Oktatóanyag: A Microsoft Entra SSO integrációja az SAP Business Technology Platformmal

Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja az SAP Business Technology Platformot a Microsoft Entra ID-val. Ha integrálja az SAP Business Technology Platformot a Microsoft Entra ID-val, az alábbiakat teheti:

• Szabályozza, hogy ki férhet hozzá az SAP Business Technology Platformhoz a Microsoft Entra ID-n keresztül.
• Lehetővé teszi, hogy a felhasználók automatikusan bejelentkezhessenek az SAP Business Technology Platformba a Microsoft Entra-fiókjukkal.
• A fiókokat egy központi helyen kezelheti.

Előfeltételek

Első lépésként a következő elemekre van szüksége:

• Microsoft Entra-előfizetés. Ha nem rendelkezik előfizetéssel, szerezhet egy ingyenes fiókot.
• Az SAP Business Technology Platform egyszeri bejelentkezésre (SSO) engedélyezett előfizetése.

Fontos

Az egyszeri bejelentkezés teszteléséhez saját alkalmazást kell üzembe helyeznie, vagy elő kell iratkoznia egy alkalmazásra az SAP Business Technology Platform-fiókjában. Ebben az oktatóanyagban egy alkalmazás lesz üzembe helyezve a fiókban.

Forgatókönyv leírása

Ebben az oktatóanyagban a Microsoft Entra egyszeri bejelentkezését konfigurálja és teszteli tesztkörnyezetben.

• Az SAP Business Technology Platform támogatja SP által kezdeményezett egyszeri bejelentkezést.

SAP Business Technology Platform hozzáadása a galériából

Az SAP Business Technology Platform Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az SAP Business Technology Platformot a katalógusból a felügyelt SaaS-alkalmazások listájához.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba, legalább felhőalkalmazás-rendszergazdai.
2. Keresse meg Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
3. A Hozzáadás a katalógusból szakaszban írja be a SAP Business Technology Platform a keresőmezőbe.
4. Válassza SAP Business Technology Platform az eredménypanelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Ezen kívül használhatja a Vállalati alkalmazáskonfiguráció varázslótis. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése az SAP Business Technology Platformhoz

A Microsoft Entra SSO konfigurálása és tesztelése az SAP Business Technology Platformmal egy B.Simonnevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az SAP Business Technology Platformon.

A Microsoft Entra SSO sap business technology platformmal való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:

1. A Microsoft Entra SSO konfigurálása – a felhasználók számára a funkció engedélyezéséhez.
   1. Microsoft Entra tesztfelhasználói létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez Britta Simonnal.
   2. A Microsoft Entra tesztfelhasználó hozzárendelése – annak érdekében, hogy Britta Simon használhassa a Microsoft Entra egyszeri bejelentkezési lehetőséget.
2. Sap Business Technology Platform SSO- konfigurálása – az egyszeri Sign-On beállításainak konfigurálásához az alkalmazás oldalán.
   1. SAP Business Technology Platform tesztfelhasználó létrehozása – hogy a Microsoft Entra felhasználói reprezentációjához kapcsolódó SAP Business Technology Platformban Britta Simon megfelelőjét létrehozhassák.
3. SSO- tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba, legalább felhőalkalmazás-rendszergazdai.

2. Keresse meg Identity>Applications>Enterprise applications>SAP Business Technology Platform>Egyszeri bejelentkezés.

3. A Egyetlen bejelentkezési módszer kiválasztása lapon válassza SAMLlehetőséget.

4. Az Egyszeri bejelentkezés beállítása SAML- lapon kattintson az egyszerű SAML-konfigurációs ceruzaikonra a beállítások szerkesztéséhez.

   szerkesztése

5. Az Egyszerű SAML-konfiguráció szakaszban adja meg a következő mezők értékeit:

   a. A Azonosító szövegmezőben írja be az SAP Business Technology Platform URL típusát az alábbi minták egyikével:

   azonosító
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. A Válasz URL-cím szövegmezőbe írjon be egy URL-címet az alábbi minták egyikével:

   Válasz URL-cím
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. A Bejelentkezési URL-cím szövegmezőbe írja be a felhasználók által a SAP Business Technology Platform alkalmazásba való bejelentkezéshez használt URL-címet. Ez egy védett erőforrás fiókspecifikus URL-címe az SAP Business Technology Platform-alkalmazásban. Az URL-cím a következő mintán alapul: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Jegyzet

   Ez az SAP Business Technology Platform-alkalmazás URL-címe, amely megköveteli a felhasználó hitelesítését.

   bejelentkezési URL
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Jegyzet

   Ezek az értékek nem valósak. Frissítse ezeket az értékeket a tényleges azonosítóval, válasz URL-címmel és bejelentkezési URL-címmel. Lépjen kapcsolatba SAP Business Technology Platform ügyféltámogatási csapatával Sign-On URL-cím és azonosító lekéréséhez. A válasz URL-címét a megbízhatósági kezelés szakaszból kaphatja meg, amelyet az oktatóanyag későbbi részében ismertetünk.

