Dela via

Microsoft Entra-integrering med enkel inloggning (SSO) med SAP Fiori

  • Artikel

I den här artikeln får du lära dig hur du integrerar SAP Fiori med Microsoft Entra-ID. När du integrerar SAP Fiori med Microsoft Entra-ID kan du:

  • Kontrollera vem som har åtkomst i Microsoft Entra ID till SAP Fiori.
  • Gör så att dina användare automatiskt loggas in på SAP Fiori med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Förutsättningar

Scenariot som beskrivs i den här artikeln förutsätter att du redan har följande förutsättningar:

  • SAP Fiori-prenumeration med enkel inloggning (SSO) aktiverat.

Scenariobeskrivning

I den här artikeln konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

  • SAP Fiori stöder SP initierad SSO

Anteckning

För SAP Fiori-initierad iFrame-autentisering rekommenderar vi att du använder parametern IsPassive i SAML AuthnRequest för tyst autentisering. Mer information om parametern IsPassive finns i information om enkel inloggning med Microsoft Entra SAML.

För att konfigurera integreringen av SAP Fiori i Microsoft Entra-ID måste du lägga till SAP Fiori från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst en molnprogramadministratör.
  2. Bläddra till Identity>Applications>Företagsapplikationer>Ny applikation.
  3. I avsnittet Lägg till från galleriet skriver du SAP Fiori- i sökrutan.
  4. Välj SAP Fiori- från resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Alternativt kan du också använda Enterprise-appkonfigurationsguiden. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för SAP Fiori

Konfigurera och testa Microsoft Entra SSO med SAP Fiori med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i SAP Fiori.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med SAP Fiori:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med B.Simon.
    2. Tilldela Microsoft Entra-testanvändaren – så att B.Simon kan använda enkel inloggning med Microsoft Entra.
  2. Konfigurera SAP Fiori SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa SAP Fiori-testanvändare – för att ha en motsvarighet till B.Simon i SAP Fiori som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa SSO- – för att kontrollera om konfigurationen fungerar.

Konfigurera Microsoft Entra SSO

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Öppna ett nytt webbläsarfönster och logga in på din SAP Fiori-företagswebbplats som administratör.

  2. Kontrollera att http och https-tjänster är aktiva och att relevanta portar har tilldelats till transaktionskoden SMICM.

  3. Logga in på SAP Business Client för SAP-system T01, där enkel inloggning krävs. Aktivera sedan HANTERING av HTTP-säkerhetssessioner.

    1. Gå till transaktionskod SICF_SESSIONS. Alla relevanta profilparametrar med aktuella värden visas. De ser ut som i följande exempel:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Anteckning

      Justera parametrarna baserat på organisationens krav. De föregående parametrarna anges endast som ett exempel.

    2. Om det behövs justerar du parametrarna i sap-systemets instansprofil (standard) och startar om SAP-systemet.

    3. Dubbelklicka på den relevanta klienten för att aktivera en HTTP-säkerhetssession.

      Aktuella värden för relevanta profilparametrar i SAP sidan

    4. Aktivera följande SICF-tjänster:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Gå till transaktionskoden SAML2 i Business Client för SAP-systemet [T01/122]. Konfigurationsgränssnittet öppnas i ett nytt webbläsarfönster. I det här exemplet använder vi Business Client för SAP-system 122.

    inloggningssidan för SAP Fiori Business Client

  5. Ange ditt användarnamn och lösenord och välj sedan Logga in.

    SIDAN SAML 2.0-konfiguration av ABAP System T01/122 i SAP

  6. I rutan Providernamn ersätter du T01122 med http://T01122och väljer sedan Spara.

    Not

    Som standard är providernamnet i formatet <sid><klient>. Microsoft Entra ID förväntar sig namnet i formatet <protokoll>://<namn>. Vi rekommenderar att du underhåller providernamnet som https://<sid><klient> så att du kan konfigurera flera SAP Fiori ABAP-motorer i Microsoft Entra-ID.

