تكوين المصادقة لحلول مشتريات SAP
تم تصميم موصل SAP ERP حتى يتمكن العديد من الأشخاص من الوصول إلى التطبيق واستخدامه في الوقت نفسه؛ ولذلك، لا تتم مشاركة الاتصالات. يتم توفير بيانات اعتماد المستخدم في الاتصال، بينما يتم توفير تفاصيل أخرى مطلوبة للاتصال مع نظام التشغيل السابق (مثل تفاصيل الخادم وتكوين الأمان) كجزء من الإجراء.
يؤدي تمكين تسجيل الدخول الفردي (SSO) إلى سهولة تحديث البيانات من نظام معلومات معلومات (SSO) مع التقيد بالأذونات على مستوى المستخدم التي تم تكوينها في. هناك العديد من الطرق التي يمكنك من خلالها إعداد SSO لإدارة الهوية والوصول المبسطة.
يدعم موصل ERP الخاص ب و. ERP أنواع المصادقة التالية:
نوع المصادقة | كيفية اتصال المستخدم | خطوات التكوين |
---|---|---|
مصادقة SAP | استخدم اسم المستخدم وكلمة المرور الخاصين ب وS.ا.س.م للوصول إلى خادم. | الخطوة 4 |
مصادقة Windows | استخدم اسم مستخدم وكلمة مرور Windows للوصول إلى خادم SAP. | الخطوات 1 و 2 و 3 و 4 |
مصادقة معرف Microsoft Entra | استخدم Microsoft Entra ID للوصول إلى خادم SAP. | الخطوات 1 و 2 و 3 و 4 |
ملاحظة
يلزم الحصول على امتيازات إدارية معينة لإعداد تسجيل الدخول الأحادي (SSO) في Microsoft Entra ID وSAP. تأكد من الحصول على امتيازات المسؤول الضرورية لكل نظام قبل إعداد SSO.
مزيد من المعلومات:
الخطوة 1: تكوين Kerberos بالتكهاتف
التفويض الذي يتم استخدام Kerberos به (KCD) يوفر وصول آمن للمستخدم أو الخدمة إلى موارد يسمح بها المسؤولون دون طلبات متعددة للحصول على بيانات اعتماد. قم بتكوين تفويض Kerberos المقيد لنظامي التشغيل Windows ومصادقة Microsoft Entra ID.
قم بتشغيل خدمة Windows العبارة باعتبارها حساب مجال بأسماء الخدمة الأساسية (SPN) (SetSPN).
مهام التكوين:
قم بتكوين SPN لحساب خدمة البوابة. بصفتك مسؤول المجال، استخدم أداة Setspn التي تأتي مع Windows لتمكين التفويض.
اضبط إعدادات الاتصال الخاصة بالبوابة. قم بتمكين اتصالات Microsoft Entra ID الصادرة ومراجعة إعدادات جدار الحماية والميناء لضمان الاتصال.
تكوين لتفويض Kerberos المقيد القياسي. باعتبارك مسؤول مجال، قم بتكوين حساب مجال لخدمة بحيث يتم تقييد تشغيل الحساب على مجال واحد.
امنح حقوق السياسة المحلية لحساب خدمة البوابة على جهاز البوابة.
قم بإضافة حساب خدمة البوابة إلى مجموعة تفويض والوصول إلى Windows.
تغيير حساب خدمة البوابة إلى حساب مجال. في التثبيت القياسي، تعمل العبارة على أنها حساب الخدمة المحلي للجهاز الافتراضي، خدمة NT\PBIEgwService. ويجب تشغيلها باعتبارها حساب مجال من أجل تسهيل تذاكر Kerberos ل SSO.
مزيد من المعلومات:
الخطوة 2: تكوين ERP الخاص ب نظام إدارة المعلومات (ERP) لتمكينك من استخدام Common CryptoLib (crcrypto.dll)
لاستخدام SSO للوصول إلى خادم ، تأكد من:
- يمكنك تكوين خادم المضمن الخاص بك في Kerberos SSO باستخدام CommonCryptoLib كمكتبة اتصالات الشبكة الآمنة (SNC) الخاصة به.
- يبدأ اسم SNC ب CN.
مهم
تأكد من عدم تشغيل عميل تسجيل الدخول الآمن (SLC) في نظام التشغيل الذي يعمل عليه الكمبيوتر الذي تم تثبيت العبارة عليه. يحجز SLC تذاكر Kerberos مؤقتا بطريقة يمكنها أن تتداخل مع قدرة العبارة على استخدام Kerberos ل SSO. لمزيد من المعلومات، راجع ملاحظة ساب 2780475 (مطلوب مستخدم s).
