Tutorial: Integrasi akses menyeluruh (SSO) Microsoft Entra dengan SAP NetWeaver

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan SAP NetWeaver dengan MICROSOFT Entra ID. Saat mengintegrasikan SAP NetWeaver dengan MICROSOFT Entra ID, Anda dapat:

• Mengontrol microsoft Entra ID yang memiliki akses ke SAP NetWeaver.
• Memungkinkan pengguna Anda untuk masuk secara otomatis ke SAP NetWeaver dengan akun Microsoft Entra mereka.
• Kelola akun Anda di satu lokasi pusat.

Prasyarat

Untuk memulai, Anda membutuhkan item berikut:

• Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
• Langganan akses menyeluruh SAP NetWeaver yang diaktifkan.
• SAP NetWeaver V7.20 atau yang lebih baru

Deskripsi Skenario

• SAP NetWeaver mendukung SAML (SSO yang diinisiasi SP) dan OAuth. Dalam tutorial ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.

Catatan

Pengidentifikasi aplikasi ini adalah nilai untai tetap, sehingga hanya satu instans yang dapat dikonfigurasi dalam satu penyewa.

Catatan

Konfigurasikan aplikasi baik di SAML atau di OAuth sesuai kebutuhan organisasi Anda.

Menambahkan SAP NetWeaver dari galeri

Untuk mengonfigurasi integrasi SAP NetWeaver ke microsoft Entra ID, Anda perlu menambahkan SAP NetWeaver dari galeri ke daftar aplikasi SaaS terkelola Anda.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
3. Di bagian Tambahkan dari galeri, ketik SAP NetWeaver di kotak pencarian.
4. Pilih SAP NetWeaver dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji Microsoft Entra SSO untuk SAP NetWeaver

Konfigurasikan dan uji SSO Microsoft Entra dengan SAP NetWeaver menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di SAP NetWeaver.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan SAP NetWeaver, lakukan langkah-langkah berikut:

1. Konfigurasikan SSO Microsoft Entra untuk memungkinkan pengguna Anda menggunakan fitur ini.
   1. Buat pengguna uji Microsoft Entra untuk menguji akses menyeluruh Microsoft Entra dengan B.Simon.
   2. Tetapkan pengguna uji Microsoft Entra untuk mengaktifkan B.Simon untuk menggunakan akses menyeluruh Microsoft Entra.
2. Konfigurasikan SAP NetWeaver menggunakan SAML untuk mengonfigurasi pengaturan SSO di sisi aplikasi.
   1. Buat pengguna uji SAP NetWeaver untuk memiliki mitra B.Simon di SAP NetWeaver yang ditautkan ke representasi Microsoft Entra pengguna.
3. Uji SSO untuk memverifikasi apakah konfigurasi berfungsi.
4. Konfigurasikan SAP NetWeaver untuk OAuth untuk mengonfigurasi pengaturan OAuth di sisi aplikasi.

Mengonfigurasi SSO Microsoft Entra

Di bagian ini, Anda mengaktifkan akses menyeluruh Microsoft Entra.

Untuk mengonfigurasi akses menyeluruh Microsoft Entra dengan SAP NetWeaver, lakukan langkah-langkah berikut:

1. Buka jendela browser web baru dan masuk ke situs perusahaan SAP NetWeaver Anda sebagai administrator

2. Pastikan bahwa layanan httpdan https aktif dan port yang sesuai ditetapkan dalam SMICM T-Code.

3. Masuk ke klien bisnis SAP System (T01), tempat SSO diperlukan dan mengaktifkan Manajemen sesi Keamanan HTTP.

   1. Buka Kode transaksi SICF_SESSIONS. Ini menampilkan semua parameter profil yang relevan dengan nilai saat ini. Mereka terlihat seperti di bawah ini:-

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0 
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Catatan

      Sesuaikan parameter di atas sesuai persyaratan organisasi Anda, Parameter di atas diberikan di sini sebagai indikasi saja.

   2. Jika perlu sesuaikan parameter, di instance/default profil sistem SAP dan restart sistem SAP.

   3. Klik dua kali pada klien yang relevan untuk mengaktifkan sesi keamanan HTTP.

      

   4. Aktifkan di bawah layanan SICF:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Buka Kode transaksi SAML2 di klien bisnis sistem SAP [T01/122]. Ini akan membuka antarmuka pengguna di browser. Dalam contoh ini, kami menganggap 122 sebagai klien bisnis SAP.

