Aracılığıyla paylaş

Öğretici: SAP Fiori ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi

  • Makale

Bu öğreticide SAP Fiori'yi Microsoft Entra ID ile tümleştirmeyi öğreneceksiniz. SAP Fiori'yi Microsoft Entra ID ile tümleştirdiğinizde şunları yapabilirsiniz:

  • MICROSOFT Entra Id'de SAP Fiori'ye kimlerin erişimi olduğunu denetleme.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla SAP Fiori'de otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

Önkoşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

  • Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
  • SAP Fiori çoklu oturum açma (SSO) özellikli abonelik.

Senaryo açıklaması

Bu öğreticide, Microsoft Entra SSO'sunu bir test ortamında yapılandırıp test edin.

  • SAP Fiori, SP tarafından başlatılan SSO'ları destekler

Not

SAP Fiori tarafından başlatılan iFrame Kimlik Doğrulaması için sessiz kimlik doğrulaması için SAML AuthnRequest içindeki IsPassive parametresini kullanmanızı öneririz. IsPassive parametresinin diğer ayrıntıları için Microsoft Entra SAML çoklu oturum açma bilgilerine bakın.

SAP Fiori'nin Microsoft Entra ID ile tümleştirilmesini yapılandırmak için galerideki SAP Fiori'yi yönetilen SaaS uygulamaları listenize eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna SAP Fiori yazın.
  4. Sonuçlar panelinden SAP Fiori'yi seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

SAP Fiori için Microsoft Entra SSO yapılandırma ve test

B.Simon adlı bir test kullanıcısını kullanarak SAP Fiori ile Microsoft Entra SSO'yi yapılandırın ve test edin. SSO'nun çalışması için Bir Microsoft Entra kullanıcısı ile SAP Fiori'deki ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

SAP Fiori ile Microsoft Entra SSO'larını yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.
    1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
  2. UYGULAMA tarafında çoklu oturum açma ayarlarını yapılandırmak için SAP Fiori SSO'sunu yapılandırın.
    1. SAP Fiori test kullanıcısı oluşturma - SAP Fiori'de kullanıcının Microsoft Entra gösterimine bağlı bir B.Simon benzerine sahip olmak.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Yeni bir web tarayıcısı penceresi açın ve SAP Fiori şirket sitenizde yönetici olarak oturum açın.

  2. http ve https hizmetlerinin etkin olduğundan ve ilgili bağlantı noktalarının SMICM işlem koduna atandığından emin olun.

  3. Çoklu oturum açmanın gerekli olduğu SAP sistemi T01 için SAP Business Client'da oturum açın. Ardından HTTP Güvenlik Oturumu Yönetimi'ni etkinleştirin.

    1. İşlem kodu SICF_SESSIONS gidin. Geçerli değerlere sahip tüm ilgili profil parametreleri gösterilir. Aşağıdaki örneğe benzerler:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Not

      Parametreleri kuruluşunuzun gereksinimlerine göre ayarlayın. Önceki parametreler yalnızca örnek olarak verilmiştir.

    2. Gerekirse, SAP sisteminin örnek (varsayılan) profilindeki parametreleri ayarlayın ve SAP sistemini yeniden başlatın.

    3. HTTP güvenlik oturumunu etkinleştirmek için ilgili istemciye çift tıklayın.

      The Current Values of Relevant Profile Parameters page in SAP

    4. Aşağıdaki SICF hizmetlerini etkinleştirin:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. SAP sistemi için İş İstemcisi'nde SAML2 işlem koduna gidin [T01/122]. Yapılandırma kullanıcı arabirimi yeni bir tarayıcı penceresinde açılır. Bu örnekte SAP sistemi 122 için Business Client'ı kullanacağız.

    The SAP Fiori Business Client sign-in page

  5. Kullanıcı adınızı ve parolanızı girip Oturum aç'ı seçin.

    The SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  6. Sağlayıcı Adı kutusunda, T01122 değerini ile http://T01122değiştirin ve kaydet'i seçin.

    Not

    Varsayılan olarak, sağlayıcı adı sid><istemcisi> biçimindedir<. Microsoft Entra Id, adı protocol>://<name> biçiminde <bekler. Microsoft Entra ID'de birden çok SAP Fiori ABAP altyapısı yapılandırabilmeniz için sağlayıcı adını https://< sid><istemcisi> olarak tutmanızı öneririz.

