Oktatóanyag: A Microsoft Entra SSO integrációja az SAP Business Technology Platformmal
Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja az SAP Business Technology Platformot a Microsoft Entra ID-val. Ha integrálja az SAP Business Technology Platformot a Microsoft Entra ID-val, az alábbiakat teheti:
- Az SAP Business Technology Platformhoz hozzáféréssel rendelkező Microsoft Entra-azonosítóban szabályozhatja.
- Lehetővé teszi, hogy a felhasználók automatikusan bejelentkezhessenek az SAP Business Technology Platformba a Microsoft Entra-fiókjukkal.
- A fiókokat egy központi helyen kezelheti.
Előfeltételek
Első lépésként a következő elemekre van szüksége:
- Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, ingyenes fiókot kaphat.
- Az SAP Business Technology Platform egyszeri bejelentkezésre (SSO) engedélyezett előfizetése.
Fontos
Az egyszeri bejelentkezés teszteléséhez saját alkalmazást kell üzembe helyeznie, vagy elő kell iratkoznia egy alkalmazásra az SAP Business Technology Platform-fiókjában. Ebben az oktatóanyagban egy alkalmazás lesz üzembe helyezve a fiókban.
Forgatókönyv leírása
Ebben az oktatóanyagban a Microsoft Entra egyszeri bejelentkezését konfigurálja és teszteli tesztkörnyezetben.
- Az SAP Business Technology Platform támogatja az SP által kezdeményezett egyszeri bejelentkezést.
SAP Business Technology Platform hozzáadása a katalógusból
Az SAP Business Technology Platform Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az SAP Business Technology Platformot a katalógusból a felügyelt SaaS-alkalmazások listájához.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
- A Gyűjtemény hozzáadása szakaszban írja be az SAP Business Technology Platform kifejezést a keresőmezőbe.
- Válassza az SAP Business Technology Platformot az eredmények panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.
Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.
A Microsoft Entra SSO konfigurálása és tesztelése az SAP Business Technology Platformhoz
A Microsoft Entra SSO konfigurálása és tesztelése az SAP Business Technology Platformmal egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az SAP Business Technology Platformon.
A Microsoft Entra SSO sap business technology platformmal való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:
- Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
- Microsoft Entra tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez Britta Simonnal.
- Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy britta Simon használhassa a Microsoft Entra egyszeri bejelentkezést.
- Az SAP Business Technology Platform egyszeri bejelentkezésének konfigurálása – az egyszeri bejelentkezés beállításainak konfigurálása az alkalmazás oldalán.
- Sap Business Technology Platform tesztfelhasználó létrehozása – hogy a Felhasználó Microsoft Entra-reprezentációjához kapcsolódó SAP Business Technology Platformban Britta Simon megfelelője legyen.
- SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.
A Microsoft Entra SSO konfigurálása
A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>, az SAP Business Technology Platform>egyszeri bejelentkezését.
A Select a single sign-on method page, select SAML.
Az saml-alapú egyszeri bejelentkezés beállítása lapon kattintson az egyszerű SAML-konfiguráció ceruza ikonjára a beállítások szerkesztéséhez.
Az Egyszerű SAML-konfiguráció szakaszban adja meg a következő mezők értékeit:
a. Az Azonosító szövegmezőben meg kell adnia az SAP Business Technology Platform url-címét az alábbi minták egyikével:
Azonosító https://hanatrial.ondemand.com/<instancename>
https://hana.ondemand.com/<instancename>
https://us1.hana.ondemand.com/<instancename>
https://ap1.hana.ondemand.com/<instancename>
b. A Válasz URL-cím szövegmezőbe írjon be egy URL-címet az alábbi minták egyikével:
Válasz URL-cím https://<subdomain>.hanatrial.ondemand.com/<instancename>
https://<subdomain>.hana.ondemand.com/<instancename>
https://<subdomain>.us1.hana.ondemand.com/<instancename>
https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
https://<subdomain>.ap1.hana.ondemand.com/<instancename>
https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>
c. A Bejelentkezés URL-cím szövegmezőbe írja be a felhasználók által az SAP Business Technology Platform alkalmazásba való bejelentkezéshez használt URL-címet. Ez egy védett erőforrás fiókspecifikus URL-címe az SAP Business Technology Platform-alkalmazásban. Az URL-cím a következő mintán alapul:
https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>
Megjegyzés:
Ez az SAP Business Technology Platform-alkalmazás URL-címe, amely megköveteli a felhasználó hitelesítését.
