Az SAP Fiori konfigurálása egyszeri bejelentkezéshez a Microsoft Entra-azonosítóval

Ebből a cikkből megtudhatja, hogyan integrálhatja az SAP Fiorit a Microsoft Entra ID-val. Ha integrálja az SAP Fiori-t a Microsoft Entra ID-val, az alábbiakat teheti:

• Az SAP Fiorihoz való hozzáférést a Microsoft Entra ID-ben vezérelheti.
• Lehetővé teszi, hogy a felhasználók automatikusan bejelentkezhessenek az SAP Fioriba a Microsoft Entra-fiókjukkal.
• A fiókokat egy központi helyen kezelheti.

Előfeltételek

A cikkben ismertetett forgatókönyv feltételezi, hogy már rendelkezik a következő előfeltételekkel:

• Aktív előfizetéssel rendelkező Microsoft Entra-felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
• Az alábbi szerepkörök egyike:
  • Alkalmazásadminisztrátor
  • Felhőalkalmazás-rendszergazda
  • Alkalmazás tulajdonosa.

• SAP Fiori egyszeri bejelentkezésre (SSO) engedélyezett előfizetés.

Forgatókönyv leírása

Ebben a cikkben a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.

• Az SAP Fiori támogatja az SP által kezdeményezett egyszeri bejelentkezést

Jegyzet

Az SAP Fiori által kezdeményezett iFrame-hitelesítéshez az IsPassive paraméter használatát javasoljuk az SAML AuthnRequestben a csendes hitelesítéshez. Az IsPassive paraméter további részleteiért tekintse meg a Microsoft Entra SAML egyszeri bejelentkezési adatait.

SAP Fiori hozzáadása a galériából

Az SAP Fiori Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az SAP Fiorit a katalógusból a felügyelt SaaS-alkalmazások listájához.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
2. Keresse meg az Entra ID>Enterprise-alkalmazásokat>Új alkalmazás.
3. A Gyűjtemény hozzáadása szakaszban írja be az SAP Fiori kifejezést a keresőmezőbe.
4. Válassza az SAP Fiori lehetőséget az eredmények panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, és végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése az SAP Fiorihoz

A Microsoft Entra SSO konfigurálása és tesztelése az SAP Fiorival egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az SAP Fioriban.

A Microsoft Entra SSO SAP Fiorival való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:

1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
   1. Microsoft Entra-tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez B.Simon használatával.
   2. Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy B.Simon a Microsoft Entra egyszeri bejelentkezését használhassa.
2. Az SAP Fiori SSO konfigurálása – az egyszeri bejelentkezési beállítások alkalmazásoldali konfigurálásához.
   1. Hozzon létre EGY SAP Fiori tesztfelhasználót , hogy az SAP Fioriban B.Simon megfelelője legyen, amely a felhasználó Microsoft Entra-ábrázolásához kapcsolódik.
3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

1. Nyisson meg egy új webböngészőablakot, és jelentkezzen be rendszergazdaként az SAP Fiori vállalati webhelyére.

2. Győződjön meg arról, hogy a HTTP - és https-szolgáltatások aktívak, és hogy a megfelelő portok hozzá vannak rendelve az SMICM tranzakciókódhoz.

3. Jelentkezzen be az SAP Business Client for SAP System T01 szolgáltatásba, ahol egyszeri bejelentkezésre van szükség. Ezután aktiválja a HTTP biztonsági munkamenet-kezelést.

   1. Nyissa meg a tranzakciókódot: SICF_SESSIONS. Az aktuális értékekkel rendelkező összes releváns profilparaméter megjelenik. A következő példához hasonlóan néznek ki:

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Jegyzet

      Módosítsa a paramétereket a szervezeti követelményeknek megfelelően. Az előző paraméterek csak példaként vannak megadva.

   2. Szükség esetén módosítsa az SAP-rendszer példányprofiljának paramétereit, és indítsa újra az SAP-rendszert.

   3. A HTTP-biztonsági munkamenet engedélyezéséhez válassza ki duplán a megfelelő ügyfelet.

      

   4. Aktiválja a következő SICF-szolgáltatásokat:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Nyissa meg az SAML2 tranzakciókódot az SAP-rendszer üzleti ügyfélprogramjában [T01/122]. A konfigurációs felhasználói felület egy új böngészőablakban nyílik meg. Ebben a példában a Business Clientt használjuk az SAP 122-hez.