    The updated provider name in the SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  7. Yerel Sağlayıcı sekmesi Meta Veriler'i> seçin.

  8. SAML 2.0 Meta Verileri iletişim kutusunda, oluşturulan meta veri XML dosyasını indirin ve bilgisayarınıza kaydedin.

    The Download Metadata link in the SAP SAML 2.0 Metadata dialog box

  9. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  10. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP Fiori>Çoklu oturum açma'ya göz atın.

  11. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  12. SAML ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.

    Edit Basic SAML Configuration

  13. Temel SAML Yapılandırması bölümünde Hizmet Sağlayıcısı meta veri dosyanız varsa aşağıdaki adımları gerçekleştirin:

    1. Meta veri dosyasını karşıya yükle'ye tıklayın.

      Upload metadata file

    2. Klasör logosuna tıklayarak meta veri dosyasını seçin ve Karşıya Yükle'ye tıklayın.

      choose metadata file

    3. Meta veri dosyası başarıyla karşıya yüklendiğinde, Tanımlayıcı ve Yanıt URL'si değerleri Temel SAML Yapılandırması bölmesinde otomatik olarak doldurulur. Oturum açma URL'si kutusuna aşağıdaki desene sahip bir URL girin: https://<your company instance of SAP Fiori>.

      Not

      Bazı müşteriler, örnekleri için yapılandırılmış yanlış bir Yanıt URL'si hatasıyla karşılaştı. Böyle bir hata alırsanız bu PowerShell komutlarını kullanın. Önce uygulama nesnesindeki Yanıt URL'lerini Yanıt URL'si ile güncelleştirin, ardından hizmet sorumlusunu güncelleştirin. Hizmet Sorumlusu Kimliği değerini almak için Get-MgServicePrincipal kullanın.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. SAP Fiori uygulaması, SAML onaylarının belirli bir biçimde olmasını bekler. Bu uygulama için aşağıdaki talepleri yapılandırın. Bu öznitelik değerlerini yönetmek için SAML ile Çoklu Oturum Açmayı Ayarla bölmesinde Düzenle'yi seçin.

    The User attributes pane

  15. Kullanıcı Öznitelikleri ve Talepler bölmesinde, önceki görüntüde gösterildiği gibi SAML belirteci özniteliklerini yapılandırın. Ardından aşağıdaki adımları tamamlayın:

    1. Düzenle'yi seçerek Kullanıcı taleplerini yönet bölmesini açın.

    2. Dönüştürme listesinde ExtractMailPrefix() öğesini seçin.

    3. Parametre 1 listesinde user.userprincipalname öğesini seçin.

    4. Kaydet'i seçin.

      The Manage user claims pane

      The Transformation section in the Manage user claims pane

  16. SAML ile çoklu oturum açmayı ayarlama sayfasında, SAML İmzalama Sertifikası bölümünde Federasyon Meta Verileri XML'sini bulun ve İndir'i seçerek sertifikayı indirip bilgisayarınıza kaydedin.

    The Certificate download link

  17. SAP Fiori'yi ayarlama bölümünde, gereksinimlerinize göre uygun URL'leri kopyalayın.

    Copy configuration URLs

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur'u belirleyin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, SAP Fiori'ye erişim vererek B.Simon'un çoklu oturum açma özelliğini kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP Fiori'ye göz atın.
  3. Uygulamanın genel bakış sayfasında Kullanıcılar ve gruplar'ı seçin.
  4. Kullanıcı/grup ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ı seçin.
    1. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın.
    2. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
    3. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

SAP Fiori SSO'sını yapılandırma

  1. SAP sisteminde oturum açın ve SAML2 işlem koduna gidin. SAML yapılandırma sayfasıyla yeni bir tarayıcı penceresi açılır.

  2. Güvenilen kimlik sağlayıcısının (Microsoft Entra Id) uç noktalarını yapılandırmak için Güvenilen Sağlayıcılar sekmesini seçin.

    The Trusted Providers tab in SAP

  3. Ekle'yi ve ardından bağlam menüsünden Meta Veri Dosyasını Karşıya Yükle'yi seçin.

    The Add and Upload Metadata File options in SAP

  4. İndirdiğiniz meta veri dosyasını karşıya yükleyin. İleri'yi seçin.