6. Az Egyszeri bejelentkezés Sign-On beállítása a SAML- lapon, a SAML aláíró tanúsítvány szakaszban kattintson a Letöltés elemre a Szövetségi metaadatok XML- fájl letöltéséhez a megadott beállítások közül, és mentse számítógépére.

   

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba, legalább felhasználói rendszergazdaként.
2. Lépjen a(z) Identitás>Felhasználók>Minden felhasználóoldalra.
3. Válasszon az alábbi lehetőségek közül: Új felhasználó>Felhasználó létrehozásaa képernyő tetején.
4. A Felhasználói tulajdonságai között kövesse az alábbi lépéseket:
   1. A Megjelenítendő név mezőben adja meg a B.Simon.
   2. A Felhasználói főnév mezőbe írja be a username@companydomain.extension-t. Például B.Simon@contoso.com.
   3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
   4. Válassza Véleményezés + létrehozáslehetőséget.
5. Válassza , majd hozzon létre-t.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon az SAP Business Technology Platformhoz való hozzáférés biztosításával.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább mint egy felhőalkalmazás-rendszergazda.
2. Keresse meg Identitás>-alkalmazások>nagyvállalati alkalmazásokat>SAP Business Technology Platform.
3. Az alkalmazás áttekintő lapján válassza Felhasználók és csoportoklehetőséget.
4. Válassza a Felhasználó/csoport hozzáadásalehetőséget, majd válassza Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
   1. A Felhasználók és csoportok párbeszédpanelen válassza B.Simon a Felhasználók listából, majd kattintson a képernyő alján található Kijelölés gombra.
   2. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
   3. A Feladat hozzáadása párbeszédpanelen kattintson a Feladat kiosztása gombra.

Az SAP Business Technology Platform egyszeri bejelentkezésének konfigurálása

1. Egy másik böngészőablakban jelentkezzen be az SAP Business Technology Platform vezérlőpultjára https://account.<landscape host>.ondemand.com/cockpit(például: https://account.hanatrial.ondemand.com/cockpit).

2. Kattintson a Megbízhatóság fülre.

   

3. Az Adatvédelmi kezelés szakaszban, a Helyi szolgáltatóterületen hajtsa végre a következő lépéseket:

   

   egy. Kattintson a Szerkesztésgombra.

   b. Konfigurációtípuselemként válassza Egyénilehetőséget.

   c. Mint helyi szolgáltató neve , hagyja meg az alapértelmezett értéket. Másolja ki ezt az értéket, és illessze be a Azonosító mezőbe az SAP Business Technology Platform Microsoft Entra konfigurációjában.

   d. aláírókulcs- és aláíró tanúsítvány kulcspár létrehozásához kattintson a Kulcspár létrehozásaelemre.

   e. Mint Fő propagálásimódszert, válassza a Letiltottlehetőséget.

   f. A Hitelesítés kényszerítése, válassza a Letiltvalehetőséget.

   g. Kattintson a Mentésgombra.

4. A helyi szolgáltató beállításainak mentése után hajtsa végre a következőket a Válasz URL-cím lekéréséhez:

   

   egy. Töltse le az SAP Business Technology Platform metaadatfájlt a Metaadatok lekérésegombra kattintva.

   b. Nyissa meg a letöltött SAP Business Technology Platform metaadat-XML-fájlt, majd keresse meg a ns3:AssertionConsumerService címkét.

   c. Másolja ki a Hely attribútum értékét, majd illessze be a Válasz URL-cím mezőbe az SAP Business Technology Platform Microsoft Entra konfigurációjában.

5. Kattintson a Megbízható identitásszolgáltató fülre, majd a Megbízható identitásszolgáltató hozzáadásagombra.

   

   Jegyzet

   A megbízható identitásszolgáltatók listájának kezeléséhez ki kell választania az egyéni konfigurációtípust a Helyi szolgáltató szakaszban. Alapértelmezett konfigurációs típus esetén az SAP ID szolgáltatásban van egy nem szerkeszthető és implicit megbízhatósági kapcsolat. A Nincs beállításnál nincsenek megbízhatósági beállításai.

