Oktatóanyag: A Microsoft Entra egyszeri bejelentkezés (SSO) integrációja az SAP Cloud Identity Services szolgáltatással

Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja az SAP Cloud Identity Servicest a Microsoft Entra ID-val. Ha integrálja az SAP Cloud Identity Servicest a Microsoft Entra ID-val, az alábbiakat teheti:

• Az SAP Cloud Identity Serviceshez hozzáféréssel rendelkező Microsoft Entra-azonosító vezérlése.
• Lehetővé teszi a felhasználók számára, hogy automatikusan bejelentkezhessenek az SAP Cloud Identity Servicesbe a Microsoft Entra-fiókjukkal.
• A fiókokat egy központi helyen kezelheti.

Tipp.

A beállítás üzembe helyezéséhez kövesse a "Microsoft Entra ID használata az SAP-platformokhoz és alkalmazásokhoz való hozzáférés biztonságossá tételéhez" című ajánlásokat és ajánlott eljárásokat ismertető útmutatót.

Előfeltételek

Első lépésként a következő elemekre van szüksége:

• Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
• AZ SAP Cloud Identity Services egyszeri bejelentkezésre (SSO) engedélyezett előfizetése.

Forgatókönyv leírása

Ebben az oktatóanyagban a Microsoft Entra egyszeri bejelentkezését konfigurálja és teszteli tesztkörnyezetben.

• Az SAP Cloud Identity Services támogatja az SP és az IDP által kezdeményezett egyszeri bejelentkezést.
• Az SAP Cloud Identity Services támogatja az automatikus felhasználói kiépítést.

Mielőtt megismerkedik a technikai részletekkel, elengedhetetlen, hogy megismerje azokat a fogalmakat, amelyekben keresni fog. Az SAP Cloud Identity Services és Active Directory összevonási szolgáltatások (AD FS) lehetővé teszik az egyszeri bejelentkezés implementálását a Microsoft Entra ID (mint idP) által védett alkalmazások és szolgáltatások között az SAP Cloud Identity Services által védett SAP-alkalmazásokkal és szolgáltatásokkal.

Az SAP Cloud Identity Services jelenleg proxyidentitás-szolgáltatóként működik az SAP-alkalmazások számára. Ebben a beállításban a Microsoft Entra ID a vezető identitásszolgáltató.

Az alábbi diagram ezt a kapcsolatot szemlélteti:

Ezzel a beállítással az SAP Cloud Identity Services-bérlő megbízható alkalmazásként van konfigurálva a Microsoft Entra ID-ban.

Az ilyen módon védeni kívánt ÖSSZES SAP-alkalmazás és szolgáltatás később konfigurálva lesz az SAP Cloud Identity Services felügyeleti konzolján.

Ezért az SAP-alkalmazásokhoz és -szolgáltatásokhoz való hozzáférés engedélyezésének az SAP Cloud Identity Servicesben kell lennie (szemben a Microsoft Entra-azonosítóval).

Az SAP Cloud Identity Services alkalmazásként való konfigurálásával a Microsoft Entra Marketplace-en keresztül nem kell egyéni jogcímeket vagy SAML-állításokat konfigurálnia.

Megjegyzés:

Jelenleg csak a webes egyszeri bejelentkezést tesztelte mindkét fél. Az alkalmazások közötti vagy API-ról API-ra irányuló kommunikációhoz szükséges folyamatoknak működniük kell, de még nem tesztelték. Ezeket a későbbi tevékenységek során teszteljük.

SAP Cloud Identity Services hozzáadása a katalógusból

Az SAP Cloud Identity Services Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az SAP Cloud Identity Servicest a katalógusból a felügyelt SaaS-alkalmazások listájához.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
3. A Gyűjtemény hozzáadása szakaszban írja be az SAP Cloud Identity Services kifejezést a keresőmezőbe.
4. Válassza az SAP Cloud Identity Servicest az eredmények panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése az SAP Cloud Identity Serviceshez

A Microsoft Entra SSO konfigurálása és tesztelése az SAP Cloud Identity Services szolgáltatással egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az SAP Cloud Identity Servicesben.

