Tutorial: Integración de SSO de Microsoft Entra con SAP Business Technology Platform

En este tutorial, aprenderá a integrar SAP Business Technology Platform con Microsoft Entra ID. Al integrar SAP Business Technology Platform con Microsoft Entra ID, puede hacer lo siguiente:

• Controlar en Microsoft Entra ID quién tiene acceso a SAP Business Technology Platform.
• Permitir que los usuarios inicien sesión automáticamente en SAP Business Technology Platform con sus cuentas de Microsoft Entra.
• Administrar las cuentas en una ubicación central.

Prerrequisitos

Para empezar, necesita los siguientes elementos:

• Una suscripción de Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita .
• Una suscripción habilitada para el inicio de sesión único (SSO) en SAP Business Technology Platform.

Importante

Debe implementar su propia aplicación o suscribirse a una aplicación en su cuenta de SAP Business Technology Platform para probar el inicio de sesión único. En este tutorial, se implementa una aplicación en la cuenta.

Descripción del escenario

En este tutorial, configurará y probará el inicio de sesión único de Microsoft Entra en un entorno de prueba.

• SAP Business Technology Platform admite el inicio de sesión de usuario único iniciado por SP.

Incorporación de SAP Business Technology Platform desde la galería

Para configurar la integración de SAP Business Technology Platform en Microsoft Entra ID, debe agregar SAP Business Technology Platform desde la galería a la lista de aplicaciones SaaS administradas.

1. Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
3. En la sección Agregar desde la galería, escriba SAP Business Technology Platform en el cuadro de búsqueda.
4. Seleccione SAP Business Technology Platform en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Como alternativa, también puede usar el Asistente de configuración de aplicaciones empresariales . En este asistente, puede agregar una aplicación a su entidad, agregar usuarios o grupos a la aplicación, asignar roles y también realizar la configuración de SSO. Más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para SAP Business Technology Platform

Configure y pruebe el inicio de sesión único de Microsoft Entra con SAP Business Technology Platform mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es preciso establecer una relación de vinculación entre un usuario de Microsoft Entra y el usuario relacionado de SAP Business Technology Platform.

Para configurar y probar el inicio de sesión único de Microsoft Entra con SAP Business Technology Platform, siga estos pasos:

1. Configure el inicio de sesión único de Microsoft Entra: para que los usuarios puedan utilizar esta característica.
   1. Crear un usuario de prueba de Microsoft Entra: para probar el inicio de sesión único de Microsoft Entra con Britta Simon.
   2. Asignar el usuario de prueba de Microsoft Entra: para permitir que Britta Simon use el inicio de sesión único de Microsoft Entra.
2. Configuración del inicio de sesión único en SAP Business Technology Platform: para configurar los valores de inicio de sesión único en la aplicación.
   1. crear un usuario de prueba de SAP Business Technology Platform: para tener un homólogo de Britta Simon en SAP Business Technology Platform que esté vinculado a la representación del usuario en Microsoft Entra.
3. Prueba de SSO: para comprobar si la configuración funciona.

Configurar Microsoft Entra SSO

Siga estos pasos para la activación de inicio de sesión único en Microsoft Entra.

1. Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.

2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>SAP Business Technology Platform>Inicio de sesión único.

3. En la página Seleccione un método de inicio de sesión único, elija SAML.

4. En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.

   

5. En la sección configuración básica de SAML, escriba los valores de los campos siguientes:

   a. En el cuadro de texto Identificador proporcionará el de su aplicación SAP Business Technology Platform, escriba una dirección URL conforme a uno de los siguientes patrones:

   Identificador
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. En el cuadro de texto URL de respuesta, escriba una dirección URL con uno de los siguientes patrones:

   URL de respuesta
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. En el cuadro de texto dirección URL de inicio de sesión, escriba la dirección URL que usan los usuarios para iniciar sesión en su aplicación SAP Business Technology Platform. Esta es la dirección URL específica de la cuenta de un recurso protegido en la aplicación SAP Business Technology Platform. La dirección URL se basa en el siguiente patrón: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Nota

   Esta es la dirección URL de la aplicación SAP Business Technology Platform que requiere que el usuario se autentique.

