Aracılığıyla paylaş

SAP NetWeaver ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi

  • Makale

Bu makalede SAP NetWeaver'ı Microsoft Entra Id ile tümleştirmeyi öğreneceksiniz. SAP NetWeaver'ı Microsoft Entra Id ile tümleştirdiğinizde şunları yapabilirsiniz:

  • Microsoft Entra Id'de SAP NetWeaver'a kimlerin erişimi olduğunu denetleme.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla SAP NetWeaver'da otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

Önkoşullar

Bu makalede özetlenen senaryo, aşağıdaki önkoşullara zaten sahip olduğunuzu varsayar:

  • SAP NetWeaver çoklu oturum açma (SSO) özellikli abonelik.
  • SAP NetWeaver V7.20 veya üzeri

Senaryo açıklaması

  • SAP NetWeaver hem SAML (SP tarafından başlatılan SSO) hem de OAuth'u destekler. Bu makalede Microsoft Entra SSO'larını bir test ortamında yapılandırıp test edebilirsiniz.

Not

Bu uygulamanın tanımlayıcısı sabit bir dize değeridir, bu nedenle tek bir kiracıda yalnızca bir örnek yapılandırılabilir.

Not

Uygulamayı SAML'de veya OAuth'da kuruluş gereksinimlerinize göre yapılandırın.

SAP NetWeaver'ın Microsoft Entra Id ile tümleştirmesini yapılandırmak için, yönetilen SaaS uygulamaları listenize galeriden SAP NetWeaver eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az bir Bulut Uygulaması Yöneticisi olarak oturum açın.
  2. Identity>Uygulamalar>Kurumsal uygulamalar>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna SAP NetWeaver yazın.
  4. Sonuçlar panelinden SAP NetWeaver'ı seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

SAP NetWeaver için Microsoft Entra SSO yapılandırma ve test

B.Simon adlı bir test kullanıcısını kullanarak SAP NetWeaver ile Microsoft Entra SSO'u yapılandırın ve test edin. SSO'nun çalışması için Bir Microsoft Entra kullanıcısı ile SAP NetWeaver'daki ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

SAP NetWeaver ile Microsoft Entra SSO'u yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'nuzu yapılandırın.
    1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için Microsoft Entra test kullanıcısı oluşturun.
    2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcı atayın.
  2. UYGULAMA tarafında SSO ayarlarını yapılandırmak için SAML kullanarak SAP NetWeaver'ı yapılandırın.
    1. Kullanıcının Microsoft Entra gösterimine bağlı B.Simon'un eşdeğerini SAP NetWeaver'da oluşturmak için SAP NetWeaver test kullanıcısı oluşturun.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.
  4. Uygulama tarafında OAuth ayarlarını yapılandırmak için OAuth için SAP NetWeaver'ı yapılandırın.
  5. Kimlik Sağlayıcısı (IdP) olarak Azure AD kullanmak için Azure AD'den Erişim Belirteci isteyin.

Microsoft Entra SSO'sını yapılandırma

Bu bölümde Microsoft Entra çoklu oturum açmayı etkinleştirebilirsiniz.

SAP NetWeaver ile Microsoft Entra çoklu oturum açmayı yapılandırmak için aşağıdaki adımları gerçekleştirin:

  1. Yeni bir web tarayıcısı penceresi açın ve SAP NetWeaver şirket sitenizde yönetici olarak oturum açın

  2. SMICM T-Code'da http ve https hizmetlerinin etkin olduğundan ve uygun bağlantı noktalarının atandığından emin olun.

  3. SSO'nun gerekli olduğu SAP Sisteminin (T01) iş istemcisinde oturum açın ve HTTP Güvenlik oturumu Yönetimi'ni etkinleştirin.

    1. İşlem kodu SICF_SESSIONS'e gidin. Geçerli değerlerle tüm ilgili profil parametrelerini görüntüler. Aşağıdaki gibi görünürler:-

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0 
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Not

      Yukarıdaki parametreleri kuruluşunuzun gereksinimlerine göre ayarlayın. Yukarıdaki parametreler burada yalnızca gösterge olarak verilmiştir.

