Aracılığıyla paylaş

SAP Fiori ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi

  • Makale

Bu makalede SAP Fiori'yi Microsoft Entra Id ile tümleştirmeyi öğreneceksiniz. SAP Fiori'yi Microsoft Entra ID ile tümleştirdiğinizde şunları yapabilirsiniz:

  • MICROSOFT Entra Id'de SAP Fiori'ye kimlerin erişimi olduğunu denetleme.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla SAP Fiori'de otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

Önkoşullar

Bu makalede özetlenen senaryo, aşağıdaki önkoşullara zaten sahip olduğunuzu varsayar:

  • Etkin aboneliği olan bir Microsoft Entra kullanıcı hesabı. Henüz bir hesabınız yoksa, ücretsiz bir hesap oluştur .
  • Aşağıdaki rollerden biri:
  • SAP Fiori çoklu oturum açma (SSO) özellikli abonelik.

Senaryo açıklaması

Bu makalede Microsoft Entra SSO'larını bir test ortamında yapılandırıp test edebilirsiniz.

  • SAP Fiori, SP başlatılan SSO'ları destekler

Not

SAP Fiori tarafından başlatılan iFrame Kimlik Doğrulaması için, sessiz kimlik doğrulaması için SAML AuthnRequest içindeki IsPassive parametresini kullanmanızı öneririz. IsPassive parametresinin daha fazla ayrıntısı için Microsoft Entra SAML çoklu oturum açma bilgilerine bakın.

SAP Fiori'nin Microsoft Entra ID ile tümleştirilmesini yapılandırmak için galerideki SAP Fiori'yi yönetilen SaaS uygulamaları listenize eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yöneticisiolarak oturum açın.
  2. Kimlik>Uygulamalar>Kurumsal uygulamalar>Yeni uygulama'na göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna SAP Fiori yazın.
  4. Sonuçlar panelinden SAP Fiori seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırma Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

SAP Fiori için Microsoft Entra SSO yapılandırma ve test

B.Simonadlı bir test kullanıcısını kullanarak SAP Fiori ile Microsoft Entra SSO'larını yapılandırın ve test edin. SSO'nun çalışması için Bir Microsoft Entra kullanıcısı ile SAP Fiori'deki ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

SAP Fiori ile Microsoft Entra SSO'larını yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanabilmesi için Microsoft Entra SSO yapılandırın.
    1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için Microsoft Entra test kullanıcısı oluşturun.
    2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcı atayın.
  2. SAP Fiori SSO'yu, uygulama tarafında tek oturum açma ayarlarını yapılandırmak için yapılandır.
    1. SAP Fiori test kullanıcısı oluştur - SAP Fiori'de B.Simon'un karşılığı olacak ve Microsoft Entra kullanıcı temsilimi ile bağlantılı bir kullanıcıya sahip olmak için.
  3. SSOtestini, yapılandırmanın çalışıp çalışmadığını doğrulamak için yapın.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Yeni bir web tarayıcısı penceresi açın ve SAP Fiori şirket sitenizde yönetici olarak oturum açın.

  2. http ve https hizmetlerinin etkin ve ilgili bağlantı noktalarının SMICM işlem koduna atandığından emin olun.

  3. Çoklu oturum açmanın gerekli olduğu SAP sistemi T01için SAP Business Client'da oturum açın. Ardından HTTP Güvenlik Oturumu Yönetimi'ni etkinleştirin.

    1. SICF_SESSIONSişlem koduna gidin. Geçerli değerlere sahip tüm ilgili profil parametreleri gösterilir. Aşağıdaki örneğe benzerler:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Not

      Parametreleri kuruluşunuzun gereksinimlerine göre ayarlayın. Önceki parametreler yalnızca örnek olarak verilmiştir.

