Compartir a través de


Configurar SAP Fiori para el inicio de sesión único con Microsoft Entra ID

En este artículo, aprenderá a integrar SAP Fiori con Microsoft Entra ID. Al integrar SAP Fiori con Microsoft Entra ID, puede:

  • Controlar en Microsoft Entra ID quién tiene acceso a SAP Fiori.
  • Permitir que los usuarios puedan iniciar sesión automáticamente en SAP Fiori con sus cuentas de Microsoft Entra.
  • Administre sus cuentas en una ubicación central.

Prerrequisitos

En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:

  • Una suscripción habilitada para el inicio de sesión único en SAP Fiori.

Descripción del escenario

En este artículo, configura y prueba Microsoft Entra SSO en un entorno de prueba.

  • SAP Fiori admite el inicio de sesión único iniciado por SP

Nota:

En el caso de la autenticación de iFrame iniciada por SAP Fiori, se recomienda usar el parámetro IsPassive de AuthnRequest de SAML para la autenticación silenciosa. Para más detalles sobre el parámetro IsPassive, consulte la información de Inicio de sesión único de SAML de Microsoft Entra.

Para configurar la integración de SAP Fiori en Microsoft Entra ID, deberá agregar SAP Fiori desde la galería a la lista de aplicaciones SaaS administradas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra siendo al menos un Administrador de aplicaciones en la nube.
  2. Navegue a Entra ID>Aplicaciones empresariales>Nueva aplicación.
  3. En la sección Agregar desde la galería, escriba SAP Fiori en el cuadro de búsqueda.
  4. Seleccione SAP Fiori en el panel de resultados y, después, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega a su arrendatario.

Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Obtén más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para SAP Fiori

Configure y pruebe el inicio de sesión único de Microsoft Entra con SAP Fiori mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de SAP Fiori.

Para configurar y probar el inicio de sesión único de Microsoft Entra con SAP Fiori, complete los siguientes pasos:

  1. Configura Microsoft Entra SSO para permitir que tus usuarios usen esta característica.
    1. Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con B.Simon.
    2. Asigne el usuario de prueba de Microsoft Entra : para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
  2. Configuración del inicio de sesión único en SAP Fiori , para configurar los valores de Inicio de sesión único en la aplicación.
    1. Creación de un usuario de prueba de SAP Fiori: para tener un homólogo de B.Simon en SAP Fiori que esté vinculado a la representación del usuario en Microsoft Entra.
  3. Prueba SSO – para comprobar si la configuración funciona.

Configurar el SSO de Microsoft Entra

Siga estos pasos para activar el SSO de Microsoft Entra.

  1. Abra una ventana del explorador web e inicie sesión como administrador en el sitio SAP Fiori de su compañía.

  2. Asegúrese de que los servicios http y https están activos y de que se asignan los puertos pertinentes al código de transacción SMICM.

  3. Inicie sesión en SAP Business Client para el sistema SAP T01, en donde el inicio de sesión único es obligatorio. A continuación, activar la administración de sesiones de seguridad de HTTP.

    1. Vaya al código de transacción SICF_SESSIONS. Se muestran todos los parámetros de perfil pertinentes con sus valores actuales. Deben tener un aspecto similar al ejemplo siguiente:

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Nota:

      Ajuste los parámetros en base a los requisitos de la organización. Los parámetros anteriores se proporcionan únicamente como ejemplo.

    2. Si es necesario, ajuste los parámetros en el perfil de instancia (predeterminado) del sistema SAP y reinicie el sistema SAP.

    3. Seleccione dos veces el cliente pertinente para habilitar una sesión de seguridad HTTP.

      Página con los valores actuales de los parámetros de perfil pertinentes en SAP

    4. Active los servicios SICF siguientes:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      
  4. Vaya al código de transacción SAML2 en el cliente empresarial del sistema SAP [T01/122]. La interfaz de usuario de configuración se abre en una nueva ventana del explorador. En este ejemplo, utilizamos el cliente empresarial del sistema SAP 122.

    La página de inicio de sesión de cliente empresarial de SAP Fiori

  5. Escriba su nombre de usuario y contraseña, y haga clic en Log On (Entrar al sistema).

    La página de configuración SAML 2.0 de ABAP sistema T01/122 en SAP

  6. En el cuadro Provider Name (Nombre del proveedor), reemplace T01122 por http://T01122 y seleccione Save (Guardar).

    Nota:

    De forma predeterminada, el nombre del proveedor se encuentra en el formato <sid><cliente>. Microsoft Entra ID espera el nombre en el formato <protocolo>://<nombre>. Se recomienda mantener el nombre del proveedor como https://<sid><cliente> para poder configurar varios motores de ABAP de SAP Fiori en Microsoft Entra ID.