A Microsoft Entra SSO SAP Cloud Identity Services szolgáltatással való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:

1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
   1. Microsoft Entra-tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez B.Simon használatával.
   2. Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy B.Simon a Microsoft Entra egyszeri bejelentkezését használhassa.
2. Az SAP Cloud Identity Services egyszeri bejelentkezésének konfigurálása – az egyszeri bejelentkezési beállítások alkalmazásoldali konfigurálásához.
   1. Hozzon létre SAP Cloud Identity Services-tesztfelhasználót , hogy b.Simon megfelelője legyen az SAP Cloud Identity Servicesben, amely a felhasználó Microsoft Entra-reprezentációjához van kapcsolva.
3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat> az SAP Cloud Identity Services>egyszeri bejelentkezéséhez.

3. A Select a single sign-on method page, select SAML.

4. Az saml-alapú egyszeri bejelentkezés beállítása lapon kattintson az egyszerű SAML-konfiguráció ceruza ikonjára a beállítások szerkesztéséhez.

   

5. Ha idP által kezdeményezett módban szeretne konfigurálni, az Egyszerű SAML-konfiguráció szakaszban hajtsa végre a következő lépéseket:

   a. Az Azonosító szövegmezőbe írjon be egy értéket az alábbi mintával:<IAS-tenant-id>.accounts.ondemand.com

   b. A Válasz URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:https://<IAS-tenant-id>.accounts.ondemand.com/saml2/idp/acs/<IAS-tenant-id>.accounts.ondemand.com

   Megjegyzés:

   Ezek az értékek nem valósak. Frissítse ezeket az értékeket a tényleges azonosítóval és válasz URL-címmel. Az értékek lekéréséhez lépjen kapcsolatba az SAP Cloud Identity Services ügyféltámogatási csapatával . Ha nem érti az azonosító értékét, olvassa el az SAP Cloud Identity Services dokumentációját a bérlői SAML 2.0 konfigurációról.

6. Kattintson a További URL-címek beállítása elemre, és hajtsa végre a következő lépést, ha sp-vezérelt módban szeretné konfigurálni az alkalmazást:

   

   A Bejelentkezési URL-cím szövegmezőbe írjon be egy értéket a következő mintával:{YOUR BUSINESS APPLICATION URL}

   Megjegyzés:

   Ez az érték nem valós. Frissítse ezt az értéket a tényleges bejelentkezési URL-címmel. Használja az adott üzleti alkalmazás bejelentkezési URL-címét. Ha kétségei vannak, forduljon az SAP Cloud Identity Services ügyféltámogatási csapatához .

7. Az SAP Cloud Identity Services-alkalmazás az SAML-állításokat egy adott formátumban várja, amelyhez egyéni attribútumleképezéseket kell hozzáadnia az SAML-tokenattribútumok konfigurációjához. Az alábbi képernyőképen az alapértelmezett attribútumok listája látható.

   

8. A fentieken kívül az SAP Cloud Identity Services-alkalmazás várhatóan néhány további attribútumot ad vissza az SAML-válaszban, amelyek alább láthatók. Ezek az attribútumok szintén előre fel vannak töltve, de a követelményeknek megfelelően áttekintheti őket.

   Name	Forrásattribútum
   firstName	user.givenname

9. Az egyszeri bejelentkezés beállítása SAML-lel lapon, az SAML aláíró tanúsítvány szakaszában kattintson a Letöltés gombra a metaadat-XML letöltéséhez a követelményeknek megfelelően, és mentse a számítógépre.

   

10. Az SAP Cloud Identity Services beállítása szakaszban másolja ki a megfelelő URL-cím(ek)et a követelményeknek megfelelően.

    

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
2. Tallózással keresse meg az Identitásfelhasználók>>minden felhasználót.
3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
   1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
   2. A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . For example, B.Simon@contoso.com.
   3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
   4. Select Review + create.
5. Select Create.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon az SAP Cloud Identity Serviceshez való hozzáférés biztosításával.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>az SAP Cloud Identity Servicesben.

3. Az alkalmazás áttekintő lapján keresse meg a Kezelés szakaszt, és válassza a Felhasználók és csoportok lehetőséget.

4. Válassza a Felhasználó hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.

5. A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listában, majd kattintson a Képernyő alján található Kiválasztás gombra.

6. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.

