नोट
इस पेज तक पहुँच के लिए प्रमाणन की आवश्यकता होती है. आप साइन इन करने या निर्देशिकाओं को बदलने का प्रयास कर सकते हैं.
इस पेज तक पहुँच के लिए प्रमाणन की आवश्यकता होती है. आप निर्देशिकाओं को बदलने का प्रयास कर सकते हैं.
यह मार्गदर्शिका आपको SAP ERP कनेक्टर सेट अप करने में मार्गदर्शन करती है, ताकि आपके उपयोगकर्ता SAP डेटा तक पहुंच सकें और प्रमाणीकरण के लिए अपनी ID का उपयोग करके रिमोट फ़ंक्शन कॉल (RFC) चला सकें। Microsoft Power Platform Microsoft Entra इस प्रक्रिया में सुरक्षित संचार के लिए सार्वजनिक और निजी दोनों प्रमाणपत्रों को कॉन्फ़िगर करना शामिल है।
नोट
यद्यपि इस आलेख में दिया गया उदाहरण स्व-निर्मित सार्वजनिक कुंजी अवसंरचना का उपयोग करता है, जो अनुशंसित नहीं है, सुनिश्चित करें कि सेटिंग और प्रमाणपत्र आपकी व्यावसायिक आवश्यकताओं और आपके Microsoft भागीदार के साथ संरेखित हों।
पूर्वावश्यकताएँ
सुनिश्चित करें कि आपके पास पहले से ही ये हैं:
- SAP कनेक्शन सेट करें. ऑन-प्रिमाइसेस डेटा गेटवे का जुलाई 2024 - 3000.230 या बाद का संस्करण उपयोग करना सुनिश्चित करें।
- सुरक्षित नेटवर्क संचार सेट करें.
आपको सार्वजनिक और निजी कुंजी प्रौद्योगिकियों से भी परिचित होना चाहिए।
प्रमाणपत्र
हम प्रमाणपत्र प्राधिकारी द्वारा प्रदान किए गए प्रमाणपत्रों के समान एक स्व-हस्ताक्षरित रूट प्रमाणपत्र का उदाहरण तैयार करते हैं। आप इसका उपयोग अपने उपयोगकर्ताओं के लिए टोकन जारी करने के लिए कर सकते हैं।
डेमो सार्वजनिक कुंजी अवसंरचना बनाएं
हमारे डेमो पीकेआई (पब्लिक की इन्फ्रास्ट्रक्चर) के दूसरे आधे भाग को लागू करके सुरक्षित नेटवर्क संचार स्थापित करें दस्तावेज़ का विस्तार करें।
फ़ोल्डर संरचना बनाएँ.
cd C:\
mkdir pki-certs
cd C:\pki-certs\
mkdir signingUsersCert
mkdir userCerts
यह सुनिश्चित करने के लिए कि हमारे प्रमाणपत्र सही मेटाडेटा और प्रतिबंधों के साथ बनाए गए हैं, एक्सटेंशन फ़ाइलें बनाएँ।
signingUsersCert/extensions.cnf
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = critical,CA:true,pathlen:0
keyUsage = cRLSign, keyCertSign
userCerts/extensions.cnf
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth
हस्ताक्षरित प्रमाणपत्रों का ट्रैक रखने के लिए आवश्यक index.txt और serial फ़ाइलें बनाएँ।
# Create the necessary serial and index files if they don't exist
if (-Not (Test-Path "signingUsersCert\index.txt")) { New-Item -Path "signingUsersCert\index.txt" -ItemType File }
if (-Not (Test-Path "signingUsersCert\serial")) { Set-Content -Path "signingUsersCert\serial" -Value "0001" }
हमारे मध्यवर्ती उपयोगकर्ता प्रमाणपत्र उत्पन्न करें.
