Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, aprenderá a integrar SAP Business Technology Platform con Microsoft Entra ID. Al integrar SAP Business Technology Platform con Microsoft Entra ID, puede hacer lo siguiente:
- Controlar en Microsoft Entra ID quién tiene acceso a SAP Business Technology Platform.
- Permitir que los usuarios inicien sesión automáticamente en SAP Business Technology Platform con sus cuentas de Microsoft Entra.
- Administrar las cuentas en una ubicación central.
- Asigne usuarios de Microsoft Entra a los roles de la plataforma de tecnología empresarial de SAP.
Prerrequisitos
En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:
- Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si no la tiene, puede crear una cuenta gratis.
- Uno de los siguientes roles:
- Una suscripción habilitada para el inicio de sesión único (SSO) en SAP Business Technology Platform.
Importante
Debe implementar su propia aplicación o suscribirse a una aplicación en su cuenta de SAP Business Technology Platform para probar el inicio de sesión único. En este artículo, se implementa una aplicación en la cuenta.
Descripción del escenario
En este artículo, configurará y probará el inicio de sesión único de Microsoft Entra en un entorno de prueba.
- SAP Business Technology Platform admite el inicio de sesión de usuario único iniciado por SP.
Incorporación de SAP Business Technology Platform desde la galería
Para configurar la integración de SAP Business Technology Platform en Microsoft Entra ID, debe agregar SAP Business Technology Platform desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
- Navegue a Entra ID>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería, escriba SAP Business Technology Platform en el cuadro de búsqueda.
- Seleccione SAP Business Technology Platform en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
Como alternativa, también puede usar el Asistente de configuración de aplicaciones empresariales . En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Más información sobre los asistentes de Microsoft 365.
Configuración y prueba del inicio de sesión único de Microsoft Entra para SAP Business Technology Platform
Configure y pruebe el inicio de sesión único de Microsoft Entra con SAP Business Technology Platform mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es preciso establecer una relación de vinculación entre un usuario de Microsoft Entra y el usuario relacionado de SAP Business Technology Platform.
Para configurar y probar el inicio de sesión único de Microsoft Entra con SAP Business Technology Platform, siga estos pasos:
-
Configure el inicio de sesión único de Microsoft Entra: para que los usuarios puedan utilizar esta característica.
- Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con Britta Simon.
- Asignación del usuario de prueba de Microsoft Entra : para permitir que Britta Simon use el inicio de sesión único de Microsoft Entra.
-
Configuración del inicio de sesión único en SAP Business Technology Platform: para configurar los valores de inicio de sesión único en la aplicación.
- Creación de un usuario de prueba de SAP Business Technology Platform: para tener un homólogo de Britta Simon en SAP Business Technology Platform que esté vinculado a la representación del usuario en Microsoft Entra.
- Prueba de SSO: para comprobar si la configuración funciona.
Configurar Microsoft Entra SSO
Siga estos pasos para la activación de inicio de sesión único en Microsoft Entra.
Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
Vaya a Entra ID>Aplicaciones empresariales>SAP Business Technology Platform>Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configurar inicio de sesión único con SAML, seleccione el icono de lápiz para Configuración básica SAML y edite la configuración.
En la sección configuración básica de SAML, escriba los valores de los campos siguientes:
a) En el cuadro de texto Identificador, introduzca una URL de su SAP Business Technology Platform utilizando uno de los siguientes patrones:
Identificador https://hanatrial.ondemand.com/<instancename>https://hana.ondemand.com/<instancename>https://us1.hana.ondemand.com/<instancename>https://ap1.hana.ondemand.com/<instancename>b. En el cuadro de texto URL de respuesta, escriba una dirección URL con uno de los siguientes patrones:
URL de respuesta https://<subdomain>.hanatrial.ondemand.com/<instancename>https://<subdomain>.hana.ondemand.com/<instancename>https://<subdomain>.us1.hana.ondemand.com/<instancename>https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>https://<subdomain>.ap1.hana.ondemand.com/<instancename>https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>c. En el cuadro de texto dirección URL de inicio de sesión, escriba la dirección URL que usan los usuarios para iniciar sesión en su aplicación SAP Business Technology Platform. Esta es la dirección URL específica de la cuenta de un recurso protegido en la aplicación SAP Business Technology Platform. La dirección URL se basa en el siguiente patrón:
https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>Nota
Esta es la dirección URL de la aplicación SAP Business Technology Platform que requiere que el usuario se autentique.
Dirección URL de inicio de sesión https://<subdomain>.hanatrial.ondemand.com/<instancename>https://<subdomain>.hana.ondemand.com/<instancename>Nota
Estos valores no son reales. Actualice estos valores con el identificador real, la dirección URL de respuesta y la dirección URL de inicio de sesión. Póngase en contacto con el equipo de atención al cliente de SAP Business Technology Platform para obtener la dirección URL de inicio de sesión y el identificador. Dirección URL de respuesta que puede obtener de la sección de administración de confianza, que se explica más adelante en el artículo.
En la página Configurar Single Sign-On con SAML, en la sección Certificado de firma de SAML, seleccione Descargar para descargar el Federation Metadata XML desde las opciones disponibles según sus necesidades y guardarlo en su equipo.
Creación y asignación de un usuario de prueba de Microsoft Entra
Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.
Configurar SSO de SAP Business Technology Platform
En otra ventana del explorador web, inicie sesión en SAP Business Technology Platform Cockpit en
https://account.<landscape host>.ondemand.com/cockpit(por ejemplo: https://account.hanatrial.ondemand.com/cockpit).Seleccione la pestaña Confianza .