    2. Gerekirse, SAP sisteminin örnek/varsayılan profilinde parametreleri ayarlayın ve SAP sistemini yeniden başlatın.

    3. HTTP güvenlik oturumlarını etkinleştirmek için ilgili istemciye çift tıklayın.

      HTTP Güvenliği oturumu

    4. Aşağıdaki SICF hizmetlerini etkinleştirin:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. SAP sisteminin iş istemcisinde [T01/122] İşlem kodu SAML2'ye gidin. Tarayıcıda bir kullanıcı arabirimi açar. Bu örnekte SAP iş istemcisi olarak 122 olduğunu varsaydık.

    İşlem kodu

  5. Kullanıcı arabirimine girmek için kullanıcı adınızı ve parolanızı girin ve Düzenle'ye tıklayın.

    kullanıcı adı ve parola

  6. Sağlayıcı Adı kısmını T01122'den http://T01122 değiştirin ve Kaydet'e tıklayın.

    Not

    Varsayılan olarak sağlayıcı adı <sid><client> biçiminde gelir, ancak Microsoft Entra ID adı <protocol>://<name> biçiminde bekler. Microsoft Entra ID'de birden fazla SAP NetWeaver ABAP altyapısını yapılandırabilmek için sağlayıcı adını https://<sid><client> olarak korumayı önerir.

    Birden çok SAP NetWeaver ABAP motoru

  7. Hizmet Sağlayıcısı Meta Verileri Oluşturma:- SAML 2.0 Kullanıcı Arabiriminde Yerel Sağlayıcı ve Güvenilen Sağlayıcılar ayarlarını yapılandırmayı tamamladıktan sonra, sonraki adım hizmet sağlayıcısının meta veri dosyasını (SAP'deki tüm ayarları, kimlik doğrulama bağlamlarını ve diğer yapılandırmaları içerecek şekilde) oluşturmak olacaktır. Bu dosya oluşturulduktan sonra bu dosyayı Microsoft Entra Id'ye yükleyin.

    Hizmet Sağlayıcısı Meta Verileri Oluşturma

    1. Yerel Sağlayıcı sekmesine gidin.

    2. Meta Veriler'e tıklayın.

    3. Oluşturulan Meta Veri XML dosyasını bilgisayarınıza kaydedin ve Azure portalında Tanımlayıcı ve Yanıt URL'si değerlerini otomatik olarak doldurmaya yönelik Temel SAML Yapılandırması bölümüne yükleyin.

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az bir Bulut Uygulaması Yöneticisi olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP NetWeaver uygulama tümleştirme sayfasına göz atın, Yönet bölümünü bulun ve Çoklu oturum açma'yı seçin.

  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  4. SamL ile Çoklu Oturum Açmayı Ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.

    Temel SAML Yapılandırmasını Düzenle

  5. Temel SAML Yapılandırması bölümünde, uygulamayı IDP tarafından başlatılan modda yapılandırmak istiyorsanız aşağıdaki adımı gerçekleştirin:

    1. Daha önce edindiğiniz Hizmet Sağlayıcısı meta veri dosyasını yüklemek için Meta veri dosyasını karşıya yükle seçeneğine tıklayın.

    2. Klasör logosuna tıklayarak meta veri dosyasını seçin ve Karşıya Yükle'ye tıklayın.

    3. Meta veri dosyası başarıyla karşıya yüklendikten sonra, Tanımlayıcı ve Yanıt URL'si değerleri aşağıda gösterildiği gibi Temel SAML Yapılandırması bölümü metin kutusunda otomatik olarak doldurulur:

    4. Oturum açma URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<your company instance of SAP NetWeaver>

    Not

    Bazı müşteriler, örnekleri için yapılandırılmış yanlış bir Yanıt URL'si hatasıyla karşılaştı. Böyle bir hata alırsanız bu PowerShell komutlarını kullanın. Önce uygulama nesnesindeki Yanıt URL'lerini Yanıt URL'si ile güncelleştirin, ardından hizmet sorumlusunu güncelleştirin. Hizmet Sorumlusu Kimliği değerini almak için Get-MgServicePrincipal kullanın.

