perfil na página do SAP

    4. Ative os seguintes serviços SICF:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Vá para o código de transação SAML2 no sistema Business Client for SAP [T01/122]. A interface do usuário de configuração é aberta em uma nova janela do navegador. Neste exemplo, usamos o sistema Business Client for SAP 122.

    A página de login do SAP Fiori Business Client

  5. Introduza o seu nome de utilizador e palavra-passe e, em seguida, selecione Iniciar sessão.

    A página de configuração SAML 2.0 do sistema ABAP T01/122 no SAP

  6. Na caixa Nome do Provedor, substitua T01122 por http://T01122e selecione Salvar.

    Observação

    Por padrão, o nome do provedor está no formato <sid><cliente>. Microsoft Entra ID espera o nome no formato <protocolo>://<nome>. Recomendamos que você mantenha o nome do provedor como https://<sid><cliente> para que possa configurar vários mecanismos SAP Fiori ABAP no Microsoft Entra ID.

    O nome do provedor atualizado na página Configuração SAML 2.0 do sistema ABAP T01/122 no SAP

  7. Selecione separador Provedor Local>Metadados.

  8. Na caixa de diálogo SAML 2.0 Metadata, baixe o arquivo XML de metadados gerado e salve-o em seu computador.

    O link de Metadados de Download na caixa de diálogo de Metadados do SAP SAML 2.0

  9. Entre no centro de administração do Microsoft Entra como no mínimo um Administrador de Aplicações na Nuvem.

  10. Navegue até Identity>Applications>Enterprise applications>SAP Fiori>Início de sessão único.

  11. Na página Selecione um método de logon único, selecione SAML.

  12. Na página Configurar SAML com logon único, clique no ícone de lápis em Configuração Básica do SAML para editar as configurações.

    Editar Configuração Básica SAML

  13. Na seção de Configuração Básica do SAML, se você tiver arquivo de metadados do provedor de serviços, execute as seguintes etapas:

    1. Clique Carregar arquivo de metadados.

      Carregar arquivo de metadados

    2. Clique no logotipo da pasta para selecionar o arquivo de metadados e clique em Carregar.

      escolher o arquivo de metadados

    3. Quando o arquivo de metadados é carregado com êxito, o de Identificador de e os valores de URL de Resposta são preenchidos automaticamente no painel Configuração SAML Básica do. Na caixa de URL de início de sessão , introduza um URL com o seguinte padrão: https://<your company instance of SAP Fiori>.

      Observação

      Alguns clientes encontraram um erro de uma URL de resposta incorreta configurada para sua instância. Se você receber esse erro, use esses comandos do PowerShell. Atualize primeiro as URLs de resposta no objeto de aplicativo com a URL de resposta e, em seguida, atualize o principal do serviço. Use o Get-MgServicePrincipal para obter o valor do identificador do Principal de Serviço.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. O aplicativo SAP Fiori espera que as asserções SAML estejam em um formato específico. Configure as seguintes declarações para este aplicativo. Para gerir esses valores de atributo, no painel Configurar único com SAML Sign-On, selecione Editar.

    O painel Atributos do usuário

  15. No painel Atributos do Utilizador & Declarações, configure os atributos do token SAML conforme mostrado na imagem anterior. Em seguida, conclua as seguintes etapas:

    1. Selecione Editar para abrir o painel Gerir declarações de utilizador.

    2. Na lista Transformation, selecione ExtractMailPrefix().

    3. Na lista Parâmetro 1, selecione user.userprincipalname.

    4. Selecione Salvar.

      O painel Gerenciar declarações de usuário

      A seção Transformação no painel Gerenciar declarações do usuário

  16. Na página Configurar início de sessão único com SAML, na seção Certificado de Assinatura SAML, localize XML de Metadados de Federação e selecione Download para baixar o certificado e guardá-lo no seu computador.

    O link de download do certificado

  17. Na seção Configurar SAP Fiori, copie o(s) URL(s) apropriado(s) com base em sua necessidade.

    Copiar URLs de configuração

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuários.
  2. Navegue até Identidade>Utilizadores>Todos os utilizadores.
  3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
  4. Nas propriedades de utilizador , siga os seguintes passos:
    1. No campo Nome para exibição, digite B.Simon.
    2. No campo Nome principal do usuário, digite o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Selecione a caixa de seleção Mostrar palavra-passe e, em seguida, anote o valor exibido na caixa Palavra-passe.
    4. Selecione Rever + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Simon use o logon único concedendo acesso ao SAP Fiori.

  1. Entre no centro de administração do Microsoft Entra como no mínimo um Administrador de Aplicações na Nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>SAP Fiori.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicione utilizador/grupoe, em seguida, selecione Utilizadores e grupos na caixa de diálogo Adicionar atribuição.
    1. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista de Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se estiver à espera que um papel seja atribuído aos utilizadores, pode selecioná-lo no menu suspenso Selecione um papel. Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
    3. Na caixa de diálogo Adicionar Atribuição, clique no botão Atribuir.

