Az Microsoft Entra azonosító, az Azure API Management és az SAP beállítása egyszeri bejelentkezéshez az SAP OData-összekötőből

Beállíthatja az SAP OData-összekötőt Power Platform , hogy azonosító hitelesítő adatokat használjon Microsoft Entra az SAP-be való egyszeri bejelentkezéshez (SSO). Ez lehetővé teszi a felhasználók számára, hogy anélkül férjenek hozzá az SAP-adatokhoz a megoldásokban Power Platform , hogy többször be kellene jelentkezniük több szolgáltatásba, miközben tiszteletben tartják az SAP-ben való jogosultságaikat és hozzárendelt szerepköreiket.

Ez a cikk végigvezeti a folyamaton, beleértve az SAP és Microsoft Entra az ID közötti megbízhatósági kapcsolat beállítását, valamint az Azure API Management konfigurálását az azonosító Microsoft Entra jogkivonat SAML-jogkivonattá alakításához OAuth , amely OData-hívások SAP-hívására szolgál.

További betekintést és kontextust is kaphat a beállítási folyamatba a blogbejegyzésben,Hurrá ! Az SAP OData-összekötő mostantól támogatja az OAuth2 és az SAP-egyszerű propagálást.

Előfeltételek

• SAP-példány
• Azure API Management-erőforrás

Helyi szolgáltató SAML-metaadatainak letöltése az SAP-ból

Ha megbízhatósági kapcsolatot szeretne beállítani az SAP és Microsoft Entra az ID között az SAML 2.0 használatával, először töltse le a metaadatok xml-fájlját az SAP-ből.

Hajtsa végre ezeket a lépéseket SAP Basis rendszergazdaként az SAP grafikus felhasználói felületen.

1. Az SAP grafikus felhasználói felületén futtassa az SAML2 tranzakciót a megfelelő SAP-ügyfélfüggő varázsló megnyitásához, és válassza a Helyi szolgáltató lapot.

2. Válassza a Metaadatok, majd a Metaadatok letöltése lehetőséget. Egy későbbi lépésben feltölti az SAP SAML-metaadatokat az azonosítóba Microsoft Entra .

3. Jegyezze fel az URI-kompatibilis szolgáltató nevét.

Feljegyzés

Microsoft Entra Az azonosítóhoz ennek az értéknek URI-kompatibilisnek kell lennie. Ha a szolgáltató neve már be van állítva, és nem URI-kompatibilis, ne módosítsa anélkül, hogy először konzultálna az SAP Basis csapatával. A szolgáltató nevének módosítása megszakíthatja a meglévő SAML-konfigurációkat. A módosítás lépései túlmutatnak a cikk keretein. Útmutatásért forduljon az SAML Basis csapatához.

További információért tekintse meg az SAP hivatalos dokumentációját .

SAP-metaadatok importálása az azonosító vállalati alkalmazásba Microsoft Entra

Hajtsa végre ezeket a lépéseket azonosító-rendszergazdaként Microsoft Entra a Azure Portal.

1. Válassza az ID Enterprise alkalmazások Microsoft Entra lehetőséget>.

2. Válassza az Új alkalmazás lehetőséget.

3. Keressen rá az SAP Netweaver kifejezésre.

4. Adjon nevet a vállalati alkalmazásnak, majd válassza a Létrehozás lehetőséget .

5. Lépjen az Egyszeri bejelentkezés elemre , és válassza az SAML lehetőséget .

6. Válassza a Metaadatfájl feltöltése lehetőséget , és válassza ki az SAP-ból letöltött metaadatfájlt.

7. Válassza a Hozzáadás lehetőséget.

8. Módosítsa a válasz URL-címét (helyességi feltétel fogyasztói szolgáltatás URL-címét) az SAP-jogkivonat OAuth végpontjára. Az URL-cím a formátumban https://<SAP server>:<port>/sap/bc/sec/oauth2/token van.

9. Módosítsa a bejelentkezési URL-címet egy URI-kompatibilis értékre. Ez a paraméter nincs használatban, és bármilyen URI-kompatibilis értékre beállítható.

10. Válassza a Mentés parancsot.

11. Az Attribútumok és jogcímek alattválassza a Szerkesztés lehetőséget .

12. Győződjön meg arról, hogy a jogcím neve egyedi felhasználói azonosítója (névazonosítója) user.userprincipalname [nameid=format:emailAddress] értékre van állítva.

13. Az SAML-tanúsítványok alattválassza a Letöltés tanúsítványhoz (Base64) és az Összevonási metaadatok XML-hez lehetőséget.

Azonosító konfigurálása Microsoft Entra megbízható identitásszolgáltatóként a OAuth 2.0-s SAP-ben

1. Kövesse az Microsoft Entra SAP NetWeaver és az OAuth2 azonosítódokumentációjában ismertetett lépéseket.

2. Térjen vissza ehhez a cikkhez, miután létrehozta az OAuth2-ügyfelet az SAP-ben.

További részletekért tekintse meg az SAP hivatalos dokumentációját az SAP NETWEAVER-ről . Vegye figyelembe, hogy az információk eléréséhez SAP-rendszergazdának kell lennie.

Az Azure API Management-erőforrást képviselő azonosító alkalmazás létrehozása Microsoft Entra

Állítson be egy Microsoft Entra azonosító alkalmazást, amely hozzáférést biztosít az Microsoft Power Platform SAP OData-összekötőhöz. Ez az alkalmazás lehetővé teszi, hogy egy Azure API Management-erőforrás jogkivonatokat SAML-jogkivonatokká alakítson OAuth .

Kövesse ezeket a lépéseket azonosító-rendszergazdaként Microsoft Entra a Azure Portal.

1. Válassza az Alkalmazásregisztrációk azonosítója Microsoft Entra >Új regisztráció> lehetőséget.

2. Adjon meg egy nevet, majd válassza a Regisztráció lehetőséget.

3. Válassza a Tanúsítványok és titkos kulcsok Új titkos ügyfélkód > lehetőséget.

4. Adjon meg egy leírást , majd válassza a Hozzáadás lehetőséget.

5. Másolja és mentse el ezt a titkot egy biztonságos helyre.

6. Kattintson az API-engedélyek>Engedély hozzáadása lehetőségre.

7. Válassza a Microsoft Graph delegált engedélyek> lehetőséget.

8. Keresse meg és válassza ki az openid elemet.

9. Jelölje be az Engedélyek hozzáadása lehetőséget.

10. Válassza a Hitelesítés>Platformwebet> hozzáadva.

11. Állítsa az Átirányítási URI-kat erre. https://localhost:44326/signin-oidc

12. Válassza a Hozzáférési jogkivonatok és azonosító jogkivonatok lehetőséget, majd válassza a Konfigurálás lehetőséget.

13. Válassza az API elérhetővé tétele lehetőséget.

14. Az Alkalmazásazonosító URI mellett válassza a Hozzáadás lehetőséget.

15. Fogadja el az alapértelmezett értéket , és válassza a Mentés lehetőséget.

16. Válassza a Hatókör hozzáadása lehetőséget.

17. Állítsa a Hatókör nevét user_impersonation értékre .

18. Állítsa be a Ki járulhat hozzá? a rendszergazdák és a felhasználók számára .

19. Válassza a Hatókör hozzáadása lehetőséget.

20. Másolja ki az Alkalmazás (ügyfél) azonosítót.

Az Azure API Management-erőforrás engedélyezése az SAP Netweaver eléréséhez az Microsoft Entra azonosító vállalati alkalmazás használatával

1. Az Microsoft Entra azonosító vállalati alkalmazás létrehozásakor létrehoz egy megfelelő alkalmazásregisztrációt. Keresse meg az SAP NetWeaverhez létrehozott vállalati azonosító alkalmazásnak megfelelő alkalmazásregisztrációt Microsoft Entra .

2. Válassza az API elérhetővé tétele Ügyfélalkalmazás> hozzáadása lehetőséget.

3. Illessze be az Azure API Management-példány azonosító alkalmazásregisztrációjának alkalmazásazonosítóját Microsoft Entra az ügyfél-azonosítóba.

4. Válassza ki a user_impersonation hatókört , majd válassza az Alkalmazás hozzáadása lehetőséget .

Az SAP OData-összekötő engedélyezése Microsoft Power Platform az Azure API Management által elérhetővé tett API-k eléréséhez

1. Microsoft Entra Az Azure API Management azonosító alkalmazásregisztrációjában válassza az API elérhetővé tétele lehetőséget Adja> hozzá az Power Platform SAP OData-összekötő 6bee4d13-fd19-43de-b82c-4b6401d174c3 ügyfélazonosítóját az engedélyezett ügyfélalkalmazások alatt.

2. Válassza ki a hatókör user_impersonation , majd válassza a Mentés lehetőséget.

Az SAP konfigurálása OAuth

Hozzon létre egy OAuth 2.0-s ügyfelet az SAP-ben, amely lehetővé teszi, hogy az Azure API Management jogkivonatokat szerezzen be a felhasználók nevében.

A részleteket lásd az SAP hivatalos dokumentációjában .

Hajtsa végre ezeket a lépéseket SAP Basis rendszergazdaként az SAP grafikus felhasználói felületen.

1. Futtassa a tranzakciót SOAUTH2.

2. Válassza a Létrehozás parancsot.

3. Az Ügyfél-azonosító lapon:

   • A 2.0-s ügyfél-azonosító OAuth mezőbenválasszon ki egy SAP-rendszerfelhasználót.
   • Adjon meg egy leírást, majd kattintson a Tovább gombra.

4. Az Ügyfél-hitelesítés lapon válassza a Tovább gombot .

5. A Engedélyezési típus beállításai lapon:

   • A Megbízható 2.0 identitásszolgáltató mezőben OAuth válassza ki az azonosító bejegyzést. Microsoft Entra
   • Válassza az Engedélyezett frissítés, majd a Tovább lehetőséget.

6. A Hatókör-hozzárendelés lapon válassza a Hozzáadás lehetőséget, válassza ki az Azure API Management által használt OData-szolgáltatásokat (például ZAPI_BUSINESS_PARTNER_0001), majd kattintson a Tovább gombra.

7. Válassza a Befejezés lehetőséget.

Az Azure API Management konfigurálása

Importálja az SAP OData XML-metaadatokat az Azure API Management-példányba. Ezután alkalmazzon egy Azure API Management szabályzatot a jogkivonatok konvertálásához.

1. Nyissa meg az Azure API Management-példányt, és kövesse az SAP OData API létrehozásához szükséges lépéseket .

2. Az API-k alattválassza a Nevesített értékek lehetőséget.

3. Adja hozzá a következő kulcs/érték párokat:

Key	Érték
AADSAPResource	SAP helyi szolgáltató URI
AADTenantId	A bérlő GUID azonosítója
APIMAADRegisteredAppClientId	Microsoft Entra Azonosító alkalmazás GUID azonosítója
APIMAADRegisteredAppClientSecret	Titkos ügyfélkód a korábbi lépésből
SAPOAuthClientID	SAP rendszerfelhasználó
SAPOAuthClientSecret	SAP rendszer felhasználói jelszava
SAPOAuthRefreshExpiration	Jogkivonat-frissítés lejárata
SAPOAuthScope	Az SAP-konfiguráció OAuth során kiválasztott OData-hatókörök
SAPOAuthServerAddressForTokenEndpoint	SAP-végpont az Azure API Management meghívásához a jogkivonat-beszerzés végrehajtásához

Feljegyzés

Vegye figyelembe, hogy az SAP SuccessFactors beállításai kissé eltérnek. További információ: Azure API Management szabályzat az SAP SuccessFactorshoz.

Az Azure API Management jogkivonat-szabályzatának alkalmazása

Az Azure API Management szabályzatokkal konvertálhatja az Microsoft Entra azonosító által kiadott jogkivonatot az SAP NetWeaver által elfogadott jogkivonatra. Ez az OAuth2SAMLBearer folyamat használatával történik. További információért tekintse meg az SAP hivatalos dokumentációját .

1. Másolja ki az Azure API Management szabályzatot a Microsoft hivatalos GitHub-oldaláról.

2. Nyissa meg a Azure Portal.

3. Nyissa meg az Azure API Management erőforrást.

4. Válassza az API-k lehetőséget, majd válassza ki a létrehozott OData API-t.

5. Válassza a Minden művelet lehetőséget.

6. A Bejövő feldolgozás alatt válassza aSzabályzatok /lehetőséget <>.

7. Törölje a meglévő szabályzatot , és illessze be a másolt szabályzatot.

8. Válassza a Mentés parancsot.

Kapcsolódó tartalom

• SAP OData-összekötő
• Az SAP OData-összekötő mostantól támogatja az OAuth2 és az SAP rendszerbiztonsági tag propagálását | Power Automate közösségi blog
• Azure API Management szabályzat az SAP SuccessFactorshoz | GitHub
• SAP OData-összekötő az SAP SuccessFactorshoz | SAP közösségi blog
• Az SAP Business Accelerator Hub a SuccessFactors és a NetWeaver SAP-integrációs csomagra vonatkozó szabályzatához kapcsolódó tartalmakat is kínál. A tartalom eléréséhez SAP-fiókkal kell rendelkeznie.