    2. Gerekirse, SAP sisteminin örnek (varsayılan) profilindeki parametreleri ayarlayın ve SAP sistemini yeniden başlatın.

    3. HTTP güvenlik oturumunu etkinleştirmek için ilgili istemciye çift tıklayın.

      SAP,

    4. Aşağıdaki SICF hizmetlerini etkinleştirin:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. SAP sistemi için Business Client'da SAML2 işlem koduna gidin [T01/122]. Yapılandırma kullanıcı arabirimi yeni bir tarayıcı penceresinde açılır. Bu örnekte SAP sistemi 122 için Business Client'ı kullanacağız.

    SAP Fiori business client oturum açma sayfası

  5. Kullanıcı adınızı ve parolanızı girin ve ardından Oturum aç'ıseçin.

    SAP

  6. Sağlayıcı Adı kutusundaki T01122 değerini http://T01122ile değiştirin ve ardından Kaydetdüğmesini seçin.

    Not

    Varsayılan olarak, sağlayıcı adı sid><istemci><biçimindedir. Microsoft Entra ID, adı <protokolü>://<>biçiminde bekler. Microsoft Entra ID'de birden çok SAP Fiori ABAP altyapısını yapılandırabilmeniz için sağlayıcı adını https://<sid><istemci> olarak tutmanızı öneririz.

    SAP 'de ABAP System T01/122'nin SAML 2.0 Yapılandırması sayfasındaki güncelleştirilmiş sağlayıcı adı

  7. Yerel Sağlayıcı sekmesini>Meta Veriseçin.

  8. SAML 2.0 Meta Veri iletişim kutusunda, oluşturulan meta veri XML dosyasını indirin ve bilgisayarınıza kaydedin.

    SAP SAML 2.0 Meta Verileri iletişim kutusundaki Meta Verileri İndir bağlantısını

  9. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yöneticisiolarak oturum açın.

  10. Kimlik>Uygulamalar>Kurumsal uygulamalar>SAP Fiori>Tek oturum açmakısmına göz atın.

  11. Tekli oturum açma yöntemi seçin sayfasında SAMLseçin.

  12. SAML ile tek oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması için kalem simgesine tıklayın.

    Temel SAML YapılandırmaDüzenle

  13. Temel SAML Yapılandırması bölümünde, Hizmet Sağlayıcısı meta veri dosyanız varsa aşağıdaki adımları gerçekleştirin:

    1. Meta veri dosyasını karşıya yükletıklayın.

      Meta veri dosyasını karşıya yükle

    2. Meta veri dosyasını seçmek için klasör logosuna tıklayın ve ardından Karşıya Yükletıklayın.

      meta veri dosyasıseçin

    3. Meta veri dosyası başarıyla karşıya yüklendiğinde, Tanımlayıcısı ve Yanıt URL'si değerleri Temel SAML Yapılandırması bölmesinde otomatik olarak doldurulur. Oturum açma URL'si kutusuna şu desene sahip bir URL girin: https://<your company instance of SAP Fiori>.

      Not

      Bazı müşteriler, örnekleri için yapılandırılmış yanlış bir Yanıt URL'si hatasıyla karşılaştı. Böyle bir hata alırsanız bu PowerShell komutlarını kullanın. Önce uygulama nesnesindeki Yanıt URL'lerini Yanıt URL'si ile güncelleştirin, ardından hizmet sorumlusunu güncelleştirin. Hizmet Sorumlusu Kimliği değerini almak için Get-MgServicePrincipal kullanın.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. SAP Fiori uygulaması, SAML onaylarının belirli bir biçimde olmasını bekler. Bu uygulama için aşağıdaki talepleri yapılandırın. Bu öznitelik değerlerini yönetmek için saml ile tek Sign-On ayarlama bölmesinde Düzenleöğesini seçin.

