Oktatóanyag: A Microsoft Entra egyszeri bejelentkezés (SSO) integrációja az SAP Cloud Identity Services szolgáltatással

Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja az SAP Cloud Identity Servicest a Microsoft Entra ID-val. Ha integrálja az SAP Cloud Identity Servicest a Microsoft Entra ID-val, az alábbiakat teheti:

• Az SAP Cloud Identity Serviceshez hozzáféréssel rendelkező Microsoft Entra-azonosító vezérlése.
• Lehetővé teszi a felhasználók számára, hogy automatikusan bejelentkezhessenek az SAP Cloud Identity Servicesbe a Microsoft Entra-fiókjukkal.
• A fiókokat egy központi helyen kezelheti.

Tipp.

A beállítás üzembe helyezéséhez kövesse a "Microsoft Entra ID használata az SAP-platformokhoz és alkalmazásokhoz való hozzáférés biztonságossá tételéhez" című ajánlásokat és ajánlott eljárásokat ismertető útmutatót.

Előfeltételek

Első lépésként a következő elemekre van szüksége:

• Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
• AZ SAP Cloud Identity Services egyszeri bejelentkezésre (SSO) engedélyezett előfizetése.

Forgatókönyv leírása

Ebben az oktatóanyagban a Microsoft Entra egyszeri bejelentkezését konfigurálja és teszteli tesztkörnyezetben.

• Az SAP Cloud Identity Services támogatja az SP és az IDP által kezdeményezett egyszeri bejelentkezést.
• Az SAP Cloud Identity Services támogatja az automatikus felhasználói kiépítést.

Mielőtt megismerkedik a technikai részletekkel, elengedhetetlen, hogy megismerje azokat a fogalmakat, amelyekben keresni fog. Az SAP Cloud Identity Services és Active Directory összevonási szolgáltatások (AD FS) lehetővé teszik az egyszeri bejelentkezés implementálását a Microsoft Entra ID (mint idP) által védett alkalmazások és szolgáltatások között az SAP Cloud Identity Services által védett SAP-alkalmazásokkal és szolgáltatásokkal.

Az SAP Cloud Identity Services jelenleg proxyidentitás-szolgáltatóként működik az SAP-alkalmazások számára. Ebben a beállításban a Microsoft Entra ID a vezető identitásszolgáltató.

Az alábbi diagram ezt a kapcsolatot szemlélteti:

Ezzel a beállítással az SAP Cloud Identity Services-bérlő megbízható alkalmazásként van konfigurálva a Microsoft Entra ID-ban.

Az ilyen módon védeni kívánt ÖSSZES SAP-alkalmazás és szolgáltatás később konfigurálva lesz az SAP Cloud Identity Services felügyeleti konzolján.

Ezért az SAP-alkalmazásokhoz és -szolgáltatásokhoz való hozzáférés engedélyezésének az SAP Cloud Identity Servicesben kell lennie (szemben a Microsoft Entra-azonosítóval).

Az SAP Cloud Identity Services alkalmazásként való konfigurálásával a Microsoft Entra Marketplace-en keresztül nem kell egyéni jogcímeket vagy SAML-állításokat konfigurálnia.

Feljegyzés

Jelenleg csak a webes egyszeri bejelentkezést tesztelte mindkét fél. Az alkalmazások közötti vagy API-ról API-ra irányuló kommunikációhoz szükséges folyamatoknak működniük kell, de még nem tesztelték. Ezeket a későbbi tevékenységek során teszteljük.

SAP Cloud Identity Services hozzáadása a katalógusból

Az SAP Cloud Identity Services Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az SAP Cloud Identity Servicest a katalógusból a felügyelt SaaS-alkalmazások listájához.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
3. A Gyűjtemény hozzáadása szakaszban írja be az SAP Cloud Identity Services kifejezést a keresőmezőbe.
4. Válassza az SAP Cloud Identity Servicest az eredmények panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése az SAP Cloud Identity Serviceshez

A Microsoft Entra SSO konfigurálása és tesztelése az SAP Cloud Identity Services szolgáltatással egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az SAP Cloud Identity Servicesben.

A Microsoft Entra SSO SAP Cloud Identity Services szolgáltatással való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:

1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
   1. Microsoft Entra-tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez B.Simon használatával.
   2. Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy B.Simon a Microsoft Entra egyszeri bejelentkezését használhassa.
2. Az SAP Cloud Identity Services egyszeri bejelentkezésének konfigurálása – az egyszeri bejelentkezési beállítások alkalmazásoldali konfigurálásához.
   1. Hozzon létre SAP Cloud Identity Services-tesztfelhasználót , hogy b.Simon megfelelője legyen az SAP Cloud Identity Servicesben, amely a felhasználó Microsoft Entra-reprezentációjához van kapcsolva.
3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat> az SAP Cloud Identity Services>egyszeri bejelentkezéséhez.