    El nombre del proveedor actualizado en la página de configuración SAML 2.0 de ABAP sistema T01/122 en SAP

  7. Seleccione la pestaña Local Provider (Proveedor local)>Metadata (Metadatos).

  8. En el cuadro de diálogo SAML 2.0 Metadata (Metadatos de SAML 2.0), descargue el archivo XML de metadatos generado y guárdelo en su equipo.

    El vínculo de descarga de metadatos en el cuadro de diálogo de metadatos de SAP SAML 2.0

  9. Inicie sesión en el Centro de administración de Microsoft Entra siendo al menos un Administrador de aplicaciones en la nube.

  10. Vaya a Entra ID>Enterprise apps>SAP Fiori>Inicio de sesión único.

  11. En la página Seleccione un método de inicio de sesión único, elija SAML.

  12. En la página Configurar inicio de sesión único con SAML, seleccione el icono de lápiz para Configuración básica SAML y edite la configuración.

    Editar configuración básica de SAML

  13. En la sección Configuración básica de SAML, si tiene el archivo de metadatos del proveedor de servicios, lleve a cabo los siguientes pasos:

    1. Seleccione Cargar archivo de metadatos.

      Carga del archivo de metadatos

    2. Seleccione el logotipo de la carpeta para seleccionar el archivo de metadatos y seleccione Cargar.

      elegir archivo de metadatos

    3. Una vez que se haya cargado correctamente el archivo de metadatos, los valores de Identificador y URL de respuesta se rellenan automáticamente en el panel Configuración básica de SAML. En el cuadro URL de inicio de sesión, escriba una dirección URL con el siguiente formato: https://<your company instance of SAP Fiori>.

      Nota:

      Algunos clientes han encontrado un error de una dirección URL de respuesta incorrecta configurada para su instancia. Si recibe este error, use estos comandos de PowerShell. En primer lugar, actualice las direcciones URL de respuesta en el objeto de aplicación con la dirección URL de respuesta y, a continuación, actualice la entidad de servicio. Use Get-MgServicePrincipal para obtener el valor del identificador de entidad de servicio.

      $params = @{
         web = @{
            redirectUris = "<Your Correct Reply URL>"
         }
      }
      Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
      Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
      
  14. La aplicación SAP Fiori espera que las aserciones de SAML estén en un formato específico. Configure las siguientes declaraciones para esta aplicación. Para administrar estos valores de atributo, en el panel Configurar el inicio de sesión único con SAML, seleccione Editar.

    El panel Atributos de usuario

  15. En el panel Atributos de usuario y notificaciones , configure los atributos del token SAML como se muestra en la imagen anterior. Después, complete los siguientes pasos:

    1. Seleccione Editar para abrir el panel Administrar las notificaciones del usuario.

    2. En la lista Transformación, seleccione ExtractMailPrefix() .

    3. En la lista Parámetro 1, seleccione user.userprincipalname.

    4. Haga clic en Guardar.

      El panel Administrar las notificaciones del usuario

      La sección Transformación en el panel Administrar las notificaciones del usuario

  16. En la página Configurar inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque Metadatos XML de la federación y seleccione Descargar para descargar el certificado y guardarlo en el equipo.

    Vínculo de descarga del certificado

  17. En la sección Set up SAP Fiori (Configurar SAP Fiori), copie las direcciones URL adecuadas según sus necesidades.

    Copiar direcciones URL de configuración

Creación y asignación de un usuario de prueba de Microsoft Entra

Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.

Configuración de inicio de sesión único en SAP Fiori

  1. Inicie sesión en el sistema SAP y vaya al código de transacción SAML2. Se abre una nueva ventana del explorador con la página de configuración de SAML.

  2. Para configurar los puntos de conexión para un proveedor de identidades de confianza (Microsoft Entra ID), vaya a la pestaña Proveedores de confianza.