En la sección Trust Management (Administración de confianza), en Local Service Provider (Proveedor de servicios local), realice los pasos siguientes:
a) Seleccione Editar.
b. En Configuration Type (Tipo de configuración), seleccione Custom (Personalizado).
c. Como Local Provider Name(Nombre de proveedor local), deje el valor predeterminado. Copie este valor y péguelo en el campo Identificador en la configuración de Microsoft Entra para SAP Business Technology Platform.
d. Para generar una clave de firma y un par de claves de certificado de firma , seleccione Generar par de claves.
e. En Principal Propagation (Propagación de entidad de seguridad), seleccione Disabled (Deshabilitada).
f. En Force Authentication (Forzar autenticación), seleccione Disabled (Deshabilitado).
g. Haga clic en Guardar.
Después de guardar la configuración de Local Service Provider (Proveedor de servicios local), realice lo siguiente para obtener la dirección URL de respuesta:
a) Descargue el archivo de metadatos de SAP Business Technology Platform seleccionando Obtener metadatos.
b. Abra el archivo XML de metadatos de SAP Business Technology Platform descargado y busque la etiqueta ns3:AssertionConsumerService.
c. Copie el valor del atributo Location y péguelo en el campo URL de Respuesta en la configuración de Microsoft Entra para SAP Business Technology Platform.
Seleccione la pestaña Proveedor de identidades de confianza y, a continuación, seleccione Agregar proveedor de identidades de confianza.
Nota
Para administrar la lista de proveedores de identidades de confianza, debe haber elegido el tipo de configuración personalizado en la sección Proveedor de servicios locales. En Tipo de configuración predeterminado, tiene una confianza no editable e implícita en el servicio de identificador de SAP. Para Ninguno, no tiene ninguna configuración de confianza.
Seleccione la pestaña General y, a continuación, seleccione Examinar para cargar el archivo de metadatos descargado.
Nota
Después de cargar el archivo de metadatos, los valores de dirección URL de inicio de sesión único, dirección URL de cierre de sesión únicoy certificado de firma se rellenan automáticamente.
Seleccione la pestaña Atributos.
En la pestaña Atributos de , realice el paso siguiente:
a) Seleccione Agregar Assertion-Based Atributo y agregue los siguientes atributos basados en aserciones:
Atributo de aserción Atributo principal http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givennamenombre de pila http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surnameapellido http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressCorreo electrónico Nota
La configuración de los atributos depende de cómo se desarrollan las aplicaciones en SCP, es decir, qué atributos esperan en la respuesta SAML y con qué nombre (atributo principal) acceden a este atributo en el código.
b. El atributo predeterminado de la captura de pantalla solo es para fines ilustrativos. No es necesario para que funcione el escenario.
c. Los nombres y valores de atributo principal que se muestran en la captura de pantalla dependen de cómo se desarrolla la aplicación. Es posible que tu aplicación requiera diferentes asignaciones.
Grupos basados en aserciones
Como paso opcional, puede configurar grupos basados en aserciones para el proveedor de identidades de Microsoft Entra.
El uso de grupos en SAP Business Technology Platform permite asignar dinámicamente uno o varios usuarios a uno o varios roles en las aplicaciones de sap Business Technology Platform, determinados por valores de atributos en la aserción de SAML 2.0.
Por ejemplo, si la aserción contiene el atributo "contract=temporary", es posible que quiera que todos los usuarios afectados se agreguen al grupo "TEMPORARY". El grupo "TEMPORARY" puede contener uno o varios roles de una o varias aplicaciones implementadas en la cuenta de SAP Business Technology Platform.
Use grupos basados en aserciones cuando desee asignar simultáneamente muchos usuarios a uno o varios roles de aplicaciones en su cuenta de SAP Business Technology Platform. Si desea asignar solo a un pequeño número de usuarios a roles específicos, se recomienda que se les asigne directamente en la pestaña "Autorizaciones" del cockpit de la SAP Business Technology Platform.
Creación de un usuario de prueba de SAP Business Technology Platform
Para permitir que los usuarios de Microsoft Entra inicien sesión en SAP Business Technology Platform, debe asignar roles en SAP Business Technology Platform.
Para asignar un rol a un usuario, realice los pasos siguientes:
Iniciar sesión en el cockpit de SAP Business Technology Platform.
Realice lo siguiente:
Autorizaciones de
a) Seleccione Autorización.
b. Seleccione la pestaña Usuarios .
c. En el cuadro de texto de usuario , escriba la dirección de correo electrónico del usuario.
d. Seleccione Asignar para asignar el usuario a un rol.
e. Haga clic en Guardar.
Prueba de SSO
En esta sección, probará la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.
Seleccione Probar esta aplicación; esta opción redirige a la dirección URL de inicio de sesión de SAP Business Technology Platform, donde puede iniciar el flujo de inicio de sesión.
Vaya directamente a la dirección URL de inicio de sesión de SAP Business Technology Platform e inicie el flujo de inicio de sesión desde allí.
Puede usar Microsoft Mis Aplicaciones. Al seleccionar el icono de SAP Business Technology Platform en Aplicaciones, debería iniciar sesión automáticamente en la versión de SAP Business Technology Platform para la que configuró el inicio de sesión único. Para obtener más información sobre Mis aplicaciones, vea Introduction to the My Apps.
Creación de grupos para roles de aplicación de SAP Business Technology Platform y asignación de grupos a la colección de roles de Plataforma de tecnología empresarial
Puede crear grupos de seguridad de Microsoft Entra y asignar esos identificadores de grupo a los roles de aplicación. Para obtener más información, consulte Administración del acceso a SAP BTP.
Contenido relacionado
- Una vez configurado SAP Business Technology Platform, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión se extiende desde el acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender for Cloud Apps.