Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con SAP Fiori

En este tutorial, aprenderá a integrar SAP Fiori con Microsoft Entra ID. Al integrar SAP Fiori con Microsoft Entra ID, puede:

• Controlar en Microsoft Entra ID quién tiene acceso a SAP Fiori.
• Permitir que los usuarios puedan iniciar sesión automáticamente en SAP Fiori con sus cuentas de Microsoft Entra.
• Administre sus cuentas en una ubicación central.

Requisitos previos

Para empezar, necesita los siguientes elementos:

• Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
• Una suscripción habilitada para el inicio de sesión único en SAP Fiori.

Descripción del escenario

En este tutorial va a configurar y probar el inicio de sesión único de Microsoft Entra en un entorno de prueba.

• SAP Fiori admite el inicio de sesión único iniciado por SP

Nota:

En el caso de la autenticación de iFrame iniciada por SAP Fiori, se recomienda usar el parámetro IsPassive de AuthnRequest de SAML para la autenticación silenciosa. Para más detalles sobre el parámetro IsPassive, consulte la información de Inicio de sesión único de SAML de Microsoft Entra.

Incorporación de SAP Fiori desde la galería

Para configurar la integración de SAP Fiori en Microsoft Entra ID, deberá agregar SAP Fiori desde la galería a la lista de aplicaciones SaaS administradas.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
3. En la sección Agregar desde la galería, escriba SAP Fiori en el cuadro de búsqueda.
4. Seleccione SAP Fiori en el panel de resultados y, después, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Si lo desea, puede usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para SAP Fiori

Configure y pruebe el inicio de sesión único de Microsoft Entra con SAP Fiori mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de SAP Fiori.

Para configurar y probar el inicio de sesión único de Microsoft Entra con SAP Fiori, complete los siguientes pasos:

1. Configure el inicio de sesión único de Microsoft Entra, para que los usuarios puedan usar esta característica.
   1. Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
   2. Asigne el usuario de prueba de Microsoft Entra, para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
2. Configuración del inicio de sesión único en SAP Fiori , para configurar los valores de Inicio de sesión único en la aplicación.
   1. Cree un usuario de prueba de SAP Fiori, para tener un homólogo de B.Simon en SAP Fiori que esté vinculado a la representación del usuario en Microsoft Entra.
3. Prueba del inicio de sesión único : para comprobar si la configuración funciona.

Configuración del inicio de sesión único de Microsoft Entra

Siga estos pasos para habilitar el SSO de Microsoft Entra.

1. Abra una ventana del explorador web e inicie sesión como administrador en el sitio SAP Fiori de su compañía.

2. Asegúrese de que los servicios http y https están activos y de que se asignan los puertos pertinentes al código de transacción SMICM.

3. Inicie sesión en SAP Business Client para el sistema SAP T01, en donde el inicio de sesión único es obligatorio. A continuación, activar la administración de sesiones de seguridad de HTTP.

   1. Vaya al código de transacción SICF_SESSIONS. Se muestran todos los parámetros de perfil pertinentes con sus valores actuales. Deben tener un aspecto similar al ejemplo siguiente:

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Nota:

      Ajuste los parámetros en base a los requisitos de la organización. Los parámetros anteriores se proporcionan únicamente como ejemplo.

   2. Si es necesario, ajuste los parámetros en el perfil de instancia (predeterminado) del sistema SAP y reinicie el sistema SAP.

   3. Haga doble clic en el cliente apropiado para habilitar la sesión de seguridad HTTP.

      

   4. Active los servicios SICF siguientes:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Vaya al código de transacción SAML2 en el cliente empresarial del sistema SAP [T01/122]. La interfaz de usuario de configuración se abre en una nueva ventana del explorador. En este ejemplo, utilizamos el cliente empresarial del sistema SAP 122.

   

5. Escriba su nombre de usuario y contraseña, y haga clic en Log On (Entrar al sistema).

   

6. En el cuadro Provider Name (Nombre del proveedor), reemplace T01122 por http://T01122 y seleccione Save (Guardar).

   Nota:

   De forma predeterminada, el nombre del proveedor se encuentra en el formato <sid><cliente>. Microsoft Entra ID espera el nombre en el formato <protocolo>://<nombre>. Se recomienda mantener el nombre del proveedor como https://<sid><cliente> para poder configurar varios motores de ABAP de SAP Fiori en Microsoft Entra ID.