   

5. Adja meg a felhasználónevet és a jelszót, majd válassza a Bejelentkezés lehetőséget.

   

6. A Szolgáltató neve mezőben cserélje le a T01122http://T01122, majd válassza a Mentés.

   Jegyzet

   Alapértelmezés szerint a szolgáltató neve <sid><ügyfél>formátumban van. A Microsoft Entra ID a nevet a <protokoll>://<név>formátumban várja. Javasoljuk, hogy a szolgáltató nevét hagyja meg https://<sid><client> formában, így több SAP Fiori ABAP-motort tud konfigurálni a Microsoft Entra ID-ban.

   

7. Válassza a Helyi szolgáltató fül>Metaadatok.

8. Az SAML 2.0 Metaadatok párbeszédpanelen töltse le a létrehozott metaadat-XML-fájlt, és mentse a számítógépre.

   

9. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

10. Keresse meg az Entra ID>Enterprise-alkalmazásokat>az SAP Fiori>egyszeri bejelentkezéshez.

11. A Egyszeri bejelentkezési módszer kiválasztása oldalon válassza a SAML-t.

12. Az saml-alapú egyszeri bejelentkezés beállítása lapon válassza az egyszerű SAML-konfiguráció ceruzaikonját a beállítások szerkesztéséhez.

    

13. Ha rendelkezik szolgáltatói metaadatfájllal, az EGYSZERŰ SAML-konfiguráció szakaszban hajtsa végre a következő lépéseket:

    1. Válassza a Metaadatfájl feltöltése lehetőséget.

       

    2. A mappa emblémájának kiválasztásával jelölje ki a metaadatfájlt, majd válassza a Feltöltés lehetőséget.

       

    3. A metaadatfájl sikeres feltöltése után a rendszer automatikusan kitölti az azonosító és a válasz URL-címét az Egyszerű SAML-konfiguráció panelen. A Bejelentkezés URL-cím mezőjébe írjon be egy URL-címet, amely a következő mintával rendelkezik: https://<your company instance of SAP Fiori>.

       Jegyzet

       Egyes ügyfelek olyan hibát tapasztaltak, hogy helytelen válasz URL-cím lett konfigurálva a példányukhoz. Ha ilyen hibaüzenetet kap, használja ezeket a PowerShell-parancsokat. Először frissítse az alkalmazásobjektum válasz URL-címeit a válasz URL-címmel, majd frissítse a szolgáltatás főazonosítóját. A Get-MgServicePrincipal használatával kérje le a szolgáltatási főegység ID értékét.

       $params = @{
          web = @{
             redirectUris = "<Your Correct Reply URL>"
          }
       }
       Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
       Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
       

14. Az SAP Fiori alkalmazás elvárja, hogy az SAML-állítások egy adott formátumban legyenek. Állítsa be az alábbi igényeket ehhez az alkalmazáshoz. Ezeknek az attribútumértékeknek a kezeléséhez az ÖNÁLLÓ Sign-On beállítása SAML-panelen válassza a Szerkesztés lehetőséget.

    

15. A Felhasználói attribútumok > Jogcímek panelen konfigurálja az SAML-jogkivonat attribútumait az előző képen látható módon. Ezután hajtsa végre a következő lépéseket:

    1. Válassza a Szerkesztés lehetőséget a felhasználói jogcímek kezelése panel megnyitásához.

    2. Az Átalakítás listában válassza az ExtractMailPrefix() lehetőséget.

    3. Az 1. paraméterlistában válassza a user.userprincipalname elemet.

    4. Válassza a Mentés lehetőséget.

       

       

16. Az SAML-alapú egyszeri bejelentkezés beállítása lapon, az SAML aláíró tanúsítvány szakaszában keresse meg az összevonási metaadatok XML-fájlját , és válassza a Letöltés lehetőséget a tanúsítvány letöltéséhez és a számítógépre való mentéséhez.

    

17. Az SAP Fiori beállítása szakaszban másolja ki a megfelelő URL-cím(ek)et a követelmény alapján.

    

Microsoft Entra tesztfelhasználó létrehozása és hozzárendelése

A B.Simon nevű tesztfelhasználói fiók létrehozásához kövesse a felhasználói fiókok létrehozásának és hozzárendelésének rövid útmutatójában szereplő irányelveket.

SAP Fiori SSO konfigurálása

1. Jelentkezzen be az SAP-rendszerbe, és lépjen az SAML2 tranzakciós kódra. Megnyílik egy új böngészőablak az SAML konfigurációs oldalával.

