Megosztás a következőn keresztül:

Oktatóanyag: A Microsoft Entra egyszeri bejelentkezés (SSO) integrációja az SAP Fiorival

  • Cikk

Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja az SAP Fiorit a Microsoft Entra ID-val. Ha integrálja az SAP Fiori-t a Microsoft Entra ID-val, az alábbiakat teheti:

  • Az SAP Fiorihoz hozzáféréssel rendelkező Microsoft Entra-azonosító vezérlése.
  • Lehetővé teszi, hogy a felhasználók automatikusan bejelentkezhessenek az SAP Fioriba a Microsoft Entra-fiókjukkal.
  • A fiókokat egy központi helyen kezelheti.

Előfeltételek

Első lépésként a következő elemekre van szüksége:

  • Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
  • SAP Fiori egyszeri bejelentkezésre (SSO) engedélyezett előfizetés.

Forgatókönyv leírása

Ebben az oktatóanyagban a Microsoft Entra SSO-t konfigurálja és teszteli tesztkörnyezetben.

  • Az SAP Fiori támogatja az SP által kezdeményezett egyszeri bejelentkezést

Feljegyzés

Az SAP Fiori által kezdeményezett iFrame-hitelesítéshez az IsPassive paraméter használatát javasoljuk az SAML AuthnRequestben a csendes hitelesítéshez. Az IsPassive paraméter további részleteiért tekintse meg a Microsoft Entra SAML egyszeri bejelentkezési adatait.

Az SAP Fiori Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az SAP Fiorit a katalógusból a felügyelt SaaS-alkalmazások listájához.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
  3. A Gyűjtemény hozzáadása szakaszban írja be az SAP Fiori kifejezést a keresőmezőbe.
  4. Válassza az SAP Fiori lehetőséget az eredmények panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése az SAP Fiorihoz

A Microsoft Entra SSO konfigurálása és tesztelése az SAP Fiorival egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az SAP Fioriban.

A Microsoft Entra SSO SAP Fiorival való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:

  1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
    1. Microsoft Entra-tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez B.Simon használatával.
    2. Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy B.Simon a Microsoft Entra egyszeri bejelentkezését használhassa.
  2. Az SAP Fiori SSO konfigurálása – az egyszeri bejelentkezési beállítások alkalmazásoldali konfigurálásához.
    1. Hozzon létre SAP Fiori tesztfelhasználót , hogy b.Simon megfelelője legyen az SAP Fioriban, amely a felhasználó Microsoft Entra-ábrázolásához kapcsolódik.
  3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

  1. Nyisson meg egy új webböngészőablakot, és jelentkezzen be rendszergazdaként az SAP Fiori vállalati webhelyére.

  2. Győződjön meg arról, hogy a HTTP- és https-szolgáltatások aktívak, és hogy a megfelelő portok hozzá vannak rendelve az SMICM tranzakciókódhoz.

  3. Jelentkezzen be az SAP Business Client for SAP System T01 szolgáltatásba, ahol egyszeri bejelentkezésre van szükség. Ezután aktiválja a HTTP biztonsági munkamenet-kezelést.

    1. Lépjen a tranzakciókód SICF_Standard kiadás SSIONS elemre. Az aktuális értékekkel rendelkező összes releváns profilparaméter megjelenik. A következő példához hasonlóan néznek ki:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Feljegyzés

      Módosítsa a paramétereket a szervezeti követelményeknek megfelelően. Az előző paraméterek csak példaként vannak megadva.

    2. Szükség esetén módosítsa az SAP-rendszer példányprofiljának paramétereit, és indítsa újra az SAP-rendszert.

    3. A HTTP-biztonsági munkamenet engedélyezéséhez kattintson duplán a megfelelő ügyfélre.

      The Current Values of Relevant Profile Parameters page in SAP

    4. Aktiválja a következő SICF-szolgáltatásokat:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Nyissa meg az SAML2 tranzakciókódot az SAP-rendszer üzleti ügyfélprogramjában [T01/122]. A konfigurációs felhasználói felület egy új böngészőablakban nyílik meg. Ebben a példában a Business Clientt használjuk az SAP 122-hez.

    The SAP Fiori Business Client sign-in page

  5. Adja meg a felhasználónevet és a jelszót, majd válassza a Bejelentkezés lehetőséget.

    The SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  6. A Szolgáltató neve mezőben cserélje le a T01122 elemet http://T01122 a gombra, majd válassza a Mentés lehetőséget.

    Feljegyzés

    Alapértelmezés szerint a szolgáltató neve sid-ügyfél><> formátumban <van. A Microsoft Entra ID a következő formátumban <várja a nevet: protokoll>://<name>. Javasoljuk, hogy a szolgáltató nevét https://< sid><ügyfélként> tartsa fenn, hogy több SAP Fiori ABAP-motort konfiguráljon a Microsoft Entra ID-ban.

