Konfigurace SAP Fiori pro jednotné přihlašování pomocí Microsoft Entra ID

V tomto článku se dozvíte, jak integrovat SAP Fiori s Microsoft Entra ID. Když integrujete SAP Fiori s Microsoft Entra ID, můžete:

• Řiďte v Microsoft Entra ID, kdo má přístup k SAP Fiori.
• Povolte uživatelům, aby se k SAP Fiori automaticky přihlásili pomocí svých účtů Microsoft Entra.
• Spravujte účty v jednom centrálním umístění.

Požadavky

Scénář popsaný v tomto článku předpokládá, že již máte následující požadavky:

• Uživatelský účet Microsoft Entra s aktivním předplatným. Pokud ho ještě nemáte, můžete si vytvořit účet zdarma.
• Jedna z následujících rolí:
  • správce aplikace
  • správce cloudových aplikací
  • Vlastník aplikace.

• Předplatné SAP Fiori s povoleným jednotným přihlašováním (SSO)

Popis scénáře

V tomto článku nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

• SAP Fiori podporuje SSO iniciované SP

Poznámka

Pro ověřování iFrame iniciované platformou SAP Fiori doporučujeme použít parametr IsPassive v požadavku SAML AuthnRequest pro tiché ověřování. Pro více podrobností o parametru IsPassive viz informace o Microsoft Entra SAML jednotném přihlašování .

Přidání SAP Fiori z galerie

Pokud chcete nakonfigurovat integraci SAP Fiori do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat SAP Fiori z galerie.

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce cloudových aplikací.
2. Prohlédněte si Entra ID>Podnikové aplikace>Nová aplikace.
3. V části Přidat z galerie zadejte do vyhledávacího pole SAP Fiori.
4. Na panelu výsledků vyberte SAP Fiori a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít průvodce konfigurací podnikové aplikace . V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Další informace o průvodcích Microsoft 365

Konfigurace a testování jednotného přihlašování Microsoft Entra pro SAP Fiori

Konfigurace a otestování jednotného přihlašování Microsoft Entra s SAP Fiori pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v SAP Fiori.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s SAP Fiori, proveďte následující kroky:

1. Konfigurujte Microsoft Entra SSO – aby uživatelé mohli tuto funkci používat.
   1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
   2. Přiřadit testovacího uživatele Microsoft Entra - aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
2. Nakonfigurujte SAP Fiori SSO – nastavte jednotné přihlašování na straně aplikace.
   1. Vytvořte testovacího uživatele SAP Fiori – aby měl protějšek B.Simon v SAP Fiori, který je propojený s reprezentací uživatele Microsoft Entra.
3. Test SSO - ověřte, zda konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Postupujte podle těchto kroků, abyste povolili jednotné přihlašování Microsoft Entra.

1. Otevřete nové okno webového prohlížeče a přihlaste se k firemnímu webu SAP Fiori jako správce.

2. Ujistěte se, že jsou aktivní služby http a https a že příslušné porty jsou přiřazeny ke kódu transakce SMICM.

3. Přihlaste se k sap Business Clientu pro systém SAP T01, kde se vyžaduje jednotné přihlašování. Pak aktivujte správu zabezpečení relací HTTP.

   1. Přejděte na kód transakce SICF_SESSIONS. Zobrazí se všechny relevantní parametry profilu s aktuálními hodnotami. Vypadají jako v následujícím příkladu:

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Poznámka

      Upravte parametry na základě požadavků vaší organizace. Předchozí parametry jsou uvedeny pouze jako příklad.

   2. V případě potřeby upravte parametry v profilu instance (výchozí) systému SAP a restartujte systém SAP.

   3. Poklikejte na příslušného klienta, aby se povolila relace zabezpečení HTTP.

      

   4. Aktivujte následující služby SICF:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Přejděte na kód transakce SAML2 v obchodním klientovi pro systém SAP [T01/122]. Uživatelské rozhraní konfigurace se otevře v novém okně prohlížeče. V tomto příkladu používáme obchodního klienta pro systém SAP 122.