    $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  6. SAP NetWeaver uygulaması SAML onaylarını belirli bir biçimde bekler ve bu da SAML belirteç öznitelikleri yapılandırmanıza özel öznitelik eşlemeleri eklemenizi gerektirir. Aşağıdaki ekran görüntüsünde varsayılan özniteliklerin listesi gösterilmektedir. Kullanıcı Öznitelikleri iletişim kutusunu açmak için Düzenle simgesine tıklayın.

    edit özniteliği

  7. Kullanıcı Öznitelikleri iletişim kutusundaki Kullanıcı Talepleri bölümünde, yukarıdaki görüntüde gösterildiği gibi SAML belirteci özniteliğini yapılandırın ve aşağıdaki adımları uygulayın:

    1. Düzenle simgesine tıklayarak Kullanıcı taleplerini yönet iletişim kutusunu açın.

      düzenle simgesi

      görüntü

    2. Dönüştürme listesinden ExtractMailPrefix() öğesini seçin.

    3. Parametre 1 listesinden user.userprincipalname öğesini seçin.

    4. Kaydet'e tıklayın.

  8. SAML ile Çoklu Oturum Açmayı Ayarla sayfasındaki SAML İmzalama Sertifikası bölümünde Federasyon Meta Verileri XML'sini bulun ve İndir'i seçerek sertifikayı indirip bilgisayarınıza kaydedin.

    Sertifika indirme bağlantısı

  9. SAP NetWeaver'ı ayarlama bölümünde, gereksinimlerinize göre uygun URL'leri kopyalayın.

    Yapılandırma URL'lerini kopyalama

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bir Kullanıcı Yöneticisi olarak oturum açın.
  2. Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
  3. Ekranın üst kısmındaki Yeni kullanıcı>
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına B.Simon girin.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur'u belirleyin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, SAP NetWeaver'a erişim vererek B.Simon'un çoklu oturum açma özelliğini kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezinde en az bir Bulut Uygulaması Yöneticisi olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamalar>SAP NetWeaver bölümüne göz atın.
  3. Uygulamanın genel bakış sayfasında Yönet bölümünü bulun ve Kullanıcılar ve gruplar'ı seçin.
  4. Kullanıcı ekle'yi seçin, ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ı seçin.
  5. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
  6. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

SAML kullanarak SAP NetWeaver'ı yapılandırma

  1. SAP sisteminde oturum açın ve SAML2 işlem koduna gidin. SAML yapılandırma ekranıyla yeni tarayıcı penceresi açılır.

  2. Güvenilen Kimlik sağlayıcısı (Microsoft Entra Id) için Bitiş noktalarını yapılandırmak için Güvenilen Sağlayıcılar sekmesine gidin.

    Çoklu Oturum Açma Güvenilen Sağlayıcılarını Yapılandırma

  3. "Ekle'ye basın ve bağlam menüsünden Meta Veri Dosyasını Karşıya Yükle'yi seçin."

    Çoklu Oturum Açmayı Yapılandırma 2

  4. İndirdiğiniz meta veri dosyasını karşıya yükleyin.

    Çoklu Oturum Açmayı Yapılandırma 3

  5. Sonraki ekranda Takma Ad adını yazın. Örneğin, yazın aadstsve devam etmek için İleri'ye basın.

    Çoklu Oturum Açmayı Yapılandırma 4

  6. Özet Algoritmanızın SHA-256 olması ve herhangi bir değişiklik gerektirmediğinden emin olun ve İleri'ye basın.

    Çoklu Oturum Açmayı Yapılandırma 5

  7. Çoklu Oturum Açma Uç Noktaları'nda HTTP POST kullanın ve devam etmek için İleri'ye tıklayın.

    Çoklu Oturum Açmayı Yapılandırma 6

  8. Tek Oturum Kapatma Uç Noktaları'nda HTTPRedirect'i seçin ve devam etmek için İleri'ye tıklayın.

    Çoklu Oturum Açmayı Yapılandırma 7

  9. Yapıt Uç Noktaları'nda devam etmek için İleri'ye basın.

    Çoklu Oturum Açmayı Yapılandırma 8

  10. Kimlik Doğrulama Gereksinimleri ekranında Son'a tıklayın.

    Çoklu Oturum Açmayı Yapılandırma 9

  11. Güvenilir Sağlayıcı>gidin. Düzenle'yi tıklatın.

    Çoklu Oturum Açmayı Yapılandırma 10

  12. Kimlik Federasyonu sekmesinin (alt pencere) altında Ekle'ye tıklayın.

    Çoklu Oturum Açmayı Yapılandırma 11

  13. Açılan pencerede, Desteklenen NameID biçimlerinden Belirtilmemiş'iseçin ve Tamam'a tıklayın.

    Çoklu Oturum Açmayı Yapılandırma 12

  14. Kullanıcı Kimliği Kaynağı değerini Onay Özniteliği, Kullanıcı Kimliği eşleme modu değerini E-posta ve Onay Özniteliği Adı olarak http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameverin.