    The updated provider name in the SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  7. Válassza a Helyi szolgáltató lap>metaadatai lehetőséget.

  8. Az SAML 2.0 Metaadatok párbeszédpanelen töltse le a létrehozott metaadat-XML-fájlt, és mentse a számítógépre.

    The Download Metadata link in the SAP SAML 2.0 Metadata dialog box

  9. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  10. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat> az SAP Fiori>egyszeri bejelentkezéshez.

  11. A Select a single sign-on method page, select SAML.

  12. Az saml-alapú egyszeri bejelentkezés beállítása lapon kattintson az egyszerű SAML-konfiguráció ceruza ikonjára a beállítások szerkesztéséhez.

    Edit Basic SAML Configuration

  13. Ha rendelkezik szolgáltatói metaadatfájllal, az EGYSZERŰ SAML-konfiguráció szakaszban hajtsa végre a következő lépéseket:

    1. Kattintson a Metaadatfájl feltöltése elemre.

      Upload metadata file

    2. A mappa emblémájára kattintva jelölje ki a metaadatfájlt, majd kattintson a Feltöltés gombra.

      choose metadata file

    3. A metaadatfájl sikeres feltöltése után a rendszer automatikusan kitölti az azonosító és a válasz URL-címét az Egyszerű SAML-konfiguráció panelen. A Bejelentkezés URL-cím mezőjébe írjon be egy URL-címet, amely a következő mintával rendelkezik: https://<your company instance of SAP Fiori>.

      Feljegyzés

      Egyes ügyfelek hibát észleltek a példányukhoz konfigurált helytelen válasz URL-cím miatt. Ha ilyen hibaüzenetet kap, használja ezeket a PowerShell-parancsokat. Először frissítse az alkalmazásobjektum válasz URL-címét a Válasz URL-címmel, majd frissítse a szolgáltatásnevet. A Get-MgServicePrincipal használatával kérje le a szolgáltatásnév azonosítójának értékét.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. Az SAP Fiori alkalmazás elvárja, hogy az SAML-állítások egy adott formátumban legyenek. Konfigurálja az alábbi jogcímeket ehhez az alkalmazáshoz. Az attribútumértékek kezeléséhez válassza a Szerkesztés lehetőséget az egyszeri bejelentkezés beállítása SAML-lel panelen.

    The User attributes pane

  15. A Felhasználói attribútumok > Jogcímek panelen konfigurálja az SAML-jogkivonat attribútumait az előző képen látható módon. Ezután hajtsa végre a következő lépéseket:

    1. Válassza a Szerkesztés lehetőséget a felhasználói jogcímek kezelése panel megnyitásához.

    2. Az Átalakítás listában válassza az ExtractMailPrefix() lehetőséget.

    3. Az 1. paraméterlistában válassza a user.userprincipalname elemet.

    4. Válassza a Mentés lehetőséget.

      The Manage user claims pane

      The Transformation section in the Manage user claims pane

  16. Az SAML-alapú egyszeri bejelentkezés beállítása lapon, az SAML aláíró tanúsítvány szakaszában keresse meg az összevonási metaadatok XML-fájlját, és válassza a Letöltés lehetőséget a tanúsítvány letöltéséhez és a számítógépre való mentéséhez.

    The Certificate download link

  17. Az SAP Fiori beállítása szakaszban másolja ki a megfelelő URL-cím(ek)et a követelmény alapján.

    Copy configuration URLs

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
  2. Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.
  3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
  4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
    1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
    2. A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . Például: B.Simon@contoso.com.
    3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
    4. Válassza az Áttekintés + létrehozás lehetőséget.
  5. Válassza a Létrehozás lehetőséget.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon az SAP Fiorihoz való hozzáférés biztosításával.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>az SAP Fioriban.
  3. Az alkalmazás áttekintő lapján válassza a Felhasználók és csoportok lehetőséget.
  4. Válassza a Felhasználó/csoport hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
    1. A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listában, majd kattintson a Képernyő alján található Kiválasztás gombra.
    2. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
    3. A Hozzárendelés hozzáadása párbeszédpanelen kattintson a Hozzárendelés gombra.

SAP Fiori SSO konfigurálása

  1. Jelentkezzen be az SAP-rendszerbe, és lépjen az SAML2 tranzakciós kódra. Megnyílik egy új böngészőablak az SAML konfigurációs oldalával.

  2. A megbízható identitásszolgáltató (Microsoft Entra ID) végpontjainak konfigurálásához válassza a Megbízható szolgáltatók lapot.