Configurar o SAP Fiori SSO

  1. Entre no sistema SAP e vá para o código de transação SAML2. Uma nova janela do navegador é aberta com a página de configuração SAML.

  2. Para configurar endpoints para um provedor de identidade confiável (Microsoft Entra ID), selecione a guia Provedores Confiáveis.

    guia Provedores confiáveis no SAP

  3. Selecione Adicionare, em seguida, selecione Carregar Arquivo de Metadados no menu de contexto.

    as opções Adicionar e Carregar Ficheiro de Metadados no SAP

  4. Carregue o arquivo de metadados que você baixou. Selecione Avançar.

    Selecione o arquivo de metadados a ser carregado no SAP

  5. Na página seguinte, na caixa Alias, introduza o nome do alias. Por exemplo, aadsts. Selecione Avançar.

    A caixa Alias no SAP

  6. Verifique se o valor na caixa Algoritmo Digest é SHA-256. Selecione Avançar.

    Verificar o valor do algoritmo Digest no SAP

  7. Em Pontos de Extremidade de Sign-On Único , selecione HTTP POST e, em seguida, selecione Avançar.

    opções de endpoints de Sign-On único no SAP

  8. Em Endpoints de Logout Único, selecione Redirecionamento HTTPe, em seguida, selecione Avançar.

    opções de terminais de logout único no SAP

  9. Em Pontos de Extremidade de Artefato, selecione Seguinte para continuar.

    opções de pontos finais de artefato no SAP

  10. Em Requisitos de Autenticação, selecione Concluir.

    opções de requisitos de autenticação e a opção Concluir no SAP

  11. Selecione Provedor Confiável> Federação de Identidades (na parte inferior da página). Selecione Editar.

    as guias Provedor confiável e Federação de identidades no SAP

  12. Selecione Adicionar.

    A opção Adicionar no separador Federação de Identidades

  13. Na caixa de diálogo Formatos NameID Suportados, selecione Não Especificado . Selecione OK.

    caixa de diálogo Formatos NameID suportados e opções no SAP

    Os valores para a Origem de ID de Utilizador e o Modo de Mapeamento de ID de Utilizador determinam o vínculo entre o utilizador SAP e a declaração do Microsoft Entra.

    Cenário 1: Mapeamento de usuário SAP para usuário Microsoft Entra

    1. Em SAP, na seção Detalhes do formato NameID "Não especificado", observe os detalhes:

      Captura de ecrã que mostra a caixa de diálogo 'Detalhes do formato NameID

    2. No portal do Azure, em Atributos do Utilizador & Declarações, observe as declarações necessárias da ID do Microsoft Entra.

      Captura de tela que mostra a caixa de diálogo

    Cenário 2: Selecione o ID de usuário SAP com base no endereço de e-mail configurado no SU01. Neste caso, o ID de e-mail deve ser configurado em SU01 para cada usuário que requer SSO.

    1. No SAP, em Detalhes do formato NameID "Não especificado", observe os detalhes:

      Detalhes do formato NameID

    2. No portal do Azure, em Atributos de Utilizador & Declarações, anote as declarações necessárias do Microsoft Entra ID.

      A caixa de diálogo Atributos e Declarações do Usuário no portal do Azure

  14. Selecione Guardare, em seguida, selecione Ativar para ativar o fornecedor de identidade.

    As opções Salvar e Ativar no SAP

  15. Selecione OK quando solicitado.

    A opção OK na caixa de diálogo Configuração do SAML 2.0 no SAP

Criar usuário de teste do SAP Fiori

Nesta seção, você cria um usuário chamado Britta Simon no SAP Fiori. Trabalhe com sua equipe interna de especialistas SAP ou com seu parceiro SAP da organização para adicionar o usuário à plataforma SAP Fiori.

SSO de teste

  1. Depois que o provedor de identidade Microsoft Entra ID for ativado no SAP Fiori, tente acessar uma das seguintes URLs para testar o logon único (você não deve ser solicitado a fornecer um nome de usuário e senha):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Observação

    Substitua <sap-url> pelo nome real do host SAP.

  2. A URL de teste deve levá-lo para a seguinte página do aplicativo de teste no SAP. Se a página for aberta, o logon único do Microsoft Entra será configurado com êxito.

    A página do aplicativo de teste padrão no SAP

  3. Se for solicitado um nome de usuário e uma senha, habilite o rastreamento para ajudar a diagnosticar o problema. Use a seguinte URL para o rastreamento:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Conteúdo relacionado

Depois de configurar o SAP Fiori, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.