   

5. Zadejte své uživatelské jméno a heslo a pak vyberte Přihlásit se.

   

6. V poli Název zprostředkovatele nahraďte T01122 za http://T01122, a pak vyberte Uložit.

   Poznámka

   Ve výchozím nastavení je název zprostředkovatele ve formátu <sid><klient>. Microsoft Entra ID očekává název ve formátu <protokolu>://<název>. Doporučujeme udržovat název poskytovatele jako https://<sid><client>, abyste mohli nakonfigurovat více enginů SAP Fiori ABAP v Microsoft Entra ID.

   

7. Vyberte kartu Místního zprostředkovatele>metadata.

8. V dialogovém okně SAML 2.0 Metadata stáhněte vygenerovaný soubor XML metadat a uložte ho do počítače.

   

9. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce cloudových aplikací.

10. Přejděte kpodnikovým aplikacím>Entra ID>SAP Fiori>Jednotné přihlašování.

11. Na stránce Vyberte metodu jednotného přihlašování vyberte SAML.

12. Na stránce Nastavení jednotného přihlašování pomocí SAML vyberte ikonu tužky pro Základní konfiguraci SAML a upravte nastavení.

    

13. V části základní konfigurace SAML, pokud máte soubor metadat poskytovatele služeb , proveďte následující kroky:

    1. Vyberte Nahrát soubor metadat.

       

    2. Vyberte logo složky pro výběr souboru metadat a klikněte na Nahrát .

       

    3. Po úspěšném nahrání souboru metadat se hodnoty identifikátoru a adresy URL odpovědi automaticky vyplní v podokně základní konfigurace SAML . Do pole Přihlašovací adresa URL zadejte adresu URL, která má následující vzor: https://<your company instance of SAP Fiori>.

       Poznámka

       Někteří zákazníci narazili na chybu nesprávné adresy URL odpovědi nakonfigurované pro svou instanci. Pokud se zobrazí nějaká taková chyba, použijte tyto příkazy PowerShellu. Nejprve aktualizujte adresy URL odpovědí v objektu aplikace pomocí adresy URL odpovědi a poté aktualizujte hlavní službu. K získání hodnoty ID hlavního objektu služby použijte Get-MgServicePrincipal.

       $params = @{
          web = @{
             redirectUris = "<Your Correct Reply URL>"
          }
       }
       Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
       Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
       

14. Aplikace SAP Fiori očekává, že aserce SAML budou v určitém formátu. Nakonfigurujte pro tuto aplikaci následující nároky. Pokud chcete tyto hodnoty atributů spravovat, v podokně Nastavit jednorázové přihlášení pomocí SAML vyberte Upravit.

    

15. V podokně Atributy uživatele & Nároky nakonfigurujte atributy tokenu SAML, jak je uvedeno na předchozím obrázku. Pak proveďte následující kroky:

    1. Výběrem možnosti Upravit otevřete podokno Správa deklarací identity uživatelů.

    2. V seznamu Transformace vyberte ExtractMailPrefix().

    3. V seznamu Parametr 1 vyberte user.userprincipalname.

    4. Vyberte Uložit.

       

       

16. Na stránce Nastavení jednotného přihlašování pomocí protokolu SAML, v sekci Podpisový certifikát SAML, vyhledejte XML federačních metadat a vyberte Stáhnout pro stažení certifikátu a jeho uložení do počítače.

    

17. V části Nastavení SAP Fiori zkopírujte odpovídající adresy URL podle potřeby.

    

Vytvoření a přiřazení testovacího uživatele Microsoft Entra

Postupujte podle pokynů v vytvoření a přiřazení uživatelského účtu rychlého startu pro vytvoření testovacího uživatelského účtu s názvem B.Simon.