    Çoklu Oturum Açmayı Yapılandırma

  15. SAP kullanıcısı ile Microsoft Entra talebi arasındaki bağlantıyı Kullanıcı Kimliği Kaynağı ve Kullanıcı Kimliği eşleme modu değerlerinin belirlediğini unutmayın.

Senaryo: SAP Kullanıcısı ile Microsoft Entra kullanıcı eşlemesi.

  1. SAP'den NameID ayrıntıları ekran görüntüsü.

    Çoklu Oturum Açmayı Yapılandırma 13

  2. Microsoft Entra ID'den Gerekli Talepleri içeren ekran görüntüsü.

    Çoklu Oturum Açmayı Yapılandırma 14

    Senaryo: SU01'de yapılandırılmış e-posta adresine göre SAP kullanıcı kimliğini seçin. Bu durumda, SSO gerektiren her kullanıcı için su01'de e-posta kimliği yapılandırılmalıdır.

    1. SAP'den NameID ayrıntıları ekran görüntüsü.

      Çoklu Oturum Açmayı Yapılandırma 15

    2. Microsoft Entra ID'deki Gerekli Talepleri Gösteren Ekran Görüntüsü.

    Çoklu Oturum Açmayı Yapılandırma 16

  3. Kaydet'e ve ardından Etkinleştir'e tıklayarak kimlik sağlayıcısını etkinleştirin.

    Çoklu Oturum Açmayı Yapılandırma 17

  4. İstendikten sonra Tamam'a tıklayın.

    Tek Oturum Açmayı Yapılandırma 18

SAP NetWeaver test kullanıcısı oluşturma

Bu bölümde SAP NetWeaver'da B.simon adlı bir kullanıcı oluşturacaksınız. Kullanıcıları SAP NetWeaver platformuna eklemek için lütfen sap uzman ekibinizde çalışın veya kuruluşunuzun SAP iş ortağıyla birlikte çalışın.

SSO'ları test edin

  1. Kimlik sağlayıcısı Microsoft Entra ID etkinleştirildikten sonra, kullanıcı adı ve parola istenmeyeceğinden emin olarak SSO'yu kontrol etmek için aşağıdaki URL'ye erişmeyi deneyin.

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    (veya) aşağıdaki URL'yi kullanın

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    Not

    sapurl değerini gerçek SAP sunucu adıyla değiştirin.

  2. Yukarıdaki URL sizi aşağıda belirtilen ekrana götürmelidir. Aşağıdaki sayfaya ulaşabiliyorsanız, Microsoft Entra SSO kurulumu başarıyla yapılır.

    Çoklu Oturum Açmayı test et

  3. Kullanıcı adı ve parola istemi oluşursa, URL'yi kullanarak bir izleme etkinleştirerek sorunu tanılayabilirsiniz:

    https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

SAP NetWeaver'ı OAuth için yapılandırma

  1. SAP Documented işlemi şu konumda kullanılabilir: NetWeaver Ağ Geçidi Hizmeti Etkinleştirme ve OAuth 2.0 Kapsam Oluşturma

  2. SPRO'ya gidin ve Etkinleştirme ve Bakım hizmetlerini bulun.

    Hizmetleri etkinleştirme ve bakım

  3. Bu örnekte, OData hizmetini DAAG_MNGGRP OAuth ile Microsoft Entra SSO'ya bağlamak istiyoruz. Hizmet DAAG_MNGGRP için teknik hizmet adı aramasını kullanın ve henüz etkin değilse etkinleştirin (ICF düğümleri sekmesinde green durumunu kontrol edin). Sistem diğer adının (hizmetin gerçekten çalıştığı bağlı arka uç sisteminin) doğru olduğundan emin olun.

    OData hizmeti

    • Ardından üst çubuktaki OAuth düğmesine tıklayın ve scope atayın (varsayılan adı teklif edilen şekilde tutun).

