مشاركة عبر

تكوين المصادقة لحلول مشتريات SAP

  • مقالة

تم تصميم موصل SAP ERP حتى يتمكن العديد من الأشخاص من الوصول إلى التطبيق واستخدامه في الوقت نفسه؛ ولذلك، لا تتم مشاركة الاتصالات. يتم توفير بيانات اعتماد المستخدم في الاتصال، بينما يتم توفير تفاصيل أخرى مطلوبة للاتصال مع نظام التشغيل السابق (مثل تفاصيل الخادم وتكوين الأمان) كجزء من الإجراء.

يؤدي تمكين تسجيل الدخول الفردي (SSO) إلى سهولة تحديث البيانات من نظام معلومات معلومات (SSO) مع التقيد بالأذونات على مستوى المستخدم التي تم تكوينها في. هناك العديد من الطرق التي يمكنك من خلالها إعداد SSO لإدارة الهوية والوصول المبسطة.

يدعم موصل ERP الخاص ب و. ERP أنواع المصادقة التالية:

نوع المصادقة كيفية اتصال المستخدم خطوات التكوين
مصادقة SAP استخدم اسم المستخدم وكلمة المرور الخاصين ب وS.ا.س.م للوصول إلى خادم. الخطوة 4
مصادقة Windows استخدم اسم مستخدم وكلمة مرور Windows للوصول إلى خادم SAP. الخطوات 1 و 2 و 3 و 4
مصادقة معرف Microsoft Entra استخدم Microsoft Entra ID للوصول إلى خادم SAP. الخطوات 1 و 2 و 3 و 4

‏‫ملاحظة

يلزم الحصول على امتيازات إدارية معينة لإعداد تسجيل الدخول الأحادي (SSO) في Microsoft Entra ID وSAP. تأكد من الحصول على امتيازات المسؤول الضرورية لكل نظام قبل إعداد SSO.

مزيد من المعلومات:

الخطوة 1: تكوين Kerberos بالتكهاتف

التفويض الذي يتم استخدام Kerberos به (KCD) يوفر وصول آمن للمستخدم أو الخدمة إلى موارد يسمح بها المسؤولون دون طلبات متعددة للحصول على بيانات اعتماد. قم بتكوين تفويض Kerberos المقيد لنظامي التشغيل Windows ومصادقة Microsoft Entra ID.

مخطط تدفق حركة المرور لبوابة البيانات المحلية.

قم بتشغيل خدمة Windows العبارة باعتبارها حساب مجال بأسماء الخدمة الأساسية (SPN) (SetSPN).

مهام التكوين:

  1. قم بتكوين SPN لحساب خدمة البوابة. بصفتك مسؤول المجال، استخدم أداة Setspn التي تأتي مع Windows لتمكين التفويض.

  2. اضبط إعدادات الاتصال الخاصة بالبوابة. قم بتمكين اتصالات Microsoft Entra ID الصادرة ومراجعة إعدادات جدار الحماية والميناء لضمان الاتصال.

  3. تكوين لتفويض Kerberos المقيد القياسي. باعتبارك مسؤول مجال، قم بتكوين حساب مجال لخدمة بحيث يتم تقييد تشغيل الحساب على مجال واحد.

  4. امنح حقوق السياسة المحلية لحساب خدمة البوابة على جهاز البوابة.

  5. قم بإضافة حساب خدمة البوابة إلى مجموعة تفويض والوصول إلى Windows.

  6. تعيين معلمات تكوين تعيين المستخدم على جهاز البوابة.

  7. تغيير حساب خدمة البوابة إلى حساب مجال. في التثبيت القياسي، تعمل العبارة على أنها حساب الخدمة المحلي للجهاز الافتراضي، خدمة NT\PBIEgwService. ويجب تشغيلها باعتبارها حساب مجال من أجل تسهيل تذاكر Kerberos ل SSO.

مزيد من المعلومات:

الخطوة 2: تكوين ERP الخاص ب نظام إدارة المعلومات (ERP) لتمكينك من استخدام Common CryptoLib (crcrypto.dll)

لاستخدام SSO للوصول إلى خادم ، تأكد من:

  • يمكنك تكوين خادم المضمن الخاص بك في Kerberos SSO باستخدام CommonCryptoLib كمكتبة اتصالات الشبكة الآمنة (SNC) الخاصة به.
  • يبدأ اسم SNC ب CN.

مهم

تأكد من عدم تشغيل عميل تسجيل الدخول الآمن (SLC) في نظام التشغيل الذي يعمل عليه الكمبيوتر الذي تم تثبيت العبارة عليه. يحجز SLC تذاكر Kerberos مؤقتا بطريقة يمكنها أن تتداخل مع قدرة العبارة على استخدام Kerberos ل SSO. لمزيد من المعلومات، راجع ملاحظة ساب 2780475 (مطلوب مستخدم s).