   Dirección URL de inicio de sesión
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Nota

   Estos valores no son reales. Actualice estos valores con el identificador real, la dirección URL de respuesta y la dirección URL de inicio de sesión. Póngase en contacto con el equipo de atención al cliente de SAP Business Technology Platform para obtener la dirección URL de inicio de sesión y el identificador. Dirección URL de respuesta que puede obtener de la sección de administración de confianza, que se explica más adelante en el tutorial.

6. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, haga clic en Descargar para descargar el XML de metadatos de federación de las opciones proporcionadas según sus requisitos y guárdelo en el equipo.

   

Creación de un usuario de prueba de Microsoft Entra

En esta sección, creará un usuario de prueba llamado B.Simon.

1. Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de usuarios.
2. Vaya a Identidad>Usuarios>Todos los usuarios.
3. Seleccione Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
4. En las propiedades del usuario , siga estos pasos:
   1. En el campo Nombre para mostrar, escriba B.Simon.
   2. En el campo Nombre principal de usuario, escriba el username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.
   3. Active la casilla Show password (Mostrar contraseña) y, después, anote el valor que se muestra en el cuadro Contraseña.
   4. Seleccione Revisar + crear.
5. Seleccione Crear.

Asignación del usuario de prueba de Microsoft Entra

En esta sección, permita que B.Simon acceda a SAP Business Technology Platform mediante el inicio de sesión único (SSO).

1. Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>SAP Business Technology Platform.
3. En la página de descripción general de la aplicación, seleccione Usuarios y grupos.
4. Seleccione Agregar usuario o grupo. A continuación, en el cuadro de diálogo Agregar asignación, seleccione Usuarios y grupos.
   1. En el cuadro de diálogo Usuarios y grupos, seleccione B.Simon de la lista de usuarios y luego haga clic en el botón Seleccionar en la parte inferior de la pantalla.
   2. Si espera que se asigne un rol a los usuarios, puede seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verá el rol "Acceso predeterminado" seleccionado.
   3. En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.

Configurar SSO de SAP Business Technology Platform

1. En otra ventana del explorador web, inicie sesión en SAP Business Technology Platform Cockpit en https://account.<landscape host>.ondemand.com/cockpit(por ejemplo: https://account.hanatrial.ondemand.com/cockpit).

2. Haga clic en la pestaña Trust (Confianza).

   

3. En la sección Trust Management (Administración de confianza), en Local Service Provider (Proveedor de servicios local), realice los pasos siguientes:

   

   a. Haga clic en Editar.

   b. En Configuration Type (Tipo de configuración), seleccione Custom (Personalizado).

   c. Como Local Provider Name(Nombre de proveedor local), deje el valor predeterminado. Copie este valor y péguelo en el campo Identificador en la configuración de Microsoft Entra para SAP Business Technology Platform.

   d. Para generar una Signing Key (Clave de firma) y un par de claves Signing Certificate (Certificado de firma), haga clic en Generate Key Pair (Generar par de claves).

   e. En Principal Propagation (Propagación de entidad de seguridad), seleccione Disabled (Deshabilitada).

   f. En Force Authentication (Forzar autenticación), seleccione Disabled (Deshabilitado).

   g. Haga clic en Save(Guardar).

4. Después de guardar la configuración de Local Service Provider (Proveedor de servicios local), realice lo siguiente para obtener la dirección URL de respuesta:

   

   a. Descargue el archivo de metadatos de SAP Business Technology Platform haciendo clic en Obtener metadatos.

   b. Abra el archivo XML de metadatos de SAP Business Technology Platform descargado y busque la etiqueta ns3:AssertionConsumerService.

   c. Copie el valor del atributo Location y péguelo en el campo URL de Respuesta en la configuración de Microsoft Entra para SAP Business Technology Platform.

5. Haga clic en la pestaña Proveedor de identidades de confianza y, a continuación, haga clic en Añadir proveedor de identidades de confianza.