    Kullanıcı öznitelikleri bölmesi

  15. Kullanıcı Öznitelikleri & Talepleri bölmesinde, önceki görüntüde gösterildiği gibi SAML belirteci özniteliklerini yapılandırın. Ardından aşağıdaki adımları tamamlayın:

    1. Düzenle seçeneğini seçerek Kullanıcı taleplerini yönet bölmesini açın.

    2. Dönüştürme listesinde, ExtractMailPrefix()seçin.

    3. Parametre 1 listesinden user.userprincipalnameseçin.

    4. Kaydetöğesini seçin.

      Kullanıcı taleplerini yönet bölmesi

      Kullanıcı taleplerini yönet bölmesindeki Dönüştürme bölümü

  16. SAML ile çoklu oturum açmayı ayarlama sayfasının SAML İmzalama Sertifikası bölümünde Federasyon Meta Verileri XML bulun ve İndir seçerek sertifikayı indirip bilgisayarınıza kaydedin.

    Sertifika indirme bağlantısı

  17. SAP Fiori ayarlama bölümünde, gereksinimlerinize göre uygun URL'leri kopyalayın.

    yapılandırma URL'lerini kopyalama

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yöneticisiolarak oturum açın.
  2. Kimlik>Kullanıcılar>Tüm kullanıcılargidin.
  3. Ekranın üst kısmında Yeni kullanıcı seçin,>yeni kullanıcıoluşturun.
  4. Kullanıcı özelliklerinde şu adımları izleyin:
    1. Görünen ad alanına B.Simongirin.
    2. Kullanıcı asıl adı alanına username@companydomain.extensiongirin. Örneğin, B.Simon@contoso.com.
    3. Parola göster onay kutusunu seçin ve Parola kutusunda görüntülenen değeri not edin.
    4. İncele + oluşturseçin.
  5. Oluşturseçin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, SAP Fiori'ye erişim vererek B.Simon'un çoklu oturum açma özelliğini kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezine en az Bulut Uygulaması Yöneticisiolarak oturum açın.
  2. Identity>Uygulamalar>Kurumsal uygulamalar>SAP Fioribölümüne göz atın.
  3. Uygulamanın genel bakış sayfasında Kullanıcılar ve gruplarseçin.
  4. Kullanıcı/grupekle'yi seçin, ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar seçin.
    1. kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon seçin, ardından ekranın alt kısmındaki Seç düğmesine tıklayın.
    2. Kullanıcılara atanacak bir rolün kullanılması gerekiyorsa Rol seçin açılır listesinden seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
    3. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

SAP Fiori SSO'sını yapılandırma

  1. SAP sisteminde oturum açın ve SAML2 işlem koduna gidin. SAML yapılandırma sayfasıyla yeni bir tarayıcı penceresi açılır.

  2. Güvenilen bir kimlik sağlayıcısının (Microsoft Entra Id) uç noktalarını yapılandırmak için Güvenilen Sağlayıcılar sekmesini seçin.

    SAP

  3. Ekle'yi seçin ve ardından bağlam menüsünden Meta Veri Dosyasını Karşıya Yükle'yi seçin.

    SAP

  4. İndirdiğiniz meta veri dosyasını karşıya yükleyin. Sonrakiseçin.

    SAP'e yüklemek üzere meta veri dosyasını seçin

  5. Sonraki sayfada, Takma Ad kutusuna takma adı girin. Örneğin, aadsts. Sonrakiseçin.

    SAP

  6. Özet Algoritması kutusundaki değerin SHA-256 olduğundan emin olun. Seç Sonraki.