  4. Bizim örneğimizde kapsam şeklindedir DAAG_MNGGRP_001. Hizmet adından otomatik olarak bir sayı eklenerek oluşturulur. Rapor /IWFND/R_OAUTH_SCOPES , kapsamın adını değiştirmek veya el ile oluşturmak için kullanılabilir.

    OAuth'u yapılandırma

    Not

    İleti soft state status is not supported – sorun olmadığı için görmezden gelinebilir.

OAuth 2.0 İstemcisi için hizmet kullanıcısı oluşturma

  1. OAuth2, son kullanıcının erişim belirtecini kendi adına almak için bir service ID kullanır. OAuth tasarımına göre önemli kısıtlama: OAuth 2.0 Client ID , Erişim Belirteci istenirken oturum açmak için kullanılan OAuth 2.0 istemcisiyle username aynı olmalıdır. Bu nedenle, örneğimizde CLIENT1 adlı bir OAuth 2.0 istemcisi kaydedeceğiz. Önkoşul olarak, SAP sisteminde aynı isimde (CLIENT1) bir kullanıcı bulunmalıdır ve bu kullanıcıyı ilgili uygulama tarafından kullanılmak üzere yapılandıracağız.

  2. OAuth İstemcisi kaydederken SAML Bearer Grant type kullanırız.

    Not

    Daha fazla ayrıntı için OAuth 2.0 İstemci Kaydı'na SAML Taşıyıcı Verme Türü için buradan bakın.

  3. SU01 T-Code'unu yürütün, kullanıcı CLIENT1'i oluşturun ve parola atayın. Parolayı kaydedin, çünkü kimlik bilgilerini API programcısına sağlamanız gerekecek ve programcı, kullanıcı adıyla birlikte bu bilgileri çağrı koduna kaydetmelidir. Profil veya rol atanmamalıdır.

Yeni OAuth 2.0 İstemci Kimliğini oluşturma sihirbazına kaydedin.

  1. Yeni OAuth 2.0 istemcisi kaydetmek için SOAUTH2 işlemini başlatın. İşlem, önceden kaydedilmiş olan OAuth 2.0 istemcileri hakkında genel bir bakış görüntüler. Bu örnekte CLIENT1 olarak adlandırılan yeni OAuth istemcisinin sihirbazını başlatmak için Oluştur'u seçin.

  2. T-Code: SOAUTH2 gidin ve Açıklamayı belirtin, ardından İleri'ye tıklayın.

    SOAUTH2

    OAuth 2.0 İstemci Kimliği

  3. Açılan listeden zaten eklenmiş SAML2 IdP – Microsoft Entra Id'yi seçin ve kaydedin.

    SAML2 IdP – Microsoft Entra Id 1

    SAML2 IdP – Microsoft Entra Id 2

    SAML2 IdP – Microsoft Entra Id 3

  4. Daha önce oluşturulan kapsamı eklemek için Kapsam ataması altında Ekle'ye tıklayın:DAAG_MNGGRP_001

    Kapsam

    kapsam ataması

  5. Tamamla'ya tıklayın.

Azure AD'den Erişim Belirteci İste

Kimlik Sağlayıcısı (IdP) olarak Azure Active Directory (Azure AD) kullanarak SAP sisteminden erişim belirteci istemek için şu adımları izleyin:

1. Adım: Uygulamayı Azure AD'ye kaydetme

  1. Azure portalında oturum açın: portal.azure.com'da Azure portalına gidin.
  2. Yeni bir uygulama kaydetme:
    • "Azure Active Directory" bölümüne gidin.
    • "Uygulama kayıtları" > "Yeni kayıt" öğesini seçin.
    • Ad, Yeniden Yönlendirme URI'si gibi uygulama ayrıntılarını doldurun.
    • "Kaydet"e tıklayın.
  3. API izinlerini yapılandırma:
    • Kayıt işleminden sonra "API izinleri" bölümüne gidin.
    • "İzin ekle"ye tıklayın ve "Kuruluşumun kullandığı API'leri" seçin.
    • SAP sistemini veya ilgili API'yi arayın ve gerekli izinleri ekleyin.
    • İzinler için yönetici onayı verin.

