Kurz: Integrace jednotného přihlašování Microsoft Entra s platformou SAP Business Technology Platform

V tomto kurzu se dozvíte, jak integrovat SAP Business Technology Platform s Microsoft Entra ID. Když integrujete platformu SAP Business Technology Platform s Microsoft Entra ID, můžete:

• Řízení v Microsoft Entra ID, který má přístup k platformě SAP Business Technology Platform.
• Povolte uživatelům, aby se pomocí svých účtů Microsoft Entra automaticky přihlásili k platformě SAP Business Technology Platform.
• Spravujte účty v jednom centrálním umístění.

Předpoklady

Abyste mohli začít, potřebujete následující položky:

• Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
• Předplatné s povoleným jednotným přihlašováním (SSO) platformy SAP Business Technology Platform

Důležité

K otestování jednotného přihlašování musíte nasadit vlastní aplikaci nebo přihlásit se k odběru aplikace na účtu PLATFORMY SAP Business Technology Platform. V tomto kurzu se v účtu nasadí aplikace.

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

• SAP Business Technology Platform podporuje jednotné přihlašování iniciované aktualizací SP .

Přidání platformy SAP Business Technology Platform z galerie

Pokud chcete nakonfigurovat integraci platformy SAP Business Technology Platform do Microsoft Entra ID, musíte do svého seznamu spravovaných aplikací SaaS přidat platformu SAP Business Technology Platform z galerie.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
3. V části Přidat z galerie zadejte do vyhledávacího pole platformu SAP Business Technology Platform.
4. Na panelu výsledků vyberte platformu SAP Business Technology Platform a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro platformu SAP Business Technology Platform

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s platformou SAP Business Technology Platform pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem na platformě SAP Business Technology Platform.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s platformou SAP Business Technology Platform, proveďte následující kroky:

1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
   1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí Britta Simon.
   2. Přiřaďte testovacího uživatele Microsoft Entra , aby britta Simon mohl používat jednotné přihlašování Microsoft Entra.
2. Konfigurace jednotného přihlašování platformy SAP Business Technology Platform – konfigurace nastavení jednotného přihlašování na straně aplikace
   1. Vytvořte testovacího uživatele platformy SAP Business Technology Platform – aby měl protějšk Britta Simon v platformě SAP Business Technology Platform, která je propojena s reprezentací uživatele Microsoft Entra.
3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte k podnikovým aplikacím>identit>>SAP Business Technology Platform>s jednotným přihlašováním.

3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

4. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

   

5. V části Základní konfigurace SAML zadejte hodnoty pro následující pole:

   a. Do textového pole Identifikátor zadáte adresu URL platformy SAP Business Technology Platform pomocí jednoho z následujících vzorů:

   Identifikátor
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí jednoho z následujících vzorů:

   Adresa URL odpovědi
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. Do textového pole Přihlašovací adresa URL zadejte adresu URL, kterou uživatelé používají k přihlášení k aplikaci SAP Business Technology Platform . Toto je adresa URL konkrétního účtu chráněného prostředku v aplikaci SAP Business Technology Platform. Adresa URL je založená na následujícím vzoru: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Poznámka:

   Toto je adresa URL v aplikaci SAP Business Technology Platform, která vyžaduje, aby se uživatel ověřil.

   Přihlašovací adresa URL
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Poznámka:

   Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem, adresou URL odpovědi a přihlašovací adresou URL. Pokud chcete získat přihlašovací adresu URL a identifikátor, obraťte se na tým podpory klienta SAP Business Technology Platform. Adresa URL odpovědi, kterou můžete získat z oddílu správy důvěryhodnosti, který je vysvětlen později v tomto kurzu.

6. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte v části Podpisový certifikát SAML na tlačítko Stáhnout a stáhněte xml federačních metadat z uvedených možností podle vašeho požadavku a uložte ho do počítače.

   

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
2. Přejděte k identitě>Uživatelé>Všichni uživatelé.
3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
4. Ve vlastnostech uživatele postupujte takto:
   1. Do pole Zobrazovaný název zadejte B.Simon.
   2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například, B.Simon@contoso.com.
   3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
   4. Vyberte Zkontrolovat a vytvořit.
5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k platformě SAP Business Technology Platform.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte k podnikové aplikaci>Identity>Applications>SAP Business Technology Platform.
3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
   1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
   2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
   3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace jednotného přihlašování platformy SAP Business Technology Platform

1. V jiném okně webového prohlížeče se přihlaste ke sap Business Technology Platform Kokpitu ( https://account.<landscape host>.ondemand.com/cockpitnapříklad: https://account.hanatrial.ondemand.com/cockpit).

2. Klikněte na kartu Důvěryhodnost .

   

3. V části Správa důvěryhodnosti v části Místní poskytovatel služeb proveďte následující kroky:

   

   a. Klikněte na možnost Upravit.

   b. Jako typ konfigurace vyberte Vlastní.

   c. Jako název místního zprostředkovatele ponechte výchozí hodnotu. Zkopírujte tuto hodnotu a vložte ji do pole Identifikátor v konfiguraci Microsoft Entra pro platformu SAP Business Technology Platform.

   d. Chcete-li vygenerovat podpisový klíč a pár podpisového klíče certifikátu , klikněte na tlačítko Generovat pár klíčů.

   e. Jako šíření objektu zabezpečení vyberte Zakázáno.

   f. Jako vynucené ověřování vyberte Zakázáno.

   g. Klikněte na Uložit.