    Det uppdaterade namnet på leverantören i SAML 2.0-konfigurationen av ABAP System T01/122-sidan i SAP

  7. Välj fliken Lokal leverantör>Metadata.

  8. I dialogrutan SAML 2.0-metadata hämtar du den genererade XML-filen för metadata och sparar den på datorn.

    länken Ladda ned metadata i dialogrutan SAP SAML 2.0-metadata

  9. Logga in på administrationscentret för Microsoft Entra som minst en molnprogramadministratör.

  10. Bläddra till Identity>Applications>Företagsprogram>SAP Fiori>Single sign-on.

  11. På sidan Välj en Single Sign-On-metod väljer du SAML.

  12. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  13. I avsnittet Grundläggande SAML-konfiguration utför du följande steg om du har tjänstproviderns metadatafil:

    1. Klicka på Ladda upp metadatafil.

      Ladda upp metadatafil

    2. Klicka på mapplogotyp för att välja metadatafilen och klicka på Ladda upp.

      välja metadatafil

    3. När metadatafilen har laddats upp fylls värdena Identifierare och Svars-URL automatiskt i fönstret Grundläggande SAML-konfiguration. I rutan Inloggnings-URL anger du en URL som har följande mönster: https://<your company instance of SAP Fiori>.

      Obs

      Vissa kunder har påträffat ett fel i en felaktig svars-URL som konfigurerats för deras instans. Om du får ett sådant fel använder du dessa PowerShell-kommandon. Uppdatera först svars-URL:erna i programobjektet med svars-URL:en och uppdatera sedan tjänstens huvudnamn. Använd Get-MgServicePrincipal för att hämta värdet för Service Principal-ID:t.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. SAP Fiori-programmet förväntar sig att SAML-försäkran är i ett specifikt format. Konfigurera följande anspråk för den här applikationen. Om du vill hantera dessa attributvärden går du till fönstret Konfigurera enstaka Sign-On med SAML och väljer Redigera.

    Användarattributfönstret

  15. I fönstret Användarattribut & Anspråk konfigurerar du SAML-tokenattributen enligt bilden ovan. Slutför sedan följande steg:

    1. Välj Redigera för att öppna fönstret Hantera användaranspråk.

    2. I listan Transformation väljer du ExtractMailPrefix().

    3. I listan Parameter 1 väljer du user.userprincipalname.

    4. Välj Spara.

      Hantera användaranspråk-fönstret

      Avsnittet Omvandling i fönstret Hantera användaruppgifter

  16. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat, hittar XML- för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

    Länken för nedladdning av certifikat

  17. I avsnittet Konfigurera SAP Fiori kopierar du lämpliga URL:er baserat på dina behov.

    Kopiera konfigurations-URL:er

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst en användaradministratör.
  2. Bläddra till Identitet>Användare>Alla Användare.
  3. Välj Ny användare>Skapa ny användareöverst på skärmen.
  4. I egenskaperna för användare , följ dessa steg:
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Till exempel B.Simon@contoso.com.
    3. Markera kryssrutan Visa lösenord och skriv sedan ned värdet som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till SAP Fiori.

  1. Logga in på administrationscentret för Microsoft Entra som minst en molnprogramadministratör.
  2. Bläddra till Identity>Applikationer>Enterprise-applikationer>SAP Fiori.
  3. På appens översiktssida väljer du Användare och grupper.
  4. Välj Lägg till användare/gruppoch välj sedan Användare och grupper i dialogrutan Lägg till tilldelning.
    1. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
    2. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll. Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
    3. I dialogrutan Lägg till uppgift klickar du på knappen Tilldela.

Konfigurera SAP Fiori SSO

  1. Logga in på SAP-systemet och gå till transaktionskoden SAML2. Ett nytt webbläsarfönster öppnas med SAML-konfigurationssidan.