3. A Select a single sign-on method page, select SAML.

4. Az saml-alapú egyszeri bejelentkezés beállítása lapon kattintson az egyszerű SAML-konfiguráció ceruza ikonjára a beállítások szerkesztéséhez.

   

5. Ha rendelkezik szolgáltatói metaadatfájllal, és idP által kezdeményezett módban szeretne konfigurálni, hajtsa végre az alábbi lépéseket az EGYSZERŰ SAML-konfiguráció szakaszban:

   a. Kattintson a Metaadatfájl feltöltése elemre.

   b. Kattintson a mappa emblémájára az SAP-ból letöltött metaadatfájl kiválasztásához, majd a Feltöltés gombra.

   

   c. A metaadatfájl sikeres feltöltése után az azonosító és a válasz URL-értéke automatikusan ki lesz töltve az Egyszerű SAML-konfiguráció szakaszban.

   

   Feljegyzés

   Ha az Azonosító és a Válasz URL-cím értéke nem lesz automatikusan kitöltve, töltse ki manuálisan az értékeket a követelménynek megfelelően.

6. Ha sp által kezdeményezett módban szeretné konfigurálni az alkalmazást:

   A Bejelentkezés URL-cím (nem kötelező) szövegmezőbe írjon be egy URL-címet a következő mintával:{YOUR BUSINESS APPLICATION URL}

   Feljegyzés

   Ez az érték nem valós. Frissítse ezt az értéket a tényleges bejelentkezési URL-címmel. Használja az adott üzleti alkalmazás bejelentkezési URL-címét. Ha kétségei vannak, forduljon az SAP Cloud Identity Services ügyféltámogatási csapatához .

7. Az SAP Cloud Identity Services-alkalmazás az SAML-állításokat egy adott formátumban várja, amelyhez egyéni attribútumleképezéseket kell hozzáadnia az SAML-tokenattribútumok konfigurációjához. Az alábbi képernyőképen az alapértelmezett attribútumok listája látható.

   

8. A fentieken kívül az SAP Cloud Identity Services-alkalmazás várhatóan néhány további attribútumot ad vissza az SAML-válaszban, amelyek alább láthatók. Ezek az attribútumok szintén előre fel vannak töltve, de a követelményeknek megfelelően áttekintheti őket.

   Név	Forrásattribútum
   firstName	user.givenname

9. Az egyszeri bejelentkezés beállítása SAML-lel lapon, az SAML aláíró tanúsítvány szakaszában kattintson a Letöltés gombra a metaadat-XML letöltéséhez a követelményeknek megfelelően, és mentse a számítógépre.

   

10. Az SAP Cloud Identity Services beállítása szakaszban másolja ki a megfelelő URL-cím(ek)et a követelményeknek megfelelően.

    

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.
2. Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.
3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
   1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
   2. A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . Például: B.Simon@contoso.com.
   3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
   4. Válassza az Áttekintés + létrehozás lehetőséget.
5. Válassza a Létrehozás lehetőséget.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon az SAP Cloud Identity Serviceshez való hozzáférés biztosításával.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>az SAP Cloud Identity Servicesben.

3. Az alkalmazás áttekintő lapján keresse meg a Kezelés szakaszt, és válassza a Felhasználók és csoportok lehetőséget.

4. Válassza a Felhasználó hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.

5. A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listában, majd kattintson a Képernyő alján található Kiválasztás gombra.

6. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.

7. A Hozzárendelés hozzáadása párbeszédpanelen kattintson a Hozzárendelés gombra.

AZ SAP Cloud Identity Services SSO konfigurálása

1. Jelentkezzen be az SAP Cloud Identity Services felügyeleti konzoljára. Az URL-cím a következő mintával rendelkezik: https://<tenant-id>.accounts.ondemand.com/admin.

2. Az Alkalmazások és erőforrások területen válassza a Bérlői beállítások csempét.

   

3. Az Egyszeri bejelentkezés lapon nyissa meg az SAML 2.0 Konfiguráció lehetőséget, majd kattintson a Metaadatok letöltése gombra a metaadatok letöltéséhez és az Entra-oldali konfiguráció későbbi részében való használatához.

