Tutorial: Integrasi Akses Menyeluruh (SSO) Microsoft Entra dengan SAP NetWeaver
Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan SAP NetWeaver dengan MICROSOFT Entra ID. Saat mengintegrasikan SAP NetWeaver dengan MICROSOFT Entra ID, Anda dapat:
- Mengontrol microsoft Entra ID yang memiliki akses ke SAP NetWeaver.
- Memungkinkan pengguna Anda untuk masuk secara otomatis ke SAP NetWeaver dengan akun Microsoft Entra mereka.
- Kelola akun Anda di satu lokasi pusat.
Prasyarat
Untuk memulai, Anda membutuhkan item berikut:
- Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
- Langganan akses menyeluruh SAP NetWeaver yang diaktifkan.
- SAP NetWeaver V7.20 diperlukan setidaknya
Deskripsi Skenario
- SAP NetWeaver mendukung SAML (SSO yang diinisiasi SP) dan OAuth. Dalam tutorial ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.
Catatan
Pengidentifikasi aplikasi ini adalah nilai untai tetap, sehingga hanya satu instans yang dapat dikonfigurasi dalam satu penyewa.
Catatan
Konfigurasikan aplikasi baik di SAML atau di OAuth sesuai kebutuhan organisasi Anda.
Menambahkan SAP NetWeaver dari galeri
Untuk mengonfigurasi integrasi SAP NetWeaver ke microsoft Entra ID, Anda perlu menambahkan SAP NetWeaver dari galeri ke daftar aplikasi SaaS terkelola Anda.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
- Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
- Di bagian Tambahkan dari galeri, ketik SAP NetWeaver di kotak pencarian.
- Pilih SAP NetWeaver dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.
Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.
Mengonfigurasi dan menguji Microsoft Entra SSO untuk SAP NetWeaver
Konfigurasikan dan uji SSO Microsoft Entra dengan SAP NetWeaver menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di SAP NetWeaver.
Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan SAP NetWeaver, lakukan langkah-langkah berikut:
- Konfigurasikan SSO Microsoft Entra untuk memungkinkan pengguna Anda menggunakan fitur ini.
- Buat pengguna uji Microsoft Entra untuk menguji akses menyeluruh Microsoft Entra dengan B.Simon.
- Tetapkan pengguna uji Microsoft Entra untuk mengaktifkan B.Simon untuk menggunakan akses menyeluruh Microsoft Entra.
- Konfigurasikan SAP NetWeaver menggunakan SAML untuk mengonfigurasi pengaturan SSO di sisi aplikasi.
- Buat pengguna uji SAP NetWeaver untuk memiliki mitra B.Simon di SAP NetWeaver yang ditautkan ke representasi Microsoft Entra pengguna.
- Uji SSO untuk memverifikasi apakah konfigurasi berfungsi.
- Konfigurasikan SAP NetWeaver untuk OAuth untuk mengonfigurasi pengaturan OAuth di sisi aplikasi.
Mengonfigurasi SSO Microsoft Entra
Di bagian ini, Anda mengaktifkan akses menyeluruh Microsoft Entra.
Untuk mengonfigurasi akses menyeluruh Microsoft Entra dengan SAP NetWeaver, lakukan langkah-langkah berikut:
Buka jendela browser web baru dan masuk ke situs perusahaan SAP NetWeaver Anda sebagai administrator
Pastikan bahwa layanan httpdan https aktif dan port yang sesuai ditetapkan dalam SMICM T-Code.
Masuk ke klien bisnis SAP System (T01), tempat SSO diperlukan dan mengaktifkan Manajemen sesi Keamanan HTTP.
Buka Kode transaksi SICF_SESSIONS. Ini menampilkan semua parameter profil yang relevan dengan nilai saat ini. Mereka terlihat seperti di bawah ini:-
login/create_sso2_ticket = 2 login/accept_sso2_ticket = 1 login/ticketcache_entries_max = 1000 login/ticketcache_off = 0 login/ticket_only_by_https = 0 icf/set_HTTPonly_flag_on_cookies = 3 icf/user_recheck = 0 http/security_session_timeout = 1800 http/security_context_cache_size = 2500 rdisp/plugin_auto_logout = 1800 rdisp/autothtime = 60
Catatan
Sesuaikan parameter di atas sesuai persyaratan organisasi Anda, Parameter di atas diberikan di sini sebagai indikasi saja.
Jika perlu sesuaikan parameter, di instance/default profil sistem SAP dan restart sistem SAP.
Klik dua kali pada klien yang relevan untuk mengaktifkan sesi keamanan HTTP.
Aktifkan di bawah layanan SICF:
/sap/public/bc/sec/saml2 /sap/public/bc/sec/cdc_ext_service /sap/bc/webdynpro/sap/saml2 /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
Buka Kode transaksi SAML2 di klien bisnis sistem SAP [T01/122]. Ini akan membuka antarmuka pengguna di browser. Dalam contoh ini, kami menganggap 122 sebagai klien bisnis SAP.
Berikan nama pengguna dan kata sandi Anda untuk masuk di antarmuka pengguna dan klik Edit.
Ganti Nama Penyedia dari T01122 ke dan klik
http://T01122
Simpan.Catatan
Secara default nama penyedia datang sebagai
<sid><client>
format tetapi MICROSOFT Entra ID mengharapkan nama dalam format<protocol>://<name>
, merekomendasikan untuk mempertahankan nama penyedia untukhttps://<sid><client>
memungkinkan beberapa mesin ABAP SAP NetWeaver untuk dikonfigurasi di ID Microsoft Entra.Menghasilkan Metadata Penyedia Layanan:- Setelah kami selesai mengonfigurasi pengaturan Penyedia Lokal danPenyedia Tepercaya pada Antarmuka Pengguna SAML 2.0, langkah selanjutnya adalah menghasilkan file metadata penyedia layanan (yang akan berisi semua pengaturan, konteks autentikasi, dan konfigurasi lainnya di SAP). Setelah file ini dibuat, kita perlu mengunggahnya di ID Microsoft Entra.
Masuk ke tab Penyedia Lokal.
Klik Metadata.
Simpan file XML Metadata yang dihasilkan di komputer Anda dan unggah di bagian Konfigurasi SAML Dasar untuk mempopulerkan otomatis nilai Pengidentifikasidan URL Balasan di portal Microsoft Azure.
Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
Telusuri ke halaman integrasi aplikasi>Identity>Applications>Enterprise SAP NetWeaver, temukan bagian Kelola dan pilih Akses menyeluruh.
Di halaman Pilih metode Single sign-on, pilih SAML.
Di halaman Menyiapkan akses menyeluruh dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.
Pada bagian Konfigurasi SAML Dasar, jika Anda ingin mengonfigurasi aplikasi dalam mode yang diinisiasi IDP, lakukan langkah berikut:
Klik Unggah file metadata untuk mengunggah file metadata Penyedia Layanan, yang telah Anda peroleh sebelumnya.
Klik logo folder untuk memilih file metadata dan klik Unggah.
Setelah file metadata berhasil diunggah, nilai Pengidentifikasi dan URL Balasan diisi secara otomatis di kotak teks bagian Konfigurasi SAML Dasar seperti yang ditunjukkan di bawah ini:
Di kotak teks URL Masuk, ketik URL menggunakan pola berikut:
https://<your company instance of SAP NetWeaver>
Catatan
Beberapa pelanggan mengalami kesalahan URL Balasan yang salah yang dikonfigurasi untuk instans mereka. Jika Anda menerima kesalahan tersebut, gunakan perintah PowerShell ini. Pertama-tama perbarui URL Balasan di objek aplikasi dengan URL Balasan, lalu perbarui perwakilan layanan. Gunakan Get-MgServicePrincipal untuk mendapatkan nilai ID Perwakilan Layanan.
$params = @{ web = @{ redirectUris = "<Your Correct Reply URL>" } } Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
Aplikasi SAP NetWeaver mengharapkan pernyataan SAML dalam format tertentu, yang mengharuskan Anda untuk menambahkan pemetaan atribut kustom ke konfigurasi atribut token SAML Anda. Cuplikan layar berikut menampilkan daftar atribut default. Klik ikon Edit untuk buka dialog Atribut Pengguna.
Di bagian Klaim Pengguna pada dialog Atribut Pengguna, konfigurasikan atribut token SAML seperti yang ditunjukkan pada gambar di atas dan lakukan langkah-langkah berikut:
Klik ikon Edit untuk membuka dialog Kelola klaim pengguna.
Dari daftar Transformasi, pilih ExtractMailPrefix().
Dari daftar Parameter 1, pilih user.userprincipalname.
Klik Simpan.
Di halaman Siapkan Akses Menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, temukan XML Metadata Federasi dan pilih Unduh untuk mengunduh sertifikat dan menyimpannya di komputer Anda.
Pada bagian Siapkan SAP NetWeaver, salin URL yang sesuai berdasarkan kebutuhan Anda.
Membuat pengguna uji Microsoft Entra
Di bagian ini, Anda akan membuat pengguna uji bernama B.Simon.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
- Telusuri ke Pengguna>Identitas>Semua pengguna.
- Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
- Di properti Pengguna, ikuti langkah-langkah berikut:
- Di bidang Nama tampilan, masukkan
B.Simon
. - Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya:
B.Simon@contoso.com
- Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
- Pilih Tinjau + buat.
- Di bidang Nama tampilan, masukkan
- Pilih Buat.
Menetapkan pengguna uji Microsoft Entra
Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh dengan memberikan akses ke SAP NetWeaver.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
- Telusuri aplikasi >Identity>Applications>Enterprise SAP NetWeaver.
- Di halaman ringkasan aplikasi, temukan bagian Kelola lalu pilih Pengguna dan grup.
- Pilih Tambahkan pengguna, lalu pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
- Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar. Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" yang dipilih.
- Dalam dialog Tambah Penugasan, klik tombol Tetapkan.
Mengonfigurasi SAP NetWeaver menggunakan SAML
Masuk ke sistem SAP dan masuk ke kode transaksi SAML2. Ini membuka jendela browser baru dengan layar konfigurasi SAML.
Untuk mengonfigurasi Titik akhir untuk Penyedia Identitas tepercaya (ID Microsoft Entra) buka tab Penyedia Tepercaya.
Tekan Tambahkan dan pilih Unggah File Metadata dari menu konteks.
Unggah file metadata, yang telah Anda unduh.
Di layar berikutnya ketik nama Alias. Misalnya, aadsts dan tekan Next untuk melanjutkan.
Pastikan bahwa Algoritma Digest Anda harus SHA-256 dan tidak memerlukan perubahan apa pun dan tekan Berikutnya.
Pada Titik Akhir Akses Menyeluruh, gunakan HTTP POST dan klik Berikutnya untuk melanjutkan.
Pada Titik Akhir Logout Tunggal pilihHTTPRedirect dan klik Berikutnya untuk melanjutkan.
Pada Titik Akhir Artefak, tekan Berikutnya untuk melanjutkan.
Pada Persyaratan Autentikasi, klik Selesai.
Buka tab Federasi Identitas Penyedia>Tepercaya (dari bawah layar). Klik Edit.
Klik Tambahkan di bawah tab Federasi Identitas (jendela bawah).
Dari jendela pop-up, pilih Tidak Ditentukan dari format NAMEID yang Didukung dan klik OK.
Berikan nilai Sumber ID Pengguna sebagai Atribut Pernyataan, nilai mode pemetaan ID Pengguna sebagai Email dan Nama Atribut Pernyataan sebagai
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
.Perhatikan bahwa nilai mode pemetaan Sumber ID Pengguna dan ID Pengguna menentukan tautan antara pengguna SAP dan klaim Microsoft Entra.
Skenario: Pengguna SAP ke pemetaan pengguna Microsoft Entra.
NameID memerinci cuplikan layar dari SAP.
Cuplikan layar yang menyebutkan Klaim yang diperlukan dari ID Microsoft Entra.
Skenario: Pilih ID pengguna SAP berdasarkan alamat email yang dikonfigurasi di SU01. Dalam hal ini ID email harus dikonfigurasi di su01 untuk setiap pengguna yang memerlukan SSO.
NameID memerinci cuplikan layar dari SAP.
cuplikan layar menyebutkan Klaim yang diperlukan dari ID Microsoft Entra.
Klik Simpan lalu klik Aktifkan untuk mengaktifkan penyedia identitas.
Klik OK setelah diminta.
Membuat pengguna uji SAP NetWeaver
Pada bagian ini, Anda membuat pengguna bernama B.simon di SAP NetWeaver. Harap bekerja tim ahli SAP di rumah Anda atau bekerja dengan mitra SAP organisasi Anda untuk menambahkan pengguna di platform SAP NetWeaver.
Menguji akses menyeluruh
Setelah ID Microsoft Entra id diaktifkan, coba akses URL di bawah ini untuk memeriksa SSO (tidak akan ada permintaan untuk nama pengguna &kata sandi)
https://<sapurl>/sap/bc/bsp/sap/it00/default.htm
(atau) gunakan URL di bawah ini
https://<sapurl>/sap/bc/bsp/sap/it00/default.htm
Catatan
Ganti sapurl dengan nama host SAP yang sebenarnya.
URL di atas akan membawa Anda ke layar yang disebutkan di bawah ini. Jika Anda dapat menjangkau hingga halaman di bawah ini, penyiapan SSO Microsoft Entra berhasil dilakukan.
Jika terjadi & permintaan kata sandi, silakan diagnosis masalah dengan mengaktifkan pelacakan menggunakan URL di bawah ini
https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#
Mengonfigurasi SAP NetWeaver untuk OAuth
Proses terdokumentasi SAP tersedia di lokasi: Pembuatan Cakupan NetWeaver Gateway Service Enabling dan OAuth 2.0
Buka SPRO dan temukan layanan Aktifkan dan Pertahankan.
Dalam contoh ini kami ingin menyambungkan layanan OData:
DAAG_MNGGRP
dengan OAuth ke Microsoft Entra SSO. Gunakan pencarian nama layanan teknis untuk layanan danDAAG_MNGGRP
aktifkan jika belum aktif, sudah (carigreen
status di bawah tab simpul ICF). Pastikan jika alias sistem (sistem backend yang terhubung, tempat layanan benar-benar berjalan) sudah benar.- Kemudian klik tombol tekan OAuth di bilah tombol atas dan tetapkan
scope
(pertahankan nama default seperti yang ditawarkan).
- Kemudian klik tombol tekan OAuth di bilah tombol atas dan tetapkan
Untuk contoh kami cakupannya adalah
DAAG_MNGGRP_001
, itu dihasilkan dari nama layanan dengan menambahkan angka secara otomatis. Laporan/IWFND/R_OAUTH_SCOPES
dapat digunakan untuk mengubah nama lingkup atau membuat secara manual.Catatan
Pesan
soft state status is not supported
- dapat diabaikan, karena tidak ada masalah.
Membuat pengguna layanan untuk Klien OAuth 2.0
OAuth2 menggunakan
service ID
untuk mendapatkan token akses untuk pengguna akhir atas namanya. Pembatasan penting menurut desain OAuth:OAuth 2.0 Client ID
yang harus identik dengan penggunaan klienusername
OAuth 2.0 untuk login saat meminta Token Akses. Oleh karena itu, misalnya, kami akan mendaftarkan klien OAuth 2.0 dengan nama CLIENT1, dan sebagai prasyarat pengguna dengan nama yang sama (CLIENT1) harus ada dalam sistem SAP dan pengguna yang akan kami konfigurasikan untuk digunakan oleh aplikasi yang dirujuk.Saat mendaftarkan Klien OAuth, kami menggunakan
SAML Bearer Grant type
.Catatan
Untuk detail lebih lanjut, lihat Registrasi Klien OAuth 2.0 untuk Jenis Hibah Pembawa SAML di sini.
tcod: SU01/buat pengguna CLIENT1 sebagai
System type
dan tetapkan kata sandi, simpan sebagai kebutuhan untuk memberikan kredensial kepada programmer API, yang harus membakarnya dengan nama pengguna ke kode panggilan. Tidak ada profil atau peran yang harus ditetapkan.
Daftarkan ID Klien OAuth 2.0 baru dengan panduan pembuatan
Untuk mendaftarkan klien OAuth 2.0 baru mulai transaksi SOAUTH2. Transaksi akan menampilkan ikhtisar tentang klien OAuth 2.0 yang sudah terdaftar. Pilih Buat untuk memulai panduan untuk klien OAuth baru bernama CLIENT1 dalam contoh ini.
Buka T-Code: SOAUTH2 dan Berikan deskripsi lalu klik berikutnya.
Pilih IDP SAML2 yang sudah ditambahkan – ID Microsoft Entra dari daftar dropdown dan simpan.
Klik Tambahkan di bawah penetapan lingkup untuk menambahkan lingkup yang dibuat sebelumnya:
DAAG_MNGGRP_001
Klik selesai.
Langkah berikutnya
Setelah mengonfigurasi Microsoft Entra SAP NetWeaver, Anda dapat menerapkan Kontrol Sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol Sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.