    SAP

  7. Tek Sign-On Uç Noktalarıaltında, HTTP POST'i ve ardından İleri'yı seçin.

    SAP

  8. Tek Oturumu Kapatma Uç Noktalarıaltında, HTTP Yeniden Yönlendirme'ü seçin ve ardından Sonraki'yi seçin.

    SAP

  9. Yapıt Uç Noktalarıaltında devam etmek için sonraki seçin.

    SAPEser Uç Noktaları seçenekleri

  10. Kimlik Doğrulama Gereksinimlerialtında Sonöğesini seçin.

    SAP

  11. Güvenilen Sağlayıcı>Kimlik Federasyonu (sayfanın en altında) seçin. seçin düzenle.

    SAPGüvenilen Sağlayıcı ve Kimlik Federasyonu sekmelerini

  12. Ekle'ı seçin.

    Kimlik Federasyonu sekmesindeki Ekle seçeneği

  13. desteklenen NameID Biçimleri iletişim kutusunda Belirtilmemiş seçin. ve'i seçin, ardından Tamam düğmesine basın.

    SAP

    SAP kullanıcısı ile Microsoft Entra talebi arasındaki bağlantıyı Kullanıcı Kimliği Kaynağı ve Kullanıcı Kimliği Eşleme Modu değerleri belirler.

    Senaryo 1: SAP kullanıcıdan Microsoft Entra kullanıcı eşlemesine

    1. SAP'de, NameID Biçiminin "Belirtilmemiş" Ayrıntıları altında ayrıntıları not edin:

      S A P'de 'NameID Biçiminin Ayrıntıları

    2. Azure portalında, Kullanıcı Öznitelikleri & Taleplerialtında, Microsoft Entra Id'den gerekli talepleri not alın.

    Senaryo 2: SU01'de yapılandırılan e-posta adresine göre SAP kullanıcı kimliğini seçin. Bu durumda, SSO gerektiren her kullanıcı için e-posta kimliği SU01'de yapılandırılmalıdır.

    1. SAP'de, NameID Biçiminin "Belirtilmemiş" Ayrıntıları altında ayrıntıları not edin:

      'da

    2. Azure portalında, Kullanıcı Öznitelikleri & Taleplerialtında, Microsoft Entra Id'den gerekli talepleri not alın.

      Azure portalında Kullanıcı Öznitelikleri ve Talepleri iletişim kutusunu

  14. Kaydet'iseçin ve ardından kimlik sağlayıcısını etkinleştirmek için Etkinleştir'i seçin.

    SAP içindeki Etkinleştir ve Kaydet seçenekleri

  15. İstendiğinde Tamam seçeneğini seçin.

    SAML 2.0 Yapılandırması iletişim kutusunda SAP"Tamam" seçeneği

SAP Fiori test kullanıcısı oluşturma

Bu bölümde, SAP Fiori'de Britta Simon adlı bir kullanıcı oluşturacaksınız. Kullanıcıyı SAP Fiori platformuna eklemek için şirket içi SAP uzman ekibinizle veya kuruluşunuzun SAP iş ortağıyla birlikte çalışın.

SSO'ları test edin

  1. SAP Fiori'de kimlik sağlayıcısı Microsoft Entra Id etkinleştirildikten sonra, çoklu oturum açmayı test etmek için aşağıdaki URL'lerden birine erişmeyi deneyin (kullanıcı adı ve parola istenmemelidir):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Bir Not

    <sap-url> değerini gerçek SAP ana bilgisayar adıyla değiştirin.

  2. Test URL'si sizi SAP'de aşağıdaki test uygulaması sayfasına götürmelidir. Sayfa açılırsa, Microsoft Entra çoklu oturum açma başarıyla ayarlanır.

    SAP 'daki standart test uygulaması sayfası

  3. Kullanıcı adı ve parola girmeniz istenirse, sorunu tanılamaya yardımcı olmak için izlemeyi etkinleştirin. İzleme için aşağıdaki URL'yi kullanın:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

İlgili içerik

SAP Fiori'yi yapılandırdıktan sonra, kuruluşunuzun hassas verilerinin gerçek zamanlı olarak dışarı sızmasını ve yetkisiz erişimini engelleyen oturum denetimini uygulayabilirsiniz. Oturum denetimi, Koşullu Erişim'den türetilmiştir. Cloud Apps için Microsoft Defenderile oturum denetimini zorunlu kılmayı öğrenin.