6. Kattintson az Általános fülre, majd a letöltött metaadatfájl feltöltéséhez kattintson a Tallózás elemre.

   

   Jegyzet

   A metaadatfájl feltöltése után a rendszer automatikusan kitölti egyszeri bejelentkezési URL-, egyszeri kijelentkezési URL-és aláíró tanúsítvány értékeit.

7. Kattintson a Attribútumok fülre.

8. Az Attribútumok lapon hajtsa végre a következő lépést:

   

   egy. Kattintson a Hozzáadás gombra, majd az Assertion-Based Attribútumgombra, és adja hozzá a következő állítás alapú attribútumokat:

   Állítás attribútum	Fő attribútum
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	utónév
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	vezetéknév
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	e-mail

   Jegyzet

   Az attribútumok konfigurációja attól függ, hogy az alkalmazás(ok) hogyan fejlődnek az SCP-n, azaz melyik attribútumot várják el az SAML-válaszban, és milyen néven (egyszerű attribútum) érik el ezt az attribútumot a kódban.

   b. A képernyőképen látható alapértelmezett attribútum csak illusztrációs célokra szolgál. Nem szükséges, hogy a forgatókönyv működjön.

   c. A képernyőképen látható Egyszerű attribútum neve és értékei az alkalmazás fejlesztésének módjától függenek. Előfordulhat, hogy az alkalmazás különböző leképezéseket igényel.

Állításon alapuló csoportok

Választható lépésként konfigurálhat helyességi alapú csoportokat a Microsoft Entra identitásszolgáltatójához.

Az SAP Business Technology Platformon a csoportok használatával dinamikusan hozzárendelhet egy vagy több felhasználót egy vagy több szerepkörhöz az SAP Business Technology Platform-alkalmazásokban, amelyeket az SAML 2.0-s állítás attribútumainak értékei határoznak meg.

Ha például az állítás a "contract=ideiglenes" attribútumot tartalmazza, akkor az összes érintett felhasználót hozzá kell adni a csoporthoz"IDEIGLENES". Az "IDEIGLENES" csoport egy vagy több szerepkört tartalmazhat az SAP Business Technology Platform-fiókban üzembe helyezett egy vagy több alkalmazásból.

Akkor használjon helyességi alapú csoportokat, ha egyszerre több felhasználót szeretne hozzárendelni egy vagy több alkalmazásszerepkörhöz az SAP Business Technology Platform-fiókjában. Ha csak egy vagy kis számú felhasználót szeretne hozzárendelni adott szerepkörökhöz, javasoljuk, hogy közvetlenül rendelje hozzá őket az SAP Business Technology Platform pilótafülének "Engedélyezések" lapján.

SAP Business Technology Platform tesztfelhasználó létrehozása

Ahhoz, hogy a Microsoft Entra-felhasználók bejelentkezhessenek az SAP Business Technology Platformba, szerepköröket kell hozzárendelnie hozzájuk az SAP Business Technology Platformban.

Szerepkör felhasználóhoz rendeléséhez hajtsa végre a következő lépéseket:

1. Jelentkezzen be a SAP Business Technology Platform vezérlőpultjára.

2. Hajtsa végre a következőket:

   

   a. Kattintson az engedélyezés gombra .

   b. Kattintson a Felhasználók fülre.

   c. A Felhasználó szövegmezőbe írja be a felhasználó e-mail-címét.

   d. Kattintson hozzárendelése gombra a felhasználó szerepkörhöz való hozzárendeléséhez.

   e. Kattintson a Mentésgombra.

Egyszeri bejelentkezés tesztelése

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

• Kattintson az Az alkalmazás teszteléseelemre, ez átirányítja az SAP Business Technology Platform bejelentkezési URL-címére, ahol elindíthatja a bejelentkezési folyamatot.

• Lépjen közvetlenül az SAP Business Technology Platform bejelentkezési URL-címére, és indítsa el onnan a bejelentkezési folyamatot.

• Használhatja a Microsoft My Apps alkalmazást. Amikor a Saját alkalmazásokban az SAP Business Technology Platform csempére kattint, automatikusan be kell jelentkeznie arra az SAP Business Technology Platformra, amelyhez beállította az egyszeri bejelentkezést. További információ a Saját alkalmazásokról: Bevezetés a Saját alkalmazásokhoz.

Következő lépések

• Az SAP Business Technology Platform konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti ki a munkamenet-vezérlést a Microsoft Defender for Cloud Apps.
• SAP BTP-alkalmazásokhoz való hozzáférés kezelése csoportokon keresztül