   

7. Seleccione la pestaña Local Provider (Proveedor local)>Metadata (Metadatos).

8. En el cuadro de diálogo SAML 2.0 Metadata (Metadatos de SAML 2.0), descargue el archivo XML de metadatos generado y guárdelo en su equipo.

   

9. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

10. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>SAP Fiori>Inicio de sesión único.

11. En la página Seleccione un método de inicio de sesión único, elija SAML.

12. En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.

    

13. En la sección Configuración básica de SAML, si tiene el archivo de metadatos del proveedor de servicios, lleve a cabo los siguientes pasos:

    1. Haga clic en Cargar el archivo de metadatos.

       

    2. Haga clic en el logotipo de la carpeta para seleccionar el archivo de metadatos y luego en Cargar.

       

    3. Una vez que se haya cargado correctamente el archivo de metadatos, los valores de Identificador y URL de respuesta se rellenan automáticamente en el panel Configuración básica de SAML. En el cuadro URL de inicio de sesión, escriba una dirección URL con el siguiente formato: https://<your company instance of SAP Fiori>.

       Nota:

       Algunos clientes han encontrado un error de una dirección URL de respuesta incorrecta configurada para su instancia. Si recibe este error, use estos comandos de PowerShell. En primer lugar, actualice las direcciones URL de respuesta en el objeto de aplicación con la dirección URL de respuesta y, a continuación, actualice la entidad de servicio. Use Get-MgServicePrincipal para obtener el valor del identificador de entidad de servicio.

       $params = @{
          web = @{
             redirectUris = "<Your Correct Reply URL>"
          }
       }
       Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
       Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
       

14. La aplicación SAP Fiori espera que las aserciones de SAML estén en un formato específico. Configure las siguientes notificaciones para esta aplicación. Para administrar estos valores de atributo, en el panel Configurar el inicio de sesión único con SAML, seleccione Editar.

    

15. En el panel User Attributes & Claims (Atributos y notificaciones del usuario), configure los atributos del token de SAML, tal como se muestra en la imagen anterior. Después, complete los siguientes pasos:

    1. Seleccione Editar para abrir el panel Administrar las notificaciones del usuario.

    2. En la lista Transformación, seleccione ExtractMailPrefix() .

    3. En la lista Parámetro 1, seleccione user.userprincipalname.

    4. Seleccione Guardar.

       

       

16. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque XML de metadatos de federación y seleccione Descargar para descargar el certificado y guardarlo en su equipo.

    

17. En la sección Set up SAP Fiori (Configurar SAP Fiori), copie las direcciones URL adecuadas según sus necesidades.

    

Cree un usuario de prueba de Microsoft Entra

En esta sección, se crea un usuario llamado B.Simon.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
2. Vaya aIdentidad>Usuarios>Todos los usuarios.
3. Seleccione Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
4. En las propiedades del usuario, siga estos pasos:
   1. En el campo Nombre para mostrar, escriba B.Simon.
   2. En el campo Nombre principal de usuario, escriba username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.
   3. Active la casilla Show password (Mostrar contraseña) y, después, anote el valor que se muestra en el cuadro Contraseña.
   4. Seleccione Revisar + crear.
5. Seleccione Crear.

Asignación del usuario de prueba de Microsoft Entra

En esta sección, va a permitir que B.Simon acceda a SAP Fiori mediante el inicio de sesión único.

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>SAP Fiori.
3. En la página de información general de la aplicación, seleccione Usuarios y grupos.
4. Seleccione Agregar usuario o grupo. A continuación, en el cuadro de diálogo Agregar asignación, seleccione Usuarios y grupos.
   1. En el cuadro de diálogo Usuarios y grupos, seleccione B.Simon de la lista de usuarios y haga clic en el botón Seleccionar de la parte inferior de la pantalla.
   2. Si espera que se asigne un rol a los usuarios, puede seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verá seleccionado el rol "Acceso predeterminado".
   3. En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.