Bejelentkezés URL-címe https://<subdomain>.hanatrial.ondemand.com/<instancename>
https://<subdomain>.hana.ondemand.com/<instancename>
Megjegyzés:
Ezek az értékek nem valósak. Frissítse ezeket az értékeket a tényleges azonosítóval, válasz URL-címmel és bejelentkezési URL-címmel. Lépjen kapcsolatba az SAP Business Technology Platform ügyféltámogatási csapatával a bejelentkezési URL-cím és az azonosító lekéréséhez. A válasz URL-címét a megbízhatósági kezelés szakaszból kaphatja meg, amelyet az oktatóanyag későbbi részében ismertetünk.
Az egyszeri bejelentkezés beállítása SAML-lel lapon, az SAML aláíró tanúsítvány szakaszában kattintson a Letöltés gombra az összevonási metaadatok XML-fájljának letöltéséhez a megadott beállításokból, a követelményeknek megfelelően, és mentse a számítógépre.
Microsoft Entra-tesztfelhasználó létrehozása
Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
- Tallózással keresse meg az Identitásfelhasználók>>minden felhasználót.
- Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
- A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
- A Megjelenítendő név mezőbe írja be a következőt
B.Simon
: - A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . For example,
B.Simon@contoso.com
. - Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
- Select Review + create.
- A Megjelenítendő név mezőbe írja be a következőt
- Select Create.
A Microsoft Entra tesztfelhasználó hozzárendelése
Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon az SAP Business Technology Platformhoz való hozzáférés biztosításával.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>az SAP Business Technology Platformban.
- Az alkalmazás áttekintő lapján válassza a Felhasználók és csoportok lehetőséget.
- Válassza a Felhasználó/csoport hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
- A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listában, majd kattintson a Képernyő alján található Kiválasztás gombra.
- Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
- A Hozzárendelés hozzáadása párbeszédpanelen kattintson a Hozzárendelés gombra.
Az SAP Business Technology Platform egyszeri bejelentkezésének konfigurálása
Egy másik böngészőablakban jelentkezzen be az SAP Business Technology Platform Cockpit
https://account.<landscape host>.ondemand.com/cockpit
webhelyére (például: https://account.hanatrial.ondemand.com/cockpit).Kattintson a Megbízhatóság lapra.
Az Adatvédelmi kezelés szakaszban a Helyi szolgáltató területen hajtsa végre a következő lépéseket:
a. Kattintson a Szerkesztés gombra.
b. Konfigurációtípusként válassza az Egyéni lehetőséget.
c. Helyi szolgáltató neveként hagyja meg az alapértelmezett értéket. Másolja ki ezt az értéket, és illessze be az Azonosító mezőbe az SAP Business Technology Platform Microsoft Entra konfigurációjában.
d. Aláírókulcs és aláírótanúsítvány-kulcspár létrehozásához kattintson a Kulcspár létrehozása elemre.
e. Egyszerű propagálásként válassza a Letiltva lehetőséget.
f. Kényszerített hitelesítésként válassza a Letiltva lehetőséget.
: Kattintson a Mentés gombra.
A helyi szolgáltató beállításainak mentése után hajtsa végre a következőket a Válasz URL-cím lekéréséhez:
a. Töltse le az SAP Business Technology Platform metaadatfájlt a Metaadatok lekérése gombra kattintva.
b. Nyissa meg a letöltött SAP Business Technology Platform metaadat-XML-fájlt, majd keresse meg az ns3:AssertionConsumerService címkét.
c. Másolja ki a Location attribútum értékét, majd illessze be a Válasz URL-mezőbe az SAP Business Technology Platform Microsoft Entra konfigurációjában.
Kattintson a Megbízható identitásszolgáltató fülre, majd a Megbízható identitásszolgáltató hozzáadása parancsra.
Megjegyzés:
A megbízható identitásszolgáltatók listájának kezeléséhez ki kell választania az egyéni konfigurációtípust a Helyi szolgáltató szakaszban. Alapértelmezett konfigurációs típus esetén nem szerkeszthető és implicit megbízhatósági kapcsolattal rendelkezik az SAP ID szolgáltatásban. A Nincs beállításnál nincsenek megbízhatósági beállításai.