   

   Nota

   Para administrar la lista de proveedores de identidades de confianza, debe haber elegido el tipo de configuración personalizado en la sección Proveedor de servicios locales. En Tipo de configuración predeterminado, tiene una confianza no editable e implícita en el servicio de identificador de SAP. Para Ninguno, no tiene ninguna configuración de confianza.

6. Haga clic en la pestaña General y en Browse (Examinar) para cargar el archivo de metadatos descargados.

   

   Nota

   Después de cargar el archivo de metadatos, los valores de dirección URL de inicio de sesión único, dirección URL de cierre de sesión únicoy certificado de firma se rellenan automáticamente.

7. Haga clic en la pestaña Attributes (Atributos).

8. En la pestaña Atributos de , realice el paso siguiente:

   

   a. Haga clic en Add Assertion-Based Attribute(Agregar atributo basado en la aserción) y agregue los siguientes atributos basados en aserción:

   Atributo de aserción	Atributo principal
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	firstname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	apellido
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	Correo electrónico

   Nota

   La configuración de los atributos depende de cómo se desarrollan las aplicaciones en SCP, es decir, qué atributos esperan en la respuesta SAML y con qué nombre (atributo principal) acceden a este atributo en el código.

   b. El atributo predeterminado de la captura de pantalla solo es para fines ilustrativos. No es necesario para que el escenario funcione.

   c. Los nombres y valores de atributo principal que se muestran en la captura de pantalla dependen de cómo se desarrolla la aplicación. Es posible que la aplicación requiera diferentes asignaciones.

Grupos basados en aserciones

Como paso opcional, puede configurar grupos basados en aserciones para el proveedor de identidades de Microsoft Entra.

El uso de grupos en SAP Business Technology Platform permite asignar dinámicamente uno o varios usuarios a uno o varios roles en las aplicaciones de sap Business Technology Platform, determinados por valores de atributos en la aserción de SAML 2.0.

Por ejemplo, si la aserción contiene el atributo "contract=temporary", es posible que quiera que todos los usuarios afectados se agreguen al grupo "TEMPORARY". El grupo "TEMPORARY" puede contener uno o varios roles de una o varias aplicaciones implementadas en la cuenta de SAP Business Technology Platform.

Use grupos basados en aserciones cuando desee asignar simultáneamente muchos usuarios a uno o varios roles de aplicaciones en su cuenta de SAP Business Technology Platform. Si desea asignar solo a un pequeño número de usuarios a roles específicos, se recomienda que se les asigne directamente en la pestaña "Autorizaciones" del cockpit de la SAP Business Technology Platform.

Creación de un usuario de prueba de SAP Business Technology Platform

Para permitir que los usuarios de Microsoft Entra inicien sesión en SAP Business Technology Platform, debe asignar roles en SAP Business Technology Platform.

Para asignar un rol a un usuario, realice los pasos siguientes:

1. Iniciar sesión en el cockpit de SAP Business Technology Platform.

2. Realice lo siguiente:

   Autorizaciones de

   a. Haga clic en Authorization(Autorización).

   b. Haga clic en la pestaña Usuarios.

   c. En el cuadro de texto de usuario , escriba la dirección de correo electrónico del usuario.

   d. Haga clic en Asignar para asignarle un rol al usuario.

   e. Haga clic en Save(Guardar).

Prueba de SSO

En esta sección, probará la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

• Haga clic en Probar esta aplicación, lo que le redirigirá a la dirección URL de inicio de sesión de SAP Business Technology Platform, donde puede iniciar el flujo de inicio de sesión.

• Vaya directamente a la dirección URL de inicio de sesión de SAP Business Technology Platform e inicie el flujo de inicio de sesión desde allí.

• Puede usar Microsoft Mis Aplicaciones. Al hacer clic en el icono de SAP Business Technology Platform en Mis Aplicaciones, debería iniciar sesión automáticamente en la versión de SAP Business Technology Platform para la que ha configurado el SSO. Para obtener más información sobre Mis aplicaciones, vea Introduction to the My Apps.

Pasos siguientes

• Una vez configurado SAP Business Technology Platform, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión se extiende desde el acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender for Cloud Apps.
• Administrar el acceso a aplicaciones de SAP BTP a través de grupos