   

4. Az Identitásszolgáltatók területen válassza a Vállalati identitásszolgáltatók csempét.

5. Kattintson a + Létrehozás gombra az identitásszolgáltató létrehozásához.

   

6. Hajtsa végre az alábbi lépéseket az Identitásszolgáltató létrehozása párbeszédpanelen.

   

   a. Adjon meg érvényes nevet a megjelenítendő névben.

   b. Válassza ki a Microsoft ADFS/Entra ID (SAML 2.0) elemet a legördülő listából.

   c. Kattintson a Létrehozás gombra.

7. Nyissa meg a Megbízhatóság –> SAML 2.0 konfigurációt , és kattintson a Tallózás gombra az Entra-konfigurációból letöltött Metaadat XML-fájl feltöltéséhez.

   

8. Kattintson a Mentés gombra.

9. Csak akkor folytassa a következővel, ha egy másik SAP-alkalmazáshoz szeretné hozzáadni és engedélyezni az egyszeri bejelentkezést. Ismételje meg az SAP Cloud Identity Services hozzáadása a katalógusból című szakasz lépéseit.

10. Az Entra oldalán, az SAP Cloud Identity Services alkalmazásintegrációs oldalán válassza a Csatolt bejelentkezés lehetőséget.

    

11. Mentse a konfigurációt.

12. További információkért olvassa el az SAP Cloud Identity Services dokumentációját a Microsoft Entra ID-val való integráció során.

Feljegyzés

Az új alkalmazás az előző SAP-alkalmazás egyszeri bejelentkezési konfigurációját használja. Győződjön meg arról, hogy ugyanazokat a vállalati identitásszolgáltatókat használja az SAP Cloud Identity Services felügyeleti konzolján.

SAP Cloud Identity Services-tesztfelhasználó létrehozása

Nem kell felhasználót létrehoznia az SAP Cloud Identity Servicesben. A Microsoft Entra felhasználói áruházban lévő felhasználók használhatják az egyszeri bejelentkezés funkciót.

Az SAP Cloud Identity Services támogatja az Identitás összevonási lehetőséget. Ezzel a beállítással az alkalmazás ellenőrizheti, hogy a vállalati identitásszolgáltató által hitelesített felhasználók léteznek-e az SAP Cloud Identity Services felhasználói tárában.

Az Identitás összevonás beállítás alapértelmezés szerint le van tiltva. Ha az Identitás összevonás engedélyezve van, csak az SAP Cloud Identity Servicesbe importált felhasználók férhetnek hozzá az alkalmazáshoz.

Az identitás összevonásnak az SAP Cloud Identity Services szolgáltatással való engedélyezéséről vagy letiltásáról az "Identitás összevonás engedélyezése az SAP Cloud Identity Services szolgáltatással" című témakörben talál további információt az Identitás összevonás konfigurálása az SAP Cloud Identity Services felhasználói áruházával című témakörben.

Feljegyzés

Az SAP Cloud Identity Services támogatja az automatikus felhasználókiépítést is, az automatikus felhasználókiépítés konfigurálásáról itt talál további részleteket.

Egyszeri bejelentkezés tesztelése

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

Sp kezdeményezve:

• Kattintson az alkalmazás tesztelésére, ez átirányítja az SAP Cloud Identity Services bejelentkezési URL-címére, ahol elindíthatja a bejelentkezési folyamatot.

• Lépjen közvetlenül az SAP Cloud Identity Services bejelentkezési URL-címére, és indítsa el onnan a bejelentkezési folyamatot.

IdP kezdeményezve:

• Kattintson az alkalmazás tesztelésére, és automatikusan be kell jelentkeznie ahhoz az SAP Cloud Identity Serviceshez, amelyhez beállította az egyszeri bejelentkezést

A Microsoft Saját alkalmazások használatával is tesztelheti az alkalmazást bármilyen módban. Amikor a Saját alkalmazások az SAP Cloud Identity Services csempére kattint, az SP módban konfigurálva átirányítja a bejelentkezési oldalra a bejelentkezési oldalra a bejelentkezési folyamat elindításához, és ha IDP módban van konfigurálva, akkor automatikusan be kell jelentkeznie az SAP Cloud Identity Services szolgáltatásba, amelyhez beállította az egyszeri bejelentkezést. A Saját alkalmazások további információ: Bevezetés a Saját alkalmazások.

Következő lépések

Az SAP Cloud Identity Services konfigurálása után kényszerítheti a munkamenet-vezérlőket, amelyek valós időben védik a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlők a feltételes hozzáféréstől terjednek. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.

A beállítás üzembe helyezésével kapcsolatban tekintse meg az ajánlásokat és az ajánlott eljárásokat ismertető útmutatót .