openssl genrsa -out signingUsersCert/users.key.pem 2048
# Create Certificate Signing Request
openssl req -new -key signingUsersCert/users.key.pem -sha256 -out signingUsersCert/users.csr.pem -subj "/O=Contoso/CN=Users Intermediate Cert"
# Sign the certificate with the rootCA cert.
openssl x509 -req -in signingUsersCert/users.csr.pem -days 3650 `
-CA rootCA/ca.cert.pem -CAkey rootCA/ca.key.pem `
-out signingUsersCert/users.cert.pem `
-extfile signingUsersCert/extensions.cnf -extensions v3_ca `
-CAserial rootCA/serial
उपयोगकर्ता प्रमाणपत्र उत्पन्न करें
SAP उपयोगकर्ता नाम TESTUSER01 वाले उपयोगकर्ता के लिए प्रमाणपत्र बनाने और उस पर हस्ताक्षर करने के लिए निम्नलिखित चलाएँ:
# Create the private key.
openssl genrsa -out userCerts/TESTUSER01.key.pem 2048
# Generate the certificate signing request
openssl req -key userCerts/TESTUSER01.key.pem -new -sha256 -out userCerts/TESTUSER01.csr.pem -subj "/CN=TESTUSER01"
# Sign the certificate + add extensions with the intermediate cert.
openssl x509 -req -days 365 -in userCerts/TESTUSER01.csr.pem -sha256 `
-CA signingUsersCert/users.cert.pem -CAkey signingUsersCert/users.key.pem `
-out userCerts/TESTUSER01.cert.pem -extfile userCerts/extensions.cnf `
-CAserial signingUsersCert/serial
नोट
CN=TESTUSER01 पहला पैरामीटर होना चाहिए.
अब आपके पास एक रूट प्रमाणपत्र, एक मध्यवर्ती SNC (सिक्योर नेटवर्क कम्युनिकेशंस का संक्षिप्त रूप) प्रमाणपत्र, एक मध्यवर्ती उपयोगकर्ता प्रमाणपत्र, तथा उपयोगकर्ता प्रमाणपत्र की पहचान करने के लिए एक प्रमाणपत्र है।
निम्नलिखित आदेश से श्रृंखला सत्यापित करें:
$ openssl verify -CAfile rootCA/ca.cert.pem -untrusted signingUsersCert/users.cert.pem userCerts/TESTUSER01.cert.pem
userCerts/TESTUSER01.cert.pem: OK
विंडोज़ स्टोर
विंडोज स्टोर में उपयोगकर्ता हस्ताक्षर प्रमाणपत्र और प्रमाणपत्र श्रृंखला जोड़ने के लिए इन चरणों का पालन करें।
- उपयोगकर्ता के हस्ताक्षर प्रमाणपत्र और निजी कुंजी से .p12 फ़ाइल उत्पन्न करें।
openssl pkcs12 -export -out user_signing_cert.p12 -inkey .\signingUsersCert\users.key.pem -in .\signingUsersCert\users.cert.pem
- Windows प्रमाणपत्र प्रबंधक खोलें:
-
Win + Rदबाएँ,certlm.mscटाइप करें, और एंटर दबाएँ।
-
- सार्वजनिक रूट CA प्रमाणपत्र आयात करें.
-
Trusted Root Certification Authoritiesमें आयात करें.
-
- उपयोगकर्ता प्रमाणपत्र + कुंजी आयात करें:
- प्रमाणपत्र प्रबंधक में, उपयुक्त प्रमाणपत्र संग्रह (उदाहरण के लिए, व्यक्तिगत) पर जाएँ।
- राइट-क्लिक करें और
All Tasks > Importचुनें. - फ़ाइल को आयात करने के लिए विज़ार्ड का पालन करें, यह सुनिश्चित करें कि कुंजी को निर्यात योग्य के रूप में चिह्नित किया जाए ताकि OPDG (ऑन प्रीमाइसिस डेटा गेटवे का संक्षिप्त रूप) डेटा को एन्क्रिप्ट करने के लिए इसका उपयोग कर सके।
.p12 -
Users Intermediate Certपर राइट क्लिक करें औरAll Tasks>Manage Private Keys...चुनें।
- उपयोगकर्ता को उन लोगों की सूची में जोड़ें जिनके पास अनुमतियाँ हैं.
NT SERVICE\PBIEgwService - Windows प्रमाणपत्र स्टोर में प्रमाणपत्र का विषय नाम जांचें:
Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*Users Intermediate Cert*" } | Format-List -Property Subject
एंट्रा आईडी से SAP उपयोगकर्ता मैपिंग
आप नियमों का उपयोग करके, या SAP में उपयोगकर्ता मध्यवर्ती प्रमाणपत्र जोड़कर, X.509 प्रमाणपत्रों को स्पष्ट रूप से उपयोगकर्ताओं के लिए मैप कर सकते हैं।
X.509 प्रमाणपत्रों को उपयोगकर्ताओं के लिए स्पष्ट रूप से मैप करें
Entra ID उपयोगकर्ताओं की एक छोटी संख्या को SAP उपयोगकर्ताओं के साथ स्पष्ट रूप से मैप करें।
SAP GUI को T-कोड SM30 पर नेविगेट करें.