Kattintson az Általános fülre, majd a Tallózás gombra a letöltött metaadatfájl feltöltéséhez.
Megjegyzés:
A metaadatfájl feltöltése után a rendszer automatikusan kitölti az egyszeri bejelentkezési URL-címet, az egyszeri kijelentkezési URL-címet és az aláíró tanúsítványt.
Kattintson az Attribútumok fülre.
Az Attribútumok lapon hajtsa végre a következő lépést:
a. Kattintson az Assertion-Based Attribútum hozzáadása elemre, majd adja hozzá a következő helyességi alapú attribútumokat:
Assertion attribútum Egyszerű attribútum http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
utónév http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
vezetéknév http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
e-mail Megjegyzés:
Az attribútumok konfigurációja attól függ, hogy az alkalmazás(ok) hogyan fejlődnek az SCP-n, azaz melyik attribútumot várják el az SAML-válaszban, és milyen néven (egyszerű attribútum) érik el ezt az attribútumot a kódban.
b. A képernyőkép alapértelmezett attribútuma csak illusztrációs célokra szolgál. Nem szükséges, hogy a forgatókönyv működjön.
c. A képernyőképen látható Egyszerű attribútum nevei és értékei az alkalmazás fejlesztésének módjától függenek. Előfordulhat, hogy az alkalmazás különböző leképezéseket igényel.
Igény szerinti csoportok
Választható lépésként konfigurálhat helyességi alapú csoportokat a Microsoft Entra identitásszolgáltatójához.
Az SAP Business Technology Platformon a csoportok használatával dinamikusan hozzárendelhet egy vagy több felhasználót egy vagy több szerepkörhöz az SAP Business Technology Platform-alkalmazásokban, amelyeket az SAML 2.0-s állítás attribútumainak értékei határoznak meg.
Ha például az állítás a "contract=temporary" attribútumot tartalmazza, akkor az összes érintett felhasználót hozzá kell adni az "IDEIGLENES" csoporthoz. Az "IDEIGLENES" csoport egy vagy több szerepkört tartalmazhat az SAP Business Technology Platform-fiókban üzembe helyezett egy vagy több alkalmazásból.
Akkor használjon helyességi alapú csoportokat, ha egyszerre több felhasználót szeretne hozzárendelni egy vagy több alkalmazásszerepkörhöz az SAP Business Technology Platform-fiókjában. Ha csak egy vagy kis számú felhasználót szeretne hozzárendelni adott szerepkörökhöz, javasoljuk, hogy közvetlenül rendelje hozzá őket az SAP Business Technology Platform pilótafülének "Engedélyezések" lapján.
SAP Business Technology Platform tesztfelhasználó létrehozása
Ahhoz, hogy a Microsoft Entra-felhasználók bejelentkezhessenek az SAP Business Technology Platformba, szerepköröket kell hozzárendelnie hozzájuk az SAP Business Technology Platformban.
Ha szerepkört szeretne hozzárendelni egy felhasználóhoz, hajtsa végre a következő lépéseket:
Jelentkezzen be az SAP Business Technology Platform pilótafülkébe.
Tegye a következőket:
a. Kattintson az Engedélyezés gombra.
b. Kattintson a Felhasználók fülre .
c. A Felhasználó szövegmezőbe írja be a felhasználó e-mail-címét.
d. Kattintson a Hozzárendelés gombra a felhasználó szerepkörhöz való hozzárendeléséhez.
e. Kattintson a Mentés gombra.
Egyszeri bejelentkezés tesztelése
Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.
Kattintson az alkalmazás tesztelésére, ez átirányítja az SAP Business Technology Platform bejelentkezési URL-címére, ahol elindíthatja a bejelentkezési folyamatot.
Lépjen közvetlenül az SAP Business Technology Platform bejelentkezési URL-címére, és indítsa el onnan a bejelentkezési folyamatot.
Használhatja a Microsoft Saját alkalmazások. Amikor a Saját alkalmazások az SAP Business Technology Platform csempére kattint, automatikusan be kell jelentkeznie arra az SAP Business Technology Platformra, amelyhez beállította az egyszeri bejelentkezést. A Saját alkalmazások további információ: Bevezetés a Saját alkalmazások.
Következő lépések
Az SAP Business Technology Platform konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.