Configuración de inicio de sesión único en SAP Fiori

1. Inicie sesión en el sistema SAP y vaya al código de transacción SAML2. Se abre una nueva ventana del explorador con la página de configuración de SAML.

2. Para configurar los puntos de conexión para un proveedor de identidades de confianza (Microsoft Entra ID), vaya a la pestaña Proveedores de confianza.

   

3. Seleccione Add (Agregar) y luego Upload Metadata File (Cargar archivo de metadatos) en el menú contextual.

   

4. Cargue el archivo de metadatos que descargó. Seleccione Siguiente.

   

5. En la página siguiente, en el cuadro Alias, escriba el nombre de alias. Por ejemplo, aadsts. Seleccione Siguiente.

   

6. Asegúrese de que el valor en el cuadro Digest Algorithm (Algoritmo de codificación) es SHA-256. Seleccione Siguiente.

   

7. En Single Sign-On Endpoints (Puntos de conexión del inicio de sesión único), seleccione HTTP POSTy, a continuación, seleccione Next (Siguiente).

   

8. En Single Logout Endpoints (Puntos de conexión del cierre de sesión único), seleccione HTTP Redirect y, a continuación, seleccione Next (Siguiente).

   

9. En Artifact Endpoints (Puntos de conexión de artefacto), seleccione Next (Siguiente) para continuar.

   

10. En Authentication Requirements (Requisitos de autenticación), haga clic en Finish (Finalizar).

    

11. Vaya a la pestaña Trusted Provider (Proveedor de confianza)>Identity Federation (Federación de identidades) en la parte inferior de la página. Seleccione Editar.

    

12. Seleccione Agregar.

    

13. En el cuadro de diálogo Supported NameID Formats (Formatos de NameID admitidos), seleccione Unspecified (No especificado). Seleccione Aceptar.

    

    Los valores Origen del identificador de usuario y Modo de asignación del identificador de usuario determinan el vínculo entre el usuario de SAP y la notificación de Microsoft Entra.

    Escenario 1: Asignación de usuario de SAP a usuario de Microsoft Entra

    1. En SAP, en Details of NameID Format "Unspecified" (Detalles del formato de NameID "Sin especificar"), tome nota de los detalles:

       

    2. En Azure Portal, en Atributos y notificaciones del usuario, tome nota de las notificaciones de Microsoft Entra ID.

       

    Escenario 2: Seleccione el identificador de usuario SAP según la dirección de correo electrónico configurada en SU01. En este caso, el identificador de correo electrónico debe configurarse en SU01 para cada usuario que necesite el inicio de sesión único.

    1. En SAP, en Details of NameID Format "Unspecified" (Detalles del formato de NameID "Sin especificar"), tome nota de los detalles:

       

    2. En Azure Portal, en Atributos y notificaciones del usuario, tome nota de las notificaciones de Microsoft Entra ID.

       

14. Seleccione Save (Guardar) y, a continuación, Enable (Habilitar) para habilitar el proveedor de identidades.

    

15. Cuando se le solicite, seleccione OK (Aceptar).

    

Creación de un usuario de prueba en SAP Fiori

En esta sección, creará un usuario llamado Britta Simon en SAP Fiori. Colabore con su equipo interno de expertos en SAP o con el asociado SAP de su organización para agregar el usuario en la plataforma de SAP Fiori.

Prueba de SSO

1. Una vez activado el proveedor de identidades de Microsoft Entra ID en SAP Fiori, intente obtener acceso a una de las siguientes direcciones URL para probar el inicio de sesión (no se le debería pedir ni nombre de usuario ni contraseña):

   • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
   • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

   Nota:

   Reemplace <sap-url> por el nombre de host real de SAP.

2. La dirección URL de prueba le debe llevar a la siguiente página de aplicación de prueba en SAP. Si se abre la página es que el inicio de sesión único en Microsoft Entra está correctamente configurado.

   

3. Si se le pide un nombre de usuario y contraseña, habilite el trace de sistema para ayudar con el diagnostico del problema. Use la siguiente dirección URL para el seguimiento:

   https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Pasos siguientes

Una vez configurado SAP Fiori, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.