7. A Hozzárendelés hozzáadása párbeszédpanelen kattintson a Hozzárendelés gombra.

AZ SAP Cloud Identity Services SSO konfigurálása

1. Egy másik böngészőablakban nyissa meg az SAP Cloud Identity Services felügyeleti konzolját. Az URL-cím a következő mintával rendelkezik: https://<tenant-id>.accounts.ondemand.com/admin. Ezután olvassa el az SAP Cloud Identity Services dokumentációját a Microsoft Entra ID-val való integráció során.

2. Az Azure Portalon válassza a Mentés gombot.

3. Csak akkor folytassa a következővel, ha egy másik SAP-alkalmazáshoz szeretné hozzáadni és engedélyezni az egyszeri bejelentkezést. Ismételje meg az SAP Cloud Identity Services hozzáadása a katalógusból című szakasz lépéseit.

4. Az Azure Portal SAP Cloud Identity Services-alkalmazásintegrációs lapján válassza a Csatolt bejelentkezés lehetőséget.

   

5. Mentse a konfigurációt.

Megjegyzés:

Az új alkalmazás az előző SAP-alkalmazás egyszeri bejelentkezési konfigurációját használja. Győződjön meg arról, hogy ugyanazokat a vállalati identitásszolgáltatókat használja az SAP Cloud Identity Services felügyeleti konzolján.

SAP Cloud Identity Services-tesztfelhasználó létrehozása

Nem kell felhasználót létrehoznia az SAP Cloud Identity Servicesben. A Microsoft Entra felhasználói áruházban lévő felhasználók használhatják az egyszeri bejelentkezés funkciót.

Az SAP Cloud Identity Services támogatja az Identitás összevonási lehetőséget. Ezzel a beállítással az alkalmazás ellenőrizheti, hogy a vállalati identitásszolgáltató által hitelesített felhasználók léteznek-e az SAP Cloud Identity Services felhasználói tárában.

Az Identitás összevonás beállítás alapértelmezés szerint le van tiltva. Ha az Identitás összevonás engedélyezve van, csak az SAP Cloud Identity Servicesbe importált felhasználók férhetnek hozzá az alkalmazáshoz.

Az identitás összevonásnak az SAP Cloud Identity Services szolgáltatással való engedélyezéséről vagy letiltásáról az "Identitás összevonás engedélyezése az SAP Cloud Identity Services szolgáltatással" című témakörben talál további információt az Identitás összevonás konfigurálása az SAP Cloud Identity Services felhasználói áruházával című témakörben.

Megjegyzés:

Az SAP Cloud Identity Services támogatja az automatikus felhasználókiépítést is, az automatikus felhasználókiépítés konfigurálásáról itt talál további részleteket.

Egyszeri bejelentkezés tesztelése

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

Sp kezdeményezve:

• Kattintson az alkalmazás tesztelésére, ez átirányítja az SAP Cloud Identity Services bejelentkezési URL-címére, ahol elindíthatja a bejelentkezési folyamatot.

• Lépjen közvetlenül az SAP Cloud Identity Services bejelentkezési URL-címére, és indítsa el onnan a bejelentkezési folyamatot.

IdP kezdeményezve:

• Kattintson az alkalmazás tesztelésére, és automatikusan be kell jelentkeznie ahhoz az SAP Cloud Identity Serviceshez, amelyhez beállította az egyszeri bejelentkezést

A Microsoft Saját alkalmazások használatával is tesztelheti az alkalmazást bármilyen módban. Amikor a Saját alkalmazások az SAP Cloud Identity Services csempére kattint, az SP módban konfigurálva a rendszer átirányítja az alkalmazás bejelentkezési oldalára a bejelentkezési folyamat elindításához, és ha IDP módban van konfigurálva, akkor automatikusan be kell jelentkeznie az SAP Cloud Identity Services szolgáltatásba, amelyhez beállította az egyszeri bejelentkezést. A Saját alkalmazások további információ: Bevezetés a Saját alkalmazások.

Következő lépések

Az SAP Cloud Identity Services konfigurálása után kényszerítheti a munkamenet-vezérlőket, amelyek valós időben védik a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlők a feltételes hozzáféréstől terjednek. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.

A beállítás üzembe helyezésével kapcsolatban tekintse meg az ajánlásokat és az ajánlott eljárásokat ismertető útmutatót .