  2. Om du vill konfigurera slutpunkter för en betrodd identitetsprovider (Microsoft Entra-ID) väljer du fliken Betrodda providers.

    fliken Betrodda providers i SAP

  3. Välj Lägg tilloch välj sedan Ladda upp metadatafil på snabbmenyn.

    alternativen Lägg till och ladda upp metadatafil i SAP

  4. Ladda upp metadatafilen som du laddade ned. Välj Nästa.

    Välj den metadatafil som ska laddas upp i SAP

  5. På nästa sida i rutan Alias anger du aliasnamnet. Till exempel aadsts. Välj Nästa.

    Alias-rutan i SAP

  6. Kontrollera att värdet i rutan Digest Algorithm är SHA-256. Välj Nästa.

    Verifiera värdet för sammanfattad algoritm i SAP

  7. Under Enstaka Sign-On-slutpunkterväljer du HTTP POST-och väljer sedan Nästa.

    alternativ för enstaka Sign-On-slutpunkter i SAP

  8. Under slutpunkter för enkel utloggningväljer du HTTP-omdirigeringoch väljer sedan Nästa.

    alternativ för slutpunkter för enkel utloggning i SAP

  9. Under Artefaktslutpunkterväljer du Nästa för att fortsätta.

    alternativ för artefaktslutpunkter i SAP

  10. Under autentiseringskravväljer du Slutför.

    alternativ för autentiseringskrav och alternativet Slutför i SAP

  11. Välj Betrodd Leverantör>identitetsfederation (längst ned på sidan). Välj Redigera.

    flikarna Betrodd provider och identitetsfederation i SAP

  12. Välj Lägg till.

    Alternativet Lägg till på fliken Identitetsfederation

  13. I dialogrutan NameID-format som stöds väljer du Ospecificerad. Välj OK.

    Dialogrutan för stödda NameID-format och alternativ i SAP

    Värdena för användar-ID Källa och användar-ID Mappningsläge bestämmer länken mellan SAP-användaren och Microsoft Entra-claimen.

    Scenario 1: SAP-användare till Microsoft Entra-användarkoppling

    1. I SAP, under Detaljer om NameID-format "Ospecificerad", Obs följande detaljer:

      Skärmbild som visar dialogrutan

    2. I Azure-portalen, under Användarattribut & Krav, noterar du de krav som krävs från Microsoft Entra ID.

      Skärmbild som visar dialogrutan

    Scenario 2: Välj SAP-användar-ID baserat på den konfigurerade e-postadressen i SU01. I det här fallet ska e-post-ID:t konfigureras i SU01 för varje användare som behöver enkel inloggning.

    1. I SAP, under Information om NameID-format "Ospecificerad", notera informationen:

      dialogrutan Detaljer om Namn-ID-format

    2. I Azure-portalen, under Användarattribut & anspråk, noterar du de anspråk som krävs från Microsoft Entra-ID.

      dialogrutan Användarattribut och anspråk i Azure-portalen

  14. Välj Sparaoch välj sedan Aktivera för att aktivera identitetsprovidern.

    alternativen Spara och Aktivera i SAP

  15. Välj OK när du uppmanas att göra det.

    alternativet

Skapa SAP Fiori-testanvändare

I det här avsnittet skapar du en användare med namnet Britta Simon i SAP Fiori. Arbeta med ditt interna SAP-team med experter eller din organisations SAP-partner för att lägga till användaren i SAP Fiori-plattformen.

Testa SSO

  1. När identitetsprovidern Microsoft Entra ID har aktiverats i SAP Fiori försöker du komma åt någon av följande URL:er för att testa enkel inloggning (du bör inte uppmanas att ange användarnamn och lösenord):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Not

    Ersätt <sap-url> med det faktiska SAP-värdnamnet.

  2. Test-URL:en bör ta dig till följande testprogramsida i SAP. Om sidan öppnas har enkel inloggning med Microsoft Entra konfigurerats.

    Standardtestprogramsidan i SAP

  3. Om du uppmanas att ange ett användarnamn och lösenord aktiverar du spårning för att diagnostisera problemet. Använd följande URL för spårningen:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Relaterat innehåll

När du har konfigurerat SAP Fiori kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för Cloud Apps.