Konfigurace jednotného přihlašování SAP Fiori

1. Přihlaste se k systému SAP a přejděte na kód transakce SAML2. Otevře se nové okno prohlížeče se stránkou konfigurace SAML.

2. Pokud chcete nakonfigurovat koncové body pro důvěryhodného zprostředkovatele identity (Microsoft Entra ID), vyberte kartu důvěryhodných zprostředkovatelů.

   

3. V místní nabídce vyberte nejprve Přidata poté Nahrát soubor metadat.

   

4. Nahrajte stažený soubor metadat. Vyberte Další.

   

5. Na další stránce do pole Alias zadejte název aliasu. Například aadsts. Vyberte Další.

   

6. Ujistěte se, že hodnota v poli algoritmus digestu je SHA-256. Vyberte Další.

   

7. V části Koncové body služby jednotného přihlašování vyberte HTTP POST, a pak vyberte Další.

   

8. Pod nadpisem koncové body pro jediné odhlášenívyberte HTTP Redirecta pak vyberte Další.

   

9. V části Koncové body artefaktůvyberte Další ke pokračování.

   

10. V části Požadavky na ověřovánívyberte Dokončit.

    

11. Vyberte důvěryhodného poskytovatele>federace identit (v dolní části stránky). Vyberte Upravit.

    

12. Vyberte Přidat.

    

13. V dialogovém okně Podporované formáty NAMEID vyberte Nezadané. Vyberte OK.

    

    Hodnoty pro Zdroj ID uživatele a režim mapování ID uživatele určují propojení mezi uživatelem SAP a deklarací identity Microsoft Entra.

    Scénář 1: Mapování uživatelů SAP na Microsoft Entra

    1. V SAP v sekci Podrobnosti formátu NameID "Nezadaný", poznamenejte si podrobnosti:

       

    2. Na portálu Azure v části Atributy uživatele & nárokysi všimněte požadovaných nároků z Microsoft Entra ID.

       

    Scénář 2: Vyberte ID uživatele SAP na základě nakonfigurované e-mailové adresy v SU01. V takovém případě by mělo být ID e-mailu nakonfigurované v SU01 pro každého uživatele, který vyžaduje jednotné přihlašování.

    1. V SAP v sekci Podrobnosti formátu NameID "Nezadaný", poznamenejte si podrobnosti:

       

    2. Na portálu Azure v části Atributy uživatele & nárokysi všimněte požadovaných nároků z Microsoft Entra ID.

       

14. Vyberte Uložita potom vyberte Povolit a povolte zprostředkovatele identity.

    

15. Po zobrazení výzvy vyberte OK.

    

Vytvoření testovacího uživatele SAP Fiori

V této části vytvoříte uživatele s názvem Britta Simon v SAP Fiori. Spolupracujte s interním týmem odborníků na SAP nebo partnerem SAP vaší organizace a přidejte uživatele do platformy SAP Fiori.

Testování jednotného přihlašování

1. Po aktivaci zprostředkovatele identity Microsoft Entra ID v SAP Fiori se pokuste o přístup k některému z následujících adres URL a otestujte jednotné přihlašování (neměli byste být vyzváni k zadání uživatelského jména a hesla):

   • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
   • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

   Poznámka

   Nahraďte <sap-url> skutečným názvem hostitele SAP.

2. Testovací adresa URL by vás měla v SAP převést na následující stránku testovací aplikace. Pokud se stránka otevře, jednotné přihlašování Microsoft Entra se úspěšně nastaví.

   

3. Pokud se zobrazí výzva k zadání uživatelského jména a hesla, povolte trasování, které vám pomůže problém diagnostikovat. Pro trasování použijte následující adresu URL:

   https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Související obsah

Jakmile nakonfigurujete SAP Fiori, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací vychází z podmíněného přístupu. Naučte se vynucovat řízení relací pomocí programu Microsoft Defender for Cloud Apps.