2. Adım: İstemci Gizli Anahtarı Oluşturma

  1. Kayıtlı uygulamaya gidin: "Sertifikalar ve gizli diziler" bölümüne gidin.
  2. Yeni bir istemci gizli anahtarı oluşturun:
    • "Yeni istemci sırrı"na tıklayın.
    • Bir açıklama girin ve bir süre sonu ayarlayın.
    • "Ekle"ye tıklayın ve kimlik doğrulaması için gerekli olacağı için istemci gizli anahtarı değerini not edin.

3. Adım: Azure AD Tümleştirmesi için SAP Sistemini Yapılandırma

  1. SAP Cloud Platform'a erişme: SAP Bulut Platformu Kokpit'inizde oturum açın.
  2. Güven yapılandırmasını ayarlama:
    • "Güvenlik" > "Güven Yapılandırması" bölümüne gidin.
    • Azure AD'den federasyon meta veri XML'sini içeri aktararak Azure AD'yi güvenilir bir IdP olarak ekleyin. Bu, Azure AD uygulama kaydının "Uç Noktalar" bölümünde (Federasyon Meta Verileri Belgesi altında) bulunabilir.
  3. OAuth2 istemcisini yapılandırma:
    • SAP sisteminde, Azure AD'den alınan istemci kimliğini ve istemci gizli dizisini kullanarak bir OAuth2 istemcisi yapılandırın.
    • Belirteç uç noktasını ve diğer ilgili OAuth2 parametrelerini ayarlayın.

4. Adım: Erişim Belirteci İste

İpucu

Azure, Power Platform, M365 ve daha birçok uygulamadaki tüm istemci uygulamaları için SAP Temsilci Yayma işlemini, akıllı belirteç önbelleğe alınması, güvenli belirteç işleme ve istek sınırlama gibi idare seçenekleri dahil olmak üzere tek bir yerde kolaylaştırmak için Azure API Management'ı kullanmayı göz önünde bulundurun. SAP Principal Propagation ile Azure API Management hakkında daha fazla bilgi edinin. SAP İş Teknolojisi Platformu tercih edilirse bu makaleye bakın.

  1. Belirteç isteğini hazırlayın:

    • Aşağıdaki ayrıntıları kullanarak bir belirteç isteği oluşturun:
      • Belirteç Uç Noktası: Bu genellikle https://login.microsoftonline.com/{tenant}/oauth2/v2.0/tokenşeklindedir.
      • İstemci Kimliği: Azure AD'den uygulama (istemci) kimliği.
      • İstemci Gizli Anahtarı: Azure AD'deki istemci gizli anahtarı değeri.
      • Kapsam: Gerekli kapsamlar (ör. https://your-sap-system.com/.default).
      • Yetki Türü: Sunucudan sunucuya kimlik doğrulaması için client_credentials kullanın.

  2. Belirteç isteğinde bulun:

    • Belirteç uç noktasına POST isteği göndermek için Postman veya betik gibi bir araç kullanın.
    • Örnek bir istek (cURL'de): 
      curl -X POST \
  https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -d 'client_id={client_id}&scope=https://your-sap-system.com/.default&client_secret={client_secret}&grant_type=client_credentials'

  3. Erişim belirtecini ayıklayın:

    • İstek başarılı olursa yanıt bir erişim belirteci içerir. SAP sisteminde API isteklerinin kimliğini doğrulamak için bu erişim belirtecini kullanın.

5. Adım: API İstekleri için Erişim Belirtecini Kullanma

  1. Erişim belirtecini API isteklerine ekleyin:
    • SAP sistemine yapılan her istek için erişim belirtecini üst bilgisine Authorization ekleyin.
    • Örnek üst bilgi: 
      Authorization: Bearer {access_token}

İlgili içerik

  • Microsoft Entra SAP NetWeaver'ı, kuruluşunuzun hassas verilerinin gerçek zamanlı olarak sızdırılmasına ve sızmasına karşı koruma sağlayan Oturum Denetimi'ni zorunlu kılacak şekilde yapılandırın. Oturum Denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.
  • Azure, Power Platform, Microsoft 365 ve diğer istemci uygulamalarından SAP sistemlerine erişimi yönetmek ve güvenli bir şekilde sağlamak için Azure API Management kullanarak SAP Asıl Yayma 'yı (OAuth2) yapılandırın. SAP Principal Propagation ile Azure API Management hakkında daha fazla bilgi edinin.