   

5. Berikan nama pengguna dan kata sandi Anda untuk masuk di antarmuka pengguna dan klik Edit.

   

6. Ganti Nama Penyedia dari T01122 ke dan klik http://T01122Simpan.

   Catatan

   Secara default nama penyedia datang sebagai <sid><client> format tetapi MICROSOFT Entra ID mengharapkan nama dalam format <protocol>://<name>, merekomendasikan untuk mempertahankan nama penyedia untuk https://<sid><client> memungkinkan beberapa mesin ABAP SAP NetWeaver untuk dikonfigurasi di ID Microsoft Entra.

   

7. Menghasilkan Metadata Penyedia Layanan:- Setelah kami selesai mengonfigurasi pengaturan Penyedia Lokal dan Penyedia Tepercaya pada Antarmuka Pengguna SAML 2.0, langkah selanjutnya adalah menghasilkan file metadata penyedia layanan (yang akan berisi semua pengaturan, konteks autentikasi, dan konfigurasi lainnya di SAP). Setelah file ini dibuat, unggah file ini ke ID Microsoft Entra.

   

   1. Masuk ke tab Penyedia Lokal.

   2. Klik Metadata.

   3. Simpan file XML Metadata yang dihasilkan di komputer Anda dan unggah di bagian Konfigurasi SAML Dasar untuk mempopulerkan otomatis nilai Pengidentifikasidan URL Balasan di portal Microsoft Azure.

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri ke halaman integrasi aplikasi>Identity>Applications>Enterprise SAP NetWeaver, temukan bagian Kelola, dan pilih Akses menyeluruh.

3. Di halaman Pilih metode Single sign-on, pilih SAML.

4. Di halaman Menyiapkan akses menyeluruh dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

   

5. Pada bagian Konfigurasi SAML Dasar, jika Anda ingin mengonfigurasi aplikasi dalam mode yang diinisiasi IDP, lakukan langkah berikut:

   1. Klik Unggah file metadata untuk mengunggah file metadata Penyedia Layanan, yang telah Anda peroleh sebelumnya.

   2. Klik logo folder untuk memilih file metadata dan klik Unggah.

   3. Setelah file metadata berhasil diunggah, nilai Pengidentifikasi dan URL Balasan diisi secara otomatis di kotak teks bagian Konfigurasi SAML Dasar seperti yang ditunjukkan di bawah ini:

   4. Di kotak teks URL Masuk, ketik URL menggunakan pola berikut: https://<your company instance of SAP NetWeaver>

   Catatan

   Beberapa pelanggan mengalami kesalahan URL Balasan yang salah yang dikonfigurasi untuk instans mereka. Jika Anda menerima kesalahan tersebut, gunakan perintah PowerShell ini. Pertama-tama perbarui URL Balasan di objek aplikasi dengan URL Balasan, lalu perbarui perwakilan layanan. Gunakan Get-MgServicePrincipal untuk mendapatkan nilai ID Perwakilan Layanan.

   $params = @{
      web = @{
         redirectUris = "<Your Correct Reply URL>"
      }
   }
   Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
   Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
   

6. Aplikasi SAP NetWeaver mengharapkan pernyataan SAML dalam format tertentu, yang mengharuskan Anda untuk menambahkan pemetaan atribut kustom ke konfigurasi atribut token SAML Anda. Cuplikan layar berikut menampilkan daftar atribut default. Klik ikon Edit untuk buka dialog Atribut Pengguna.

   

7. Di bagian Klaim Pengguna pada dialog Atribut Pengguna, konfigurasikan atribut token SAML seperti yang ditunjukkan pada gambar di atas dan lakukan langkah-langkah berikut:

   1. Klik ikon Edit untuk membuka dialog Kelola klaim pengguna.

      

      

   2. Dari daftar Transformasi, pilih ExtractMailPrefix().

   3. Dari daftar Parameter 1, pilih user.userprincipalname.

   4. Klik Simpan.

8. Di halaman Siapkan Akses Menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, temukan XML Metadata Federasi dan pilih Unduh untuk mengunduh sertifikat dan menyimpannya di komputer Anda.