  1. قم بتنزيل الإصدار 64 بت CommonCryptoLib (sapcrypto.dll) الإصدار 8.5.25 أو أحدث من SAP Launchpad، وانسخه إلى مجلد على جهاز البوابة.

  2. في نفس الدليل الذي قمت sapcrypto.dll بنسخه، قم بإنشاء sapcrypto.ini ملف باسمه يحتوي على المحتوى التالي:

    ccl/snc/enable_kerberos_in_client_role = 1

    يحتوي .ini الملف على معلومات التكوين المطلوبة بواسطة CommonCryptoLib لتمكين SSO في سيناريو العبارة. تأكد أن المسار (أي)c:\sapcryptolib\يحتوي على كل من sapcrypto.ini و sapcrypto.dll. يجب .dll أن .ini يكون الملفان موجودين في نفس الموقع.

  3. منح أذونات لكل من .ini والملفات .dll إلى مجموعة المستخدمين المصادقة . يحتاج كل من مستخدم خدمة العبارة ومستخدم Active Directory الذيينتحله مستخدم الخدمة إلى أذونات قراءة وتنفيذ لكلا الملفين.

  4. قم بإنشاء CCL_PROFILE متغير بيئة نظام وحدد قيمته للمسار sapcrypto.ini.

  5. أعد تشغيل خدمة البوابة.

مزيد من المعلومات: استخدم تسجيل الدخول الفردي ل Kerberos ل SSO إلى مع وحدة تبادل البيانات (COMMONCryptoLib)

الخطوة 3: تمكين SNC الخاص ب Azure AD ، ومصادقة Windows

يدعم موصل SAP ERP Microsoft Entra ID، ومصادقة Windows Server AD عن طريق تمكين اتصال الشبكة الآمنة (SNC) في SAP. SNC هي طبقة برامج في بنية نظام ، توفر واجهة لمنتجات الأمان الخارجية بحيث تكون آمنة من تسجيل الدخول الفردي إلى بيئات. يساعدك إرشادات الخاصية التالية في الإعداد.

الخاصية الوصف
استخدام SNC عين نعم إذا كنت تريد تمكين SNC.
مكتبة SNC اسم مكتبة SNC أو المسار الخاص بموقع تثبيت NCo أو المسار المطلق. الامثلة sapcrypto.dll, أو c:\sapcryptolib\sapcryptolib.dll.
SNC SSO تحديد ما إذا كان الموصل يستخدم هوية الخدمة أو بيانات اعتماد المستخدم النهائي. تعيين الى إلى استخدام هوية المستخدم النهائي.
اسم شريك SNC اكتب اسم خادم التفويض. مثال, p:CN=SAPserver.
جودة SNC لحماية جودة الخدمة المستخدمة في اتصال SNC لهذا الوجهة أو الخادم الخاص. يتم تعريف القيمة الافتراضية بواسطة النظام المعاد تعيينها. يتم تعريف القيمة القصوى بواسطة منتج الأمان المستخدم ل SNC.

يجب أن يساوي اسم SNC الخاص ب. على سبيل المثال، يجب أن يكون p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM مساويًا لـ JANEDOE@REDMOND.CORP.CONTOSO.COM.

‏‫ملاحظة

مصادقة Microsoft Entra ID فقط— يجب أن يحتوي حساب مدير خدمة Active DirectorySAP على AES 128 أو AES 256 المحدد في سمة msDS-SupportedEncryptionType.

الخطوة 4: إعداد خادم و حسابات المستخدمين لاتسمح با الإجراءات

مراجعة ملاحظة رقم 460089 ب ، الحد الأدنى لملفات تعريف التفويض لبرامج R نبذة عن العمل لمعرفة المزيد حول أنواع حسابات المستخدم المدعومة والحد الأدنى المطلوب للتفويض لكل نوع إجراء، مثل استدعاء الوظيفة عن بعد (RPI) وواجهة برمجة تطبيق الأعمال (وPIPI) والمستند المتوسط (IDOC).

تحتاج حسابات مستخدم نظام التشغيل التشغيلي المعملي إلى الوصول إلى RFC_Metadata مجموعة الوظائف والوحدات النمطية للوظيفة المعنية للعمليات التالية:

العمليات الوصول إلى الوحدات النمطية للوظيفة
إجراءات RFC RFC_GROUP_SEARCH وDD_LANGU_TO_ISOLA
إجراء قراءة الجدول إما RFC BBP_RFC_READ_TABLE أو RFC_READ_TABLE
امنح الحد الأدنى من الوصول الملائكي إلى خادم نظام تشغيل الشبكة (ته) لاتصال .. RFC_METADATA_GET وRFC_METADATA_GET_TIMESTAMP

الخطوة التالية

تثبيت قالب مشتريات SAP

المحتوى ذو الصلة

(راجع أيضًا)