2. A megbízható identitásszolgáltató (Microsoft Entra ID) végpontjainak konfigurálásához válassza a Megbízható szolgáltatók lapot.

   

3. Válassza a Hozzáadás, majd a Metaadatfájl feltöltése lehetőséget a helyi menüből.

   

4. Töltse fel a letöltött metaadatfájlt. Válassza a Tovább gombot.

   

5. A következő lapon, az Alias mezőben adja meg az alias nevét. Például aadsts. Válassza a Tovább gombot.

   

6. Győződjön meg arról, hogy a Kivonatoló algoritmus mezőben szereplő érték SHA-256. Válassza a Tovább gombot.

   

7. A Single Sign-On végpontok alatt válassza a HTTP POST-et, majd a Tovább lehetőséget.

   

8. Az Egyszeri kijelentkezés végpontjai területen válassza a HTTP-átirányítás, majd a Tovább gombot.

   

9. Az Összetevővégpontok területen válassza a Tovább gombot a folytatáshoz.

   

10. A Hitelesítési követelmények csoportban válassza a Befejezés lehetőséget.

    

11. Válassza a Megbízható szolgáltató>Identitásfederáció opciót (a lap alján). Válassza a Szerkesztés lehetőséget.

    

12. Válassza a Hozzáadás lehetőséget.

    

13. A Támogatott névazonosító-formátumok párbeszédpanelen válassza a Nem megadott lehetőséget. Válassza az OK gombot.

    

    A felhasználói azonosító forrásának és a felhasználói azonosító leképezési módjának értékei határozzák meg az SAP-felhasználó és a Microsoft Entra-jogcím közötti kapcsolatot.

    1. forgatókönyv: SAP-felhasználó–Microsoft Entra-felhasználóleképezés

    1. Az SAP-ban a "Meghatározatlan" NévAZONOSÍTÓ-formátum részletei területen jegyezze fel a részleteket:

       Képernyőkép, amely az SAP „Nem meghatározott NameID formátum részletei" párbeszédpanelt mutatja.

    2. Az Azure portál Felhasználói attribútumok & igények területén jegyezze fel a Microsoft Entra ID szükséges igényeit.

       

    2. forgatókönyv: Válassza ki az SAP felhasználói azonosítóját az SU01-ben konfigurált e-mail-cím alapján. Ebben az esetben az e-mail-azonosítót su01-ben kell konfigurálni minden olyan felhasználóhoz, aki egyszeri bejelentkezést igényel.

    1. Az SAP-ban a "Meghatározatlan" NévAZONOSÍTÓ-formátum részletei területen jegyezze fel a részleteket:

       

    2. Az Azure portál Felhasználói attribútumok & igények területén jegyezze fel a Microsoft Entra ID szükséges igényeit.

       

14. Válassza a Mentés lehetőséget, majd az Engedélyezés-t az identitásszolgáltató engedélyezéséhez.

    

15. Ha a rendszer kéri, válassza az OK gombot .

    

SAP Fiori tesztfelhasználó létrehozása

Ebben a szakaszban egy Britta Simon nevű felhasználót hoz létre az SAP Fioriban. Dolgozzon együtt a beépített SAP-szakértői csapatával vagy a szervezet SAP-partnerével, hogy felvegye a felhasználót az SAP Fiori platformra.

SSO tesztelése

1. Miután aktiválta az identitásszolgáltató Microsoft Entra-azonosítóját az SAP Fioriban, próbáljon meg hozzáférni az alábbi URL-címek egyikéhez az egyszeri bejelentkezés teszteléséhez (nem szabad felhasználónevet és jelszót kérni):

   • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
   • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

   Jegyzet

   Cserélje le a <sap-url> a tényleges SAP-gazdagép nevére.

2. A teszt URL-címének az SAP következő tesztalkalmazási oldalára kell vinnie. Ha megnyílik a lap, a Microsoft Entra egyszeri bejelentkezése sikeresen be van állítva.

   

3. Ha a rendszer felhasználónevet és jelszót kér, engedélyezze a nyomkövetést a probléma diagnosztizálásához. A nyomkövetéshez használja a következő URL-címet:

   https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Kapcsolódó tartalom

Az SAP Fiori konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti ki a munkamenet-vezérlést a Microsoft Defender for Cloud Apps használatával.