तालिका VUSREXTID दर्ज करें और रखरखाव बटन का चयन करें।
DN के लिए संकेत मिलने पर विकल्प Type of ACL का चयन करें.
बाह्य आईडी के लिए New Entry चुनें और CN=TESTUSER01@CONTOSO.COM (अपनी स्वयं की UPN की सामग्री को प्रतिस्थापित करते हुए) प्रविष्ट करें। सुनिश्चित करें कि CN पहले आये। उपयोगकर्ता नाम फ़ील्ड के लिए अपना UPN चुनें; और अंत में Activated विकल्प को चेक करें और परिणाम सहेजें।
नोट
p: उपसर्ग शामिल न करें.
नियमों का उपयोग करके X.509 प्रमाणपत्रों को उपयोगकर्ताओं पर मैप करें
Entra ID उपयोगकर्ताओं को SAP उपयोगकर्ताओं के साथ आसानी से जोड़ने के लिए प्रमाणपत्र नियमों का उपयोग करें।
सुनिश्चित करें कि login/certificate_mapping_rulebased प्रोफ़ाइल पैरामीटर 1 के वर्तमान मान पर सेट है.
नोट
यह मैपिंग विधि पुनः आरंभ के बीच कायम नहीं रहती।
फिर टी-कोड में निम्नलिखित नियम बनाएं CERTRULE
नोट
यह सुनिश्चित करने के लिए दो मिनट प्रतीक्षा करें कि SAP के कैश्ड कनेक्शन की समयसीमा समाप्त हो गई है और फिर कनेक्शन का पुनः परीक्षण करें। यदि नहीं, तो आप X.509-क्लाइंट प्रमाणपत्र के लिए कोई उपयुक्त SAP उपयोगकर्ता नहीं मिला त्रुटि का सामना कर सकते हैं।
उपयोगकर्ता मध्यवर्ती प्रमाणपत्र
SAP में उपयोगकर्ता मध्यवर्ती प्रमाणपत्र जोड़ने के लिए इन चरणों का पालन करें:
- t-code
STRUSTखोलें और सार्वजनिक प्रमाणपत्रSTRUSTusers.cert.pem फ़ाइल को बॉक्स में जोड़ने के लिए पर डबल-क्लिक करें। - SAP GUI में, ट्रांजेक्शन कोड STRUST पर जाएं।
- यदि SNC SAPCryptolib में लाल X है, तो राइट-क्लिक करें और Create चुनें।
- SNC SAPCryptolib का चयन करें और फिर अपने स्वयं प्रमाणपत्रपर डबल-क्लिक करें।
-
प्रमाणपत्र आयात करें चुनें और अपना
signingUsersCert\users.cert.pemसार्वजनिक प्रमाणपत्र चुनें। - प्रमाणपत्र सूची में जोड़ें चुनें.
SAP सिस्टम अद्यतन
अपने SAP सिस्टम पैरामीटर में SsoCertificateSubject जोड़ें.
"SsoCertificateSubject": "CN=Users Intermediate Cert, O=Contoso",
इसे भी सक्षम करें
"SncSso": "On"
कनेक्शन को एक नए कनेक्शन से बदलें जो आपके ID खाते के साथ SAP में लॉग इन करने के लिए उपयोग होता है। Microsoft Entra ID (using certificates) Microsoft Entra
महत्त्वपूर्ण
इस ट्यूटोरियल के पूरा होने पर अस्थायी TESTUSER01 सार्वजनिक और निजी कुंजियों को हटा दें।
महत्त्वपूर्ण
सुरक्षा अखंडता बनाए रखने के लिए इस सेटअप के पूरा होने पर निजी कुंजियों का सुरक्षित संचालन और अंततः विलोपन सुनिश्चित करें।
अधिक जानें: ऑन-प्रिमाइसेस डेटा गेटवे FAQप्रमाणपत्र-आधारित प्रमाणीकरण कॉन्फ़िगर करें