قم بتنزيل الإصدار 64 بت CommonCryptoLib (
sapcrypto.dll
) الإصدار 8.5.25 أو أحدث من SAP Launchpad، وانسخه إلى مجلد على جهاز البوابة.في نفس الدليل الذي قمت
sapcrypto.dll
بنسخه، قم بإنشاءsapcrypto.ini
ملف باسمه يحتوي على المحتوى التالي:ccl/snc/enable_kerberos_in_client_role = 1
يحتوي
.ini
الملف على معلومات التكوين المطلوبة بواسطة CommonCryptoLib لتمكين SSO في سيناريو العبارة. تأكد أن المسار (أي)c:\sapcryptolib\
يحتوي على كل منsapcrypto.ini
وsapcrypto.dll
. يجب.dll
أن.ini
يكون الملفان موجودين في نفس الموقع.منح أذونات لكل من
.ini
والملفات.dll
إلى مجموعة المستخدمين المصادقة . يحتاج كل من مستخدم خدمة العبارة ومستخدم Active Directory الذيينتحله مستخدم الخدمة إلى أذونات قراءة وتنفيذ لكلا الملفين.قم بإنشاء
CCL_PROFILE
متغير بيئة نظام وحدد قيمته للمسارsapcrypto.ini
.أعد تشغيل خدمة البوابة.
مزيد من المعلومات: استخدم تسجيل الدخول الفردي ل Kerberos ل SSO إلى مع وحدة تبادل البيانات (COMMONCryptoLib)
الخطوة 3: تمكين SNC الخاص ب Azure AD ، ومصادقة Windows
يدعم موصل SAP ERP Microsoft Entra ID، ومصادقة Windows Server AD عن طريق تمكين اتصال الشبكة الآمنة (SNC) في SAP. SNC هي طبقة برامج في بنية نظام ، توفر واجهة لمنتجات الأمان الخارجية بحيث تكون آمنة من تسجيل الدخول الفردي إلى بيئات. يساعدك إرشادات الخاصية التالية في الإعداد.
الخاصية | الوصف |
---|---|
استخدام SNC | عين نعم إذا كنت تريد تمكين SNC. |
مكتبة SNC | اسم مكتبة SNC أو المسار الخاص بموقع تثبيت NCo أو المسار المطلق. الامثلة sapcrypto.dll , أو c:\sapcryptolib\sapcryptolib.dll . |
SNC SSO | تحديد ما إذا كان الموصل يستخدم هوية الخدمة أو بيانات اعتماد المستخدم النهائي. تعيين الى إلى استخدام هوية المستخدم النهائي. |
اسم شريك SNC | اكتب اسم خادم التفويض. مثال, p:CN=SAPserver . |
جودة SNC لحماية | جودة الخدمة المستخدمة في اتصال SNC لهذا الوجهة أو الخادم الخاص. يتم تعريف القيمة الافتراضية بواسطة النظام المعاد تعيينها. يتم تعريف القيمة القصوى بواسطة منتج الأمان المستخدم ل SNC. |
يجب أن يساوي اسم SNC الخاص ب. على سبيل المثال، يجب أن يكون p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM
مساويًا لـ JANEDOE@REDMOND.CORP.CONTOSO.COM
.
ملاحظة
مصادقة Microsoft Entra ID فقط— يجب أن يحتوي حساب مدير خدمة Active DirectorySAP على AES 128 أو AES 256 المحدد في سمة msDS-SupportedEncryptionType.
الخطوة 4: إعداد خادم و حسابات المستخدمين لاتسمح با الإجراءات
مراجعة ملاحظة رقم 460089 ب ، الحد الأدنى لملفات تعريف التفويض لبرامج R نبذة عن العمل لمعرفة المزيد حول أنواع حسابات المستخدم المدعومة والحد الأدنى المطلوب للتفويض لكل نوع إجراء، مثل استدعاء الوظيفة عن بعد (RPI) وواجهة برمجة تطبيق الأعمال (وPIPI) والمستند المتوسط (IDOC).
تحتاج حسابات مستخدم نظام التشغيل التشغيلي المعملي إلى الوصول إلى RFC_Metadata
مجموعة الوظائف والوحدات النمطية للوظيفة المعنية للعمليات التالية:
العمليات | الوصول إلى الوحدات النمطية للوظيفة |
---|---|
إجراءات RFC |
RFC_GROUP_SEARCH وDD_LANGU_TO_ISOLA |
إجراء قراءة الجدول | إما RFC BBP_RFC_READ_TABLE أو RFC_READ_TABLE |
امنح الحد الأدنى من الوصول الملائكي إلى خادم نظام تشغيل الشبكة (ته) لاتصال .. |
RFC_METADATA_GET وRFC_METADATA_GET_TIMESTAMP |
الخطوة التالية
المحتوى ذو الصلة
- تسجيل دخول أحادي لـ SAP
- تسجيل دخول آمن لدليل تنفيذ تسجيل دخول فردي لـ SAP.
- بوابة مساعدة SAP Identity and Access Management (IAM)