   

9. Pada bagian Siapkan SAP NetWeaver , salin URL yang sesuai, berdasarkan kebutuhan Anda.

   

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda akan membuat pengguna uji bernama B.Simon.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
2. Telusuri ke Pengguna>Identitas>Semua pengguna.
3. Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
4. Di properti Pengguna, ikuti langkah-langkah berikut:
   1. Di bidang Nama tampilan, masukkan B.Simon.
   2. Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya:B.Simon@contoso.com
   3. Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
   4. Pilih Tinjau + buat.
5. Pilih Buat.

Menetapkan pengguna uji Microsoft Entra

Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh dengan memberikan akses ke SAP NetWeaver.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
2. Telusuri aplikasi >Identity>Applications>Enterprise SAP NetWeaver.
3. Di halaman ringkasan aplikasi, temukan bagian Kelola, lalu pilih Pengguna dan grup.
4. Pilih Tambahkan pengguna, lalu pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
5. Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar. Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" yang dipilih.
6. Dalam dialog Tambah Penugasan, klik tombol Tetapkan.

Mengonfigurasi SAP NetWeaver menggunakan SAML

1. Masuk ke sistem SAP dan masuk ke kode transaksi SAML2. Ini membuka jendela browser baru dengan layar konfigurasi SAML.

2. Untuk mengonfigurasi Titik akhir untuk Penyedia Identitas tepercaya (ID Microsoft Entra) buka tab Penyedia Tepercaya.

   

3. Tekan Tambahkan dan pilih Unggah File Metadata dari menu konteks.

   

4. Unggah file metadata, yang telah Anda unduh.

   

5. Di layar berikutnya, ketik nama Alias. Misalnya, ketik aadsts, dan tekan Berikutnya untuk melanjutkan.

   

6. Pastikan bahwa Algoritma Digest Anda harus SHA-256 dan tidak memerlukan perubahan apa pun dan tekan Berikutnya.

   

7. Pada Titik Akhir Akses Menyeluruh, gunakan HTTP POST dan klik Berikutnya untuk melanjutkan.

   

8. Pada Titik Akhir Logout Tunggal pilihHTTPRedirect dan klik Berikutnya untuk melanjutkan.

   

9. Pada Titik Akhir Artefak, tekan Berikutnya untuk melanjutkan.

   

10. Pada Persyaratan Autentikasi, klik Selesai.

    

11. Buka tab Federasi Identitas Penyedia>Tepercaya (dari bawah layar). Klik Edit.

    

12. Klik Tambahkan di bawah tab Federasi Identitas (jendela bawah).

    

13. Dari jendela pop-up, pilih Tidak Ditentukan dari format NAMEID yang Didukung dan klik OK.

    

14. Berikan nilai Sumber ID Pengguna sebagai Atribut Pernyataan, nilai mode pemetaan ID Pengguna sebagai Email dan Nama Atribut Pernyataan sebagai http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    

15. Perhatikan bahwa nilai mode pemetaan Sumber ID Pengguna dan ID Pengguna menentukan tautan antara pengguna SAP dan klaim Microsoft Entra.

Skenario: Pengguna SAP ke pemetaan pengguna Microsoft Entra.

1. NameID memerinci cuplikan layar dari SAP.

   

2. Cuplikan layar yang menyebutkan Klaim yang diperlukan dari ID Microsoft Entra.

   

   Skenario: Pilih ID pengguna SAP berdasarkan alamat email yang dikonfigurasi di SU01. Dalam hal ini ID email harus dikonfigurasi di su01 untuk setiap pengguna yang memerlukan SSO.

   1. NameID memerinci cuplikan layar dari SAP.

      

   2. cuplikan layar menyebutkan Klaim yang diperlukan dari ID Microsoft Entra.

   

3. Klik Simpan lalu klik Aktifkan untuk mengaktifkan penyedia identitas.

   

4. Klik OK setelah diminta.

   

Membuat pengguna uji SAP NetWeaver

Pada bagian ini, Anda membuat pengguna bernama B.simon di SAP NetWeaver. Harap bekerja tim ahli SAP di rumah Anda atau bekerja dengan mitra SAP organisasi Anda untuk menambahkan pengguna di platform SAP NetWeaver.

Menguji akses menyeluruh

1. Setelah ID Microsoft Entra id diaktifkan, coba akses URL di bawah ini untuk memeriksa SSO, memastikan tidak akan ada permintaan untuk nama pengguna & kata sandi.