    La pestaña de proveedores de confianza en SAP

  3. Seleccione Add (Agregar) y luego Upload Metadata File (Cargar archivo de metadatos) en el menú contextual.

    Las opciones para agregar y cargar el archivo de metadatos en SAP

  4. Cargue el archivo de metadatos que descargó. Seleccione Siguiente.

    Seleccione el archivo de metadatos para cargar en SAP

  5. En la página siguiente, en el cuadro Alias, escriba el nombre de alias. Por ejemplo, aadsts. Seleccione Siguiente.

    El cuadro de alias en SAP

  6. Asegúrese de que el valor en el cuadro Digest Algorithm (Algoritmo de codificación) es SHA-256. Seleccione Siguiente.

    Comprobación del valor del algoritmo de codificación en SAP

  7. En Single Sign-On Endpoints (Puntos de conexión del inicio de sesión único), seleccione HTTP POSTy, a continuación, seleccione Next (Siguiente).

    Opciones de los puntos de conexión del inicio de sesión único en SAP

  8. En Single Logout Endpoints (Puntos de conexión del cierre de sesión único), seleccione HTTP Redirect y, a continuación, seleccione Next (Siguiente).

    Opciones de los puntos de conexión del cierre de sesión único en SAP

  9. En Artifact Endpoints (Puntos de conexión de artefacto), seleccione Next (Siguiente) para continuar.

    Opciones de los puntos de conexión de artefacto en SAP

  10. En Authentication Requirements (Requisitos de autenticación), haga clic en Finish (Finalizar).

    Opciones de los requisitos de autenticación y la opción de finalizar en SAP

  11. Vaya a la pestaña Trusted Provider (Proveedor de confianza)>Identity Federation (Federación de identidades) en la parte inferior de la página. Seleccione Editar.

    Las pestañas de proveedor de confianza y federación de identidades en SAP

  12. Selecciona Agregar.

    La opción Agregar en la pestaña de la federación de identidades

  13. En el cuadro de diálogo Supported NameID Formats (Formatos de NameID admitidos), seleccione Unspecified (No especificado). Selecciona Aceptar.

    El cuadro de diálogo y opciones de los formatos de NameID admitidos en SAP

    Los valores Origen del identificador de usuario y Modo de asignación del identificador de usuario determinan el vínculo entre el usuario de SAP y la notificación de Microsoft Entra.

    Escenario 1: Asignación de usuario de SAP a usuario de Microsoft Entra

    1. En SAP, en Details of NameID Format "Unspecified" (Detalles del formato de NameID "Sin especificar"), tome nota de los detalles:

      Captura de pantalla que muestra el cuadro de diálogo

    2. En el portal de Azure, en Atributos de usuario y reclamaciones, anote las reclamaciones necesarias de Microsoft Entra ID.

      Captura de pantalla que muestra el cuadro de diálogo

    Escenario 2: Seleccione el identificador de usuario SAP según la dirección de correo electrónico configurada en SU01. En este caso, el identificador de correo electrónico debe configurarse en SU01 para cada usuario que necesite el inicio de sesión único.

    1. En SAP, en Details of NameID Format "Unspecified" (Detalles del formato de NameID "Sin especificar"), tome nota de los detalles:

      El cuadro de diálogo de los detalles del formato de NameID

    2. En el portal de Azure, en Atributos de usuario y reclamaciones, anote las reclamaciones necesarias de Microsoft Entra ID.

      Cuadro de diálogo Atributos y notificaciones de usuario en Azure Portal

  14. Seleccione Save (Guardar) y, a continuación, Enable (Habilitar) para habilitar el proveedor de identidades.

    Las opciones de guardar y habilitar en SAP

  15. Seleccione Aceptar cuando se le solicite.

    La opción de aceptar en el cuadro de diálogo de configuración de SAML 2.0 en SAP

Creación de un usuario de prueba en SAP Fiori

En esta sección, creará un usuario llamado Britta Simon en SAP Fiori. Colabore con su equipo interno de expertos en SAP o con el asociado SAP de su organización para agregar el usuario en la plataforma de SAP Fiori.

Prueba de SSO

  1. Una vez activado el proveedor de identidades de Microsoft Entra ID en SAP Fiori, intente obtener acceso a una de las siguientes direcciones URL para probar el inicio de sesión (no se le debería pedir ni nombre de usuario ni contraseña):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Nota:

    Reemplace <sap-url> por el nombre de host real de SAP.

  2. La dirección URL de prueba le debe llevar a la siguiente página de aplicación de prueba en SAP. Si se abre la página es que el inicio de sesión único en Microsoft Entra está correctamente configurado.

    La página de aplicación de prueba estándar en SAP

  3. Si se le pide un nombre de usuario y una contraseña, habilite el seguimiento para ayudar a diagnosticar el problema. Use la siguiente dirección URL para el seguimiento:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Una vez configurado SAP Fiori, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión se extiende desde el acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.