    Select the metadata file to upload in SAP

  5. Sonraki sayfada, Diğer Ad kutusuna diğer adı girin. Örneğin, aadsts. İleri'yi seçin.

    The Alias box in SAP

  6. Özet Algoritması kutusundaki değerin SHA-256 olduğundan emin olun. İleri'yi seçin.

    Verify the Digest Algorithm value in SAP

  7. Çoklu Oturum Açma Uç Noktaları'nın altında HTTP POST'ı ve ardından İleri'yi seçin.

    Single Sign-On Endpoints options in SAP

  8. Tek Oturum Kapatma Uç Noktaları'nın altında HTTP Yeniden Yönlendirme'yi ve ardından İleri'yi seçin.

    Single Logout Endpoints options in SAP

  9. Devam etmek için Yapıt Uç Noktaları'nın altında İleri'yi seçin.

    Artifact Endpoints options in SAP

  10. Kimlik Doğrulama Gereksinimleri'nin altında Son'u seçin.

    Authentication Requirements options and the Finish option in SAP

  11. Güvenilen Sağlayıcı>Kimliği Federasyonu'na tıklayın (sayfanın en altında). Düzenle öğesini seçin.

    The Trusted Provider and Identity Federation tabs in SAP

  12. Ekle'yi seçin.

    The Add option on the Identity Federation tab

  13. Desteklenen Ad Kimliği Biçimleri iletişim kutusunda Belirtilmemiş'i seçin. Tamam'ı seçin.

    The Supported NameID Formats dialog box and options in SAP

    Kullanıcı Kimliği Kaynağı ve Kullanıcı Kimliği Eşleme Modu değerleri, SAP kullanıcısı ile Microsoft Entra talebi arasındaki bağlantıyı belirler.

    Senaryo 1: SAP kullanıcıdan Microsoft Entra kullanıcı eşlemesine

    1. SAP'de, NameID Biçiminin Ayrıntıları "Belirtilmemiş" bölümünde ayrıntıları not edin:

      Screenshot that shows the 'Details of NameID Format

    2. Azure portalında, Kullanıcı Öznitelikleri ve Talepler'in altında, Microsoft Entra ID'den gerekli talepleri not edin.

      Screenshot that shows the

    Senaryo 2: SU01'de yapılandırılan e-posta adresine göre SAP kullanıcı kimliğini seçin. Bu durumda, SSO gerektiren her kullanıcı için e-posta kimliği SU01'de yapılandırılmalıdır.

    1. SAP'de, NameID Biçiminin Ayrıntıları "Belirtilmemiş" bölümünde ayrıntıları not edin:

      The Details of NameID Format

    2. Azure portalında, Kullanıcı Öznitelikleri ve Talepler'in altında, Microsoft Entra ID'den gerekli talepleri not edin.

      The User Attributes and Claims dialog box in the Azure portal

  14. Kaydet'i ve ardından Etkinleştir'i seçerek kimlik sağlayıcısını etkinleştirin.

    The Save and Enable options in SAP

  15. İstendiğinde Tamam'ı seçin.

    The OK option in SAML 2.0 Configuration dialog box in SAP

SAP Fiori test kullanıcısı oluşturma

Bu bölümde, SAP Fiori'de Britta Simon adlı bir kullanıcı oluşturacaksınız. Kullanıcıyı SAP Fiori platformuna eklemek için şirket içi SAP uzman ekibinizle veya kuruluşunuzun SAP iş ortağıyla birlikte çalışın.

SSO'ları test edin

  1. SAP Fiori'de kimlik sağlayıcısı Microsoft Entra Id etkinleştirildikten sonra, çoklu oturum açmayı test etmek için aşağıdaki URL'lerden birine erişmeyi deneyin (kullanıcı adı ve parola istenmemelidir):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Not

    değerini gerçek SAP ana bilgisayar adıyla değiştirin <sap-url> .

  2. Test URL'si sizi SAP'de aşağıdaki test uygulaması sayfasına götürmelidir. Sayfa açılırsa, Microsoft Entra çoklu oturum açma başarıyla ayarlanır.

    The standard test application page in SAP

  3. Kullanıcı adı ve parola girmeniz istenirse, sorunu tanılamaya yardımcı olmak için izlemeyi etkinleştirin. İzleme için aşağıdaki URL'yi kullanın:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Sonraki adımlar

SAP Fiori'yi yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.