4. Po uložení nastavení místního poskytovatele služeb získejte adresu URL odpovědi následujícím postupem:

   

   a. Stáhněte soubor metadat platformy SAP Business Technology Platform kliknutím na Získat metadata.

   b. Otevřete stažený soubor XML metadat platformy SAP Business Technology Platform a vyhledejte značku ns3:AssertionConsumerService .

   c. Zkopírujte hodnotu atributu Location a vložte ji do pole Adresa URL odpovědi v konfiguraci Microsoft Entra pro platformu SAP Business Technology Platform.

5. Klepněte na kartu Důvěryhodného zprostředkovatele identity a potom klepněte na tlačítko Přidat důvěryhodného zprostředkovatele identity.

   

   Poznámka:

   Pokud chcete spravovat seznam důvěryhodných zprostředkovatelů identity, musíte v části Místní poskytovatel služeb zvolit vlastní typ konfigurace. Pro výchozí typ konfigurace máte neupravitelný a implicitní vztah důvěryhodnosti ke službě SAP ID. Pro žádné nemáte nastavení důvěryhodnosti.

6. Klikněte na kartu Obecné a potom klepněte na tlačítko Procházet a nahrajte stažený soubor metadat.

   

   Poznámka:

   Po nahrání souboru metadat se hodnoty adresy URL jednotného přihlašování, adresy URL pro jednotné odhlášení a podpisového certifikátu vyplní automaticky.

7. Klikněte na kartu Atributy.

8. Na kartě Atributy proveďte následující krok:

   

   a. Klepněte na tlačítko Přidat atribut založený na kontrolním výrazu a pak přidejte následující atributy založené na kontrolním výrazu:

   Atribut kontrolního výrazu	Hlavní atribut
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	Jméno
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	Příjmení
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	E-mail

   Poznámka:

   Konfigurace atributů závisí na tom, jak se aplikace na SCP vyvíjejí. To znamená, jaké atributy očekávají v odpovědi SAML a pod kterým názvem (hlavní atribut) přistupují k tomuto atributu v kódu.

   b. Výchozí atribut na snímku obrazovky je určený jenom pro ilustraci. Scénář nemusí fungovat.

   c. Názvy a hodnoty pro hlavní atribut zobrazený na snímku obrazovky závisí na tom, jak je aplikace vyvinuta. Je možné, že vaše aplikace vyžaduje různá mapování.

Skupiny založené na kontrolních výrazech

Jako volitelný krok můžete nakonfigurovat skupiny založené na kontrolním výrazu pro zprostředkovatele identity Microsoft Entra.

Použití skupin na platformě SAP Business Technology Platform umožňuje dynamicky přiřadit jednoho nebo více uživatelů k jedné nebo více rolím v aplikacích PLATFORMY SAP Business Technology Platform určených hodnotami atributů v kontrolním výrazu SAML 2.0.

Pokud například kontrolní výraz obsahuje atribut "contract=temporary", můžete chtít, aby všichni ovlivnění uživatelé měli být přidáni do skupiny "TEMPORARY". Skupina TEMPORARY může obsahovat jednu nebo více rolí z jedné nebo více aplikací nasazených v účtu platformy SAP Business Technology Platform.

Skupiny založené na kontrolním výrazu použijte, pokud chcete současně přiřadit mnoho uživatelů k jedné nebo více rolím aplikací v účtu platformy SAP Business Technology Platform. Pokud chcete přiřadit pouze jeden nebo malý počet uživatelů ke konkrétním rolím, doporučujeme je přiřadit přímo na kartě Autorizace v kokpitu PLATFORMY SAP Business Technology Platform.

Vytvoření testovacího uživatele platformy SAP Business Technology Platform

Aby se uživatelé Microsoft Entra mohli přihlásit k platformě SAP Business Technology Platform, musíte jim přiřadit role v platformě SAP Business Technology Platform.

Pokud chcete přiřadit roli uživateli, proveďte následující kroky:

1. Přihlaste se ke svému kokpitu platformy SAP Business Technology Platform .

2. Proveďte následující:

   

   a. Klikněte na Autorizaci.

   b. Klikněte na kartu Uživatelé .

   c. Do textového pole Uživatel zadejte e-mailovou adresu uživatele.

   d. Kliknutím na Přiřadit přiřadíte uživatele k roli.

   e. Klikněte na Uložit.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

• Klikněte na Otestovat tuto aplikaci, tím se přesměruje na přihlašovací adresu URL platformy SAP Business Technology Platform, kde můžete zahájit tok přihlášení.

• Přejděte přímo na přihlašovací adresu URL platformy SAP Business Technology Platform a spusťte tok přihlášení odsud.

• Můžete použít Microsoft Moje aplikace. Když kliknete na dlaždici SAP Business Technology Platform v Moje aplikace, měli byste být automaticky přihlášení k platformě SAP Business Technology Platform, pro kterou jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Jakmile nakonfigurujete platformu SAP Business Technology Platform, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.