Bagikan melalui

Tutorial: Integrasi SSO Microsoft Entra dengan Platform Teknologi Bisnis SAP

  • Artikel

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan Platform Teknologi Bisnis SAP dengan ID Microsoft Entra. Saat mengintegrasikan SAP Business Technology Platform dengan Microsoft Entra ID, Anda dapat:

  • Mengontrol microsoft Entra ID yang memiliki akses ke SAP Business Technology Platform.
  • Memungkinkan pengguna Anda untuk masuk secara otomatis ke SAP Business Technology Platform dengan akun Microsoft Entra mereka.
  • Kelola akun Anda di satu lokasi pusat.

Prasyarat

Untuk memulai, Anda membutuhkan item berikut:

  • Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
  • Langganan akses menyeluruh (SSO) SAP Business Technology Platform diaktifkan.

Penting

Anda perlu menyebarkan aplikasi Anda sendiri atau berlangganan aplikasi di akun Platform SAP Business Technology Anda untuk menguji akses menyeluruh. Dalam tutorial ini, aplikasi digunakan di akun.

Deskripsi Skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji akses menyeluruh Microsoft Entra di lingkungan pengujian.

  • Platform Teknologi Bisnis SAP mendukung SSO yang diinisiasi SP .

Untuk mengonfigurasi integrasi SAP Business Technology Platform ke Microsoft Entra ID, Anda perlu menambahkan SAP Business Technology Platform dari galeri ke daftar aplikasi SaaS terkelola Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
  3. Di bagian Tambahkan dari galeri , ketik SAP Business Technology Platform di kotak pencarian.
  4. Pilih Platform Teknologi Bisnis SAP dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji SSO Microsoft Entra untuk Platform Teknologi Bisnis SAP

Konfigurasikan dan uji SSO Microsoft Entra dengan SAP Business Technology Platform menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di SAP Business Technology Platform.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan SAP Business Technology Platform, lakukan langkah-langkah berikut:

  1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.
    1. Buat pengguna uji Microsoft Entra - untuk menguji akses menyeluruh Microsoft Entra dengan Britta Simon.
    2. Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan Britta Simon untuk menggunakan akses menyeluruh Microsoft Entra.
  2. Konfigurasikan SSO SAP Business Technology Platform - untuk mengonfigurasi pengaturan Akses Menyeluruh di sisi aplikasi.
    1. Buat pengguna uji SAP Business Technology Platform - untuk memiliki mitra Britta Simon di SAP Business Technology Platform yang ditautkan ke representasi Microsoft Entra pengguna.
  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Entra

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi >Identity>Applications>Enterprise Akses menyeluruh Platform> Teknologi Bisnis SAP.

  3. Di halaman Pilih metode akses menyeluruh, pilih SAML.

  4. Di halaman Menyiapkan akses menyeluruh dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

    Edit Basic SAML Configuration

  5. Di bagian Konfigurasi SAML Dasar, masukkan nilai untuk bidang berikut:

    a. Di kotak teks Pengidentifikasi , Anda akan memberikan JENIS URL Platform Teknologi Bisnis SAP Anda menggunakan salah satu pola berikut:

    Pengidentifikasi
    https://hanatrial.ondemand.com/<instancename>
    https://hana.ondemand.com/<instancename>
    https://us1.hana.ondemand.com/<instancename>
    https://ap1.hana.ondemand.com/<instancename>

    b. Dalam kotak teks Pengidentifikasi, ketik URL menggunakan salah satu pola berikut ini:

    URL Balasan
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>
    https://<subdomain>.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

    c. Di kotak teks URL Masuk, ketik URL yang digunakan oleh pengguna Anda untuk masuk ke aplikasi SAP Business Technology Platform Anda. Ini adalah URL khusus akun dari sumber daya yang dilindungi di aplikasi Platform Teknologi Bisnis SAP Anda. URL didasarkan pada pola berikut: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

    Catatan

    Ini adalah URL di aplikasi Platform Teknologi Bisnis SAP Anda yang mengharuskan pengguna untuk mengautentikasi.

    URL Masuk
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>

    Catatan

    Nilai-nilai ini tidak nyata. Perbarui nilai ini dengan Pengidentifikasi, URL Balasan, dan URL Masuk yang sebenarnya. Hubungi tim dukungan Klien SAP Business Technology Platform untuk mendapatkan URL Masuk dan Pengidentifikasi. URL Balasan yang bisa Anda dapatkan dari bagian manajemen kepercayaan yang dijelaskan kemudian dalam tutorial.

  6. Pada halaman Siapkan Akses menyeluruh dengan SAML, pada bagian Sertifikat Penandatanganan SAML, klik Unduh untuk mengunduh XML Metadata Federasi dari pilihan yang diberikan sesuai kebutuhan anda dan simpan pada komputer anda.

    The Certificate download link

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda akan membuat pengguna uji bernama B.Simon.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
  2. Telusuri ke Pengguna>Identitas>Semua pengguna.
  3. Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
  4. Di properti Pengguna, ikuti langkah-langkah berikut:
    1. Di bidang Nama tampilan, masukkan B.Simon.
    2. Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya:B.Simon@contoso.com
    3. Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
    4. Pilih Tinjau + buat.
  5. Pilih Buat.

Menetapkan pengguna uji Microsoft Entra

Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh dengan memberikan akses ke SAP Business Technology Platform.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi >Identity>Applications>Enterprise SAP Business Technology Platform.
  3. Di halaman gambaran umum aplikasi, pilih Pengguna dan grup.
  4. Pilih Tambahkan pengguna/grup, kemudian pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
    1. Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
    2. Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" yang dipilih.
    3. Dalam dialog Tambah Penugasan, klik tombol Tetapkan.

Mengonfigurasi SSO SAP Business Technology Platform

  1. Di jendela browser web yang berbeda, masuk ke SAP Business Technology Platform Cockpit di https://account.<landscape host>.ondemand.com/cockpit(misalnya: https://account.hanatrial.ondemand.com/cockpit).

  2. Klik tab Kepercayaan.

    Trust

  3. Di bagian Manajemen Kepercayaan, di bawah Penyedia Layanan Lokal, lakukan langkah-langkah berikut ini:

    Screenshot that shows the

    a. Klik Edit.

    b. Sebagai Tipe Konfigurasi, pilih Kustom.

    c. Sebagai Nama Penyedia Lokal, tinggalkan nilai default. Salin nilai ini dan tempelkan ke bidang Pengidentifikasi di konfigurasi Microsoft Entra untuk Platform Teknologi Bisnis SAP.

    d. Untuk menghasilkan Kunci Penandatangan dan pasangan kunci Sertifikat Penandatangan, klik Hasilkan Pasangan Kunci.

    e. Sebagai Propagasi Utama, pilih Dinonaktifkan.

    f. Sebagai Autentikasi Paksa, pilih Dinonaktifkan.

    g. Klik Simpan.

  4. Setelah menyimpan pengaturan Penyedia Layanan Lokal, lakukan hal berikut untuk mendapatkan URL Balasan:

    Get Metadata

    a. Unduh file metadata Platform Teknologi Bisnis SAP dengan mengklik Dapatkan Metadata.

    b. Buka file XML metadata Platform Teknologi Bisnis SAP yang diunduh, lalu temukan tag ns3:AssertionConsumerService .

    c. Salin nilai atribut Lokasi , lalu tempelkan ke bidang URL Balasan di konfigurasi Microsoft Entra untuk Platform Teknologi Bisnis SAP.

  5. Klik tab Penyedia Identitas Tepercaya, lalu klik Tambahkan Penyedia Identitas Tepercaya.

    Screenshot that shows the

    Catatan

    Untuk mengelola daftar penyedia identitas tepercaya, Anda harus memilih tipe Konfigurasi kustom di bagian Penyedia Layanan Lokal. Untuk jenis konfigurasi Default, Anda memiliki kepercayaan yang tidak dapat diedit dan implisit ke Layanan ID SAP. Untuk Tidak Ada, Anda tidak memiliki pengaturan kepercayaan.

  6. Klik tab Umum, lalu klik Telusuri untuk mengunggah file metadata yang diunduh.

    Trust Management

    Catatan

    Setelah mengunggah file metadata, nilai untuk URL Akses Menyeluruh , URL Logout Tunggal, dan Sertifikat Penandatangan diisi secara otomatis.

  7. Klik tab Atribut.

  8. Pada tab Atribut, lakukan langkah berikut:

    Attributes

    a. Klik Assertion-Based Atribut,lalu tambahkan atribut berbasis pernyataan berikut:

    Atribut Pernyataan Atribut Utama
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname namadepan
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname lastname
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress email

    Catatan

    Konfigurasi Atribut tergantung pada bagaimana aplikasi pada SCP dikembangkan, yaitu atribut mana yang mereka harapkan dalam respons SAML dan di mana nama (Atribut Utama) mereka mengakses atribut ini dalam kode.

    b. Atribut Default dalam tangkapan layar hanya untuk tujuan ilustrasi. Tidak diperlukan untuk membuat skenario bekerja.

    c. Nama dan nilai untuk Atribut Utama yang ditampilkan dalam tangkapan layar bergantung pada bagaimana aplikasi dikembangkan. Ada kemungkinan bahwa aplikasi Anda memerlukan pemetaan yang berbeda.

Grup berbasis pernyataan

Sebