Configurar SAP Fiori para el inicio de sesión único con Microsoft Entra ID

En este artículo, aprenderá a integrar SAP Fiori con Microsoft Entra ID. Al integrar SAP Fiori con Microsoft Entra ID, puede:

• Controlar en Microsoft Entra ID quién tiene acceso a SAP Fiori.
• Permitir que los usuarios puedan iniciar sesión automáticamente en SAP Fiori con sus cuentas de Microsoft Entra.
• Administre sus cuentas en una ubicación central.

Prerrequisitos

En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:

• Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si no la tiene, puede crear una cuenta gratis.
• Uno de los siguientes roles:
  • Administrador de aplicaciones
  • Administrador de aplicaciones en la nube
  • Propietario de la aplicación.

• Una suscripción habilitada para el inicio de sesión único en SAP Fiori.

Descripción del escenario

En este artículo, configura y prueba Microsoft Entra SSO en un entorno de prueba.

• SAP Fiori admite el inicio de sesión único iniciado por SP

Nota:

En el caso de la autenticación de iFrame iniciada por SAP Fiori, se recomienda usar el parámetro IsPassive de AuthnRequest de SAML para la autenticación silenciosa. Para más detalles sobre el parámetro IsPassive, consulte la información de Inicio de sesión único de SAML de Microsoft Entra.

Incorporación de SAP Fiori desde la galería

Para configurar la integración de SAP Fiori en Microsoft Entra ID, deberá agregar SAP Fiori desde la galería a la lista de aplicaciones SaaS administradas.

1. Inicie sesión en el Centro de administración de Microsoft Entra siendo al menos un Administrador de aplicaciones en la nube.
2. Navegue a Entra ID>Aplicaciones empresariales>Nueva aplicación.
3. En la sección Agregar desde la galería, escriba SAP Fiori en el cuadro de búsqueda.
4. Seleccione SAP Fiori en el panel de resultados y, después, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega a su arrendatario.

Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Obtén más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para SAP Fiori

Configure y pruebe el inicio de sesión único de Microsoft Entra con SAP Fiori mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de SAP Fiori.

Para configurar y probar el inicio de sesión único de Microsoft Entra con SAP Fiori, complete los siguientes pasos:

1. Configura Microsoft Entra SSO para permitir que tus usuarios usen esta característica.
   1. Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con B.Simon.
   2. Asigne el usuario de prueba de Microsoft Entra : para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
2. Configuración del inicio de sesión único en SAP Fiori , para configurar los valores de Inicio de sesión único en la aplicación.
   1. Creación de un usuario de prueba de SAP Fiori: para tener un homólogo de B.Simon en SAP Fiori que esté vinculado a la representación del usuario en Microsoft Entra.
3. Prueba SSO – para comprobar si la configuración funciona.

Configurar el SSO de Microsoft Entra

Siga estos pasos para activar el SSO de Microsoft Entra.

1. Abra una ventana del explorador web e inicie sesión como administrador en el sitio SAP Fiori de su compañía.

2. Asegúrese de que los servicios http y https están activos y de que se asignan los puertos pertinentes al código de transacción SMICM.

3. Inicie sesión en SAP Business Client para el sistema SAP T01, en donde el inicio de sesión único es obligatorio. A continuación, activar la administración de sesiones de seguridad de HTTP.

   1. Vaya al código de transacción SICF_SESSIONS. Se muestran todos los parámetros de perfil pertinentes con sus valores actuales. Deben tener un aspecto similar al ejemplo siguiente:

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Nota:

      Ajuste los parámetros en base a los requisitos de la organización. Los parámetros anteriores se proporcionan únicamente como ejemplo.

   2. Si es necesario, ajuste los parámetros en el perfil de instancia (predeterminado) del sistema SAP y reinicie el sistema SAP.

   3. Seleccione dos veces el cliente pertinente para habilitar una sesión de seguridad HTTP.

      

   4. Active los servicios SICF siguientes:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Vaya al código de transacción SAML2 en el cliente empresarial del sistema SAP [T01/122]. La interfaz de usuario de configuración se abre en una nueva ventana del explorador. En este ejemplo, utilizamos el cliente empresarial del sistema SAP 122.

   

5. Escriba su nombre de usuario y contraseña, y haga clic en Log On (Entrar al sistema).

   

6. En el cuadro Provider Name (Nombre del proveedor), reemplace T01122 por http://T01122 y seleccione Save (Guardar).

   Nota:

   De forma predeterminada, el nombre del proveedor se encuentra en el formato <sid><cliente>. Microsoft Entra ID espera el nombre en el formato <protocolo>://<nombre>. Se recomienda mantener el nombre del proveedor como https://<sid><cliente> para poder configurar varios motores de ABAP de SAP Fiori en Microsoft Entra ID.

   

7. Seleccione la pestaña Local Provider (Proveedor local)>Metadata (Metadatos).

8. En el cuadro de diálogo SAML 2.0 Metadata (Metadatos de SAML 2.0), descargue el archivo XML de metadatos generado y guárdelo en su equipo.

   

9. Inicie sesión en el Centro de administración de Microsoft Entra siendo al menos un Administrador de aplicaciones en la nube.

10. Vaya a Entra ID>Enterprise apps>SAP Fiori>Inicio de sesión único.

11. En la página Seleccione un método de inicio de sesión único, elija SAML.

12. En la página Configurar inicio de sesión único con SAML, seleccione el icono de lápiz para Configuración básica SAML y edite la configuración.

    

13. En la sección Configuración básica de SAML, si tiene el archivo de metadatos del proveedor de servicios, lleve a cabo los siguientes pasos:

    1. Seleccione Cargar archivo de metadatos.

       

    2. Seleccione el logotipo de la carpeta para seleccionar el archivo de metadatos y seleccione Cargar.

       

    3. Una vez que se haya cargado correctamente el archivo de metadatos, los valores de Identificador y URL de respuesta se rellenan automáticamente en el panel Configuración básica de SAML. En el cuadro URL de inicio de sesión, escriba una dirección URL con el siguiente formato: https://<your company instance of SAP Fiori>.

       Nota:

       Algunos clientes han encontrado un error de una dirección URL de respuesta incorrecta configurada para su instancia. Si recibe este error, use estos comandos de PowerShell. En primer lugar, actualice las direcciones URL de respuesta en el objeto de aplicación con la dirección URL de respuesta y, a continuación, actualice la entidad de servicio. Use Get-MgServicePrincipal para obtener el valor del identificador de entidad de servicio.

       $params = @{
          web = @{
             redirectUris = "<Your Correct Reply URL>"
          }
       }
       Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
       Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
       

14. La aplicación SAP Fiori espera que las aserciones de SAML estén en un formato específico. Configure las siguientes declaraciones para esta aplicación. Para administrar estos valores de atributo, en el panel Configurar el inicio de sesión único con SAML, seleccione Editar.

    

15. En el panel Atributos de usuario y notificaciones , configure los atributos del token SAML como se muestra en la imagen anterior. Después, complete los siguientes pasos:

    1. Seleccione Editar para abrir el panel Administrar las notificaciones del usuario.

    2. En la lista Transformación, seleccione ExtractMailPrefix() .

    3. En la lista Parámetro 1, seleccione user.userprincipalname.

    4. Haga clic en Guardar.

       

       

16. En la página Configurar inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque Metadatos XML de la federación y seleccione Descargar para descargar el certificado y guardarlo en el equipo.

    

17. En la sección Set up SAP Fiori (Configurar SAP Fiori), copie las direcciones URL adecuadas según sus necesidades.

    

Creación y asignación de un usuario de prueba de Microsoft Entra

Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.

Configuración de inicio de sesión único en SAP Fiori

1. Inicie sesión en el sistema SAP y vaya al código de transacción SAML2. Se abre una nueva ventana del explorador con la página de configuración de SAML.

2. Para configurar los puntos de conexión para un proveedor de identidades de confianza (Microsoft Entra ID), vaya a la pestaña Proveedores de confianza.

   

3. Seleccione Add (Agregar) y luego Upload Metadata File (Cargar archivo de metadatos) en el menú contextual.

   

4. Cargue el archivo de metadatos que descargó. Seleccione Siguiente.

   

5. En la página siguiente, en el cuadro Alias, escriba el nombre de alias. Por ejemplo, aadsts. Seleccione Siguiente.

   

6. Asegúrese de que el valor en el cuadro Digest Algorithm (Algoritmo de codificación) es SHA-256. Seleccione Siguiente.

   

7. En Single Sign-On Endpoints (Puntos de conexión del inicio de sesión único), seleccione HTTP POSTy, a continuación, seleccione Next (Siguiente).

   

8. En Single Logout Endpoints (Puntos de conexión del cierre de sesión único), seleccione HTTP Redirect y, a continuación, seleccione Next (Siguiente).

   

9. En Artifact Endpoints (Puntos de conexión de artefacto), seleccione Next (Siguiente) para continuar.

   

10. En Authentication Requirements (Requisitos de autenticación), haga clic en Finish (Finalizar).

    

11. Vaya a la pestaña Trusted Provider (Proveedor de confianza)>Identity Federation (Federación de identidades) en la parte inferior de la página. Seleccione Editar.

    

12. Selecciona Agregar.

    

13. En el cuadro de diálogo Supported NameID Formats (Formatos de NameID admitidos), seleccione Unspecified (No especificado). Selecciona Aceptar.

    

    Los valores Origen del identificador de usuario y Modo de asignación del identificador de usuario determinan el vínculo entre el usuario de SAP y la notificación de Microsoft Entra.

    Escenario 1: Asignación de usuario de SAP a usuario de Microsoft Entra

    1. En SAP, en Details of NameID Format "Unspecified" (Detalles del formato de NameID "Sin especificar"), tome nota de los detalles:

       

    2. En el portal de Azure, en Atributos de usuario y reclamaciones, anote las reclamaciones necesarias de Microsoft Entra ID.

       

    Escenario 2: Seleccione el identificador de usuario SAP según la dirección de correo electrónico configurada en SU01. En este caso, el identificador de correo electrónico debe configurarse en SU01 para cada usuario que necesite el inicio de sesión único.

    1. En SAP, en Details of NameID Format "Unspecified" (Detalles del formato de NameID "Sin especificar"), tome nota de los detalles:

       

    2. En el portal de Azure, en Atributos de usuario y reclamaciones, anote las reclamaciones necesarias de Microsoft Entra ID.

       

14. Seleccione Save (Guardar) y, a continuación, Enable (Habilitar) para habilitar el proveedor de identidades.

    

15. Seleccione Aceptar cuando se le solicite.

    

Creación de un usuario de prueba en SAP Fiori

En esta sección, creará un usuario llamado Britta Simon en SAP Fiori. Colabore con su equipo interno de expertos en SAP o con el asociado SAP de su organización para agregar el usuario en la plataforma de SAP Fiori.

Prueba de SSO

1. Una vez activado el proveedor de identidades de Microsoft Entra ID en SAP Fiori, intente obtener acceso a una de las siguientes direcciones URL para probar el inicio de sesión (no se le debería pedir ni nombre de usuario ni contraseña):

   • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
   • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

   Nota:

   Reemplace <sap-url> por el nombre de host real de SAP.

2. La dirección URL de prueba le debe llevar a la siguiente página de aplicación de prueba en SAP. Si se abre la página es que el inicio de sesión único en Microsoft Entra está correctamente configurado.

   

3. Si se le pide un nombre de usuario y una contraseña, habilite el seguimiento para ayudar a diagnosticar el problema. Use la siguiente dirección URL para el seguimiento:

   https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Contenido relacionado

Una vez configurado SAP Fiori, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión se extiende desde el acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.