    The Trusted Providers tab in SAP

  3. Válassza a Hozzáadás, majd a Metaadatfájl feltöltése lehetőséget a helyi menüből.

    The Add and Upload Metadata File options in SAP

  4. Töltse fel a letöltött metaadatfájlt. Válassza a Tovább lehetőséget.

    Select the metadata file to upload in SAP

  5. A következő lapon, az Alias mezőben adja meg az alias nevét. Például aadsts. Válassza a Tovább lehetőséget.

    The Alias box in SAP

  6. Győződjön meg arról, hogy a Kivonatoló algoritmus mezőben szereplő érték SHA-256. Válassza a Tovább lehetőséget.

    Verify the Digest Algorithm value in SAP

  7. Az egyszeri bejelentkezési végpontok területen válassza a HTTP POST, majd a Tovább lehetőséget.

    Single Sign-On Endpoints options in SAP

  8. Az Egyszeri kijelentkezés végpontjai területen válassza a HTTP-átirányítás, majd a Tovább gombot.

    Single Logout Endpoints options in SAP

  9. Az Összetevővégpontok területen válassza a Tovább gombot a folytatáshoz.

    Artifact Endpoints options in SAP

  10. A Hitelesítési követelmények csoportban válassza a Befejezés lehetőséget.

    Authentication Requirements options and the Finish option in SAP

  11. Válassza a Megbízható szolgáltatói>identitás összevonás lehetőséget (a lap alján). Válassza a Szerkesztés lehetőséget.

    The Trusted Provider and Identity Federation tabs in SAP

  12. Válassza a Hozzáadás lehetőséget.

    The Add option on the Identity Federation tab

  13. A Támogatott névazonosító-formátumok párbeszédpanelen válassza a Nem megadott lehetőséget. Kattintson az OK gombra.

    The Supported NameID Formats dialog box and options in SAP

    A felhasználói azonosító forrásának és a felhasználói azonosító leképezési módjának értékei határozzák meg az SAP-felhasználó és a Microsoft Entra-jogcím közötti kapcsolatot.

    1. forgatókönyv: SAP-felhasználó–Microsoft Entra-felhasználóleképezés

    1. Az SAP-ban a "Meghatározatlan" NévAZONOSÍTÓ-formátum részletei területen jegyezze fel a részleteket:

      Screenshot that shows the 'Details of NameID Format

    2. Az Azure Portal Felhasználói attribútumok > Jogcímek területén jegyezze fel a Microsoft Entra-azonosító szükséges jogcímeit.

      Screenshot that shows the

    2. forgatókönyv: Válassza ki az SAP felhasználói azonosítóját az SU01-ben konfigurált e-mail-cím alapján. Ebben az esetben az e-mail-azonosítót su01-ben kell konfigurálni minden olyan felhasználóhoz, aki egyszeri bejelentkezést igényel.

    1. Az SAP-ban a "Meghatározatlan" NévAZONOSÍTÓ-formátum részletei területen jegyezze fel a részleteket:

      The Details of NameID Format

    2. Az Azure Portal Felhasználói attribútumok > Jogcímek területén jegyezze fel a Microsoft Entra-azonosító szükséges jogcímeit.

      The User Attributes and Claims dialog box in the Azure portal

  14. Válassza a Mentés, majd az Engedélyezés lehetőséget az identitásszolgáltató engedélyezéséhez.

    The Save and Enable options in SAP

  15. Ha a rendszer kéri, válassza az OK gombot .

    The OK option in SAML 2.0 Configuration dialog box in SAP

SAP Fiori tesztfelhasználó létrehozása

Ebben a szakaszban egy Britta Simon nevű felhasználót hoz létre az SAP Fioriban. A felhasználó az SAP Fiori platformon való hozzáadásához a saját sap-szakértői csapatával vagy a szervezet SAP-partnerével együttműködve veheti fel a felhasználót.

Egyszeri bejelentkezés tesztelése

  1. Miután aktiválta az identitásszolgáltató Microsoft Entra-azonosítóját az SAP Fioriban, próbáljon meg hozzáférni az alábbi URL-címek egyikéhez az egyszeri bejelentkezés teszteléséhez (nem szabad felhasználónevet és jelszót kérni):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Feljegyzés

    Cserélje le <sap-url> a tényleges SAP-állomásnévre.

  2. A teszt URL-címének az SAP következő tesztalkalmazási oldalára kell vinnie. Ha megnyílik a lap, a Microsoft Entra egyszeri bejelentkezése sikeresen be van állítva.

    The standard test application page in SAP

  3. Ha a rendszer felhasználónevet és jelszót kér, engedélyezze a nyomkövetést a probléma diagnosztizálásához. A nyomkövetéshez használja a következő URL-címet:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Következő lépések

Az SAP Fiori konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.