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   (atau) gunakan URL di bawah ini

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   Catatan

   Ganti sapurl dengan nama host SAP yang sebenarnya.

2. URL di atas akan membawa Anda ke layar yang disebutkan di bawah ini. Jika Anda dapat menjangkau hingga halaman di bawah ini, penyiapan SSO Microsoft Entra berhasil dilakukan.

   

3. Jika terjadi permintaan nama pengguna dan kata sandi, Anda dapat mendiagnosis masalah dengan mengaktifkan jejak, menggunakan URL:

   https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Mengonfigurasi SAP NetWeaver untuk OAuth

1. Proses terdokumentasi SAP tersedia di lokasi: Pembuatan Cakupan NetWeaver Gateway Service Enabling dan OAuth 2.0

2. Buka SPRO dan temukan layanan Aktifkan dan Pertahankan.

   

3. Dalam contoh ini kami ingin menyambungkan layanan OData: DAAG_MNGGRP dengan OAuth ke Microsoft Entra SSO. Gunakan pencarian nama layanan teknis untuk layanan dan DAAG_MNGGRP aktifkan jika belum aktif, sudah (cari green status di bawah tab simpul ICF). Pastikan jika alias sistem (sistem backend yang terhubung, tempat layanan benar-benar berjalan) sudah benar.

   

   • Kemudian klik tombol tekan OAuth di bilah tombol atas dan tetapkan scope (pertahankan nama default seperti yang ditawarkan).

4. Misalnya, cakupannya adalah DAAG_MNGGRP_001. Ini dihasilkan dari nama layanan dengan secara otomatis menambahkan angka. Laporan /IWFND/R_OAUTH_SCOPES dapat digunakan untuk mengubah nama lingkup atau membuat secara manual.

   

   Catatan

   Pesan soft state status is not supported - dapat diabaikan, karena tidak ada masalah.

Membuat pengguna layanan untuk Klien OAuth 2.0

1. OAuth2 menggunakan service IDuntuk mendapatkan token akses untuk pengguna akhir atas namanya. Pembatasan penting menurut desain OAuth: OAuth 2.0 Client ID yang harus identik dengan penggunaan klien username OAuth 2.0 untuk login saat meminta Token Akses. Oleh karena itu, misalnya, kami akan mendaftarkan klien OAuth 2.0 dengan nama CLIENT1. Sebagai prasyarat, pengguna dengan nama yang sama (CLIENT1) harus ada di sistem SAP dan pengguna tersebut akan kami konfigurasi untuk digunakan oleh aplikasi yang dirujuk.

2. Saat mendaftarkan Klien OAuth, kami menggunakan SAML Bearer Grant type.

   Catatan

   Untuk detail lebih lanjut, lihat Registrasi Klien OAuth 2.0 untuk Jenis Hibah Pembawa SAML di sini.

3. Jalankan T-Code SU01 untuk membuat pengguna CLIENT1 sebagai System type dan menetapkan kata sandi. Simpan kata sandi karena Anda harus memberikan kredensial ke programmer API, yang harus menyimpannya dengan nama pengguna ke kode panggilan. Tidak ada profil atau peran yang harus ditetapkan.

Daftarkan ID Klien OAuth 2.0 baru dengan panduan pembuatan

1. Untuk mendaftarkan klien OAuth 2.0 baru mulai transaksi SOAUTH2. Transaksi akan menampilkan ikhtisar tentang klien OAuth 2.0 yang sudah terdaftar. Pilih Buat untuk memulai wizard untuk klien OAuth baru bernama CLIENT1 dalam contoh ini.

2. Buka T-Code: SOAUTH2 dan Berikan deskripsi lalu klik berikutnya.

   

   

3. Pilih IDP SAML2 yang sudah ditambahkan – ID Microsoft Entra dari daftar dropdown dan simpan.

   

   

   

4. Klik Tambahkan di bawah penetapan lingkup untuk menambahkan lingkup yang dibuat sebelumnya: DAAG_MNGGRP_001

   

   

5. Klik selesai.

Langkah berikutnya

Setelah mengonfigurasi Microsoft Entra SAP NetWeaver, Anda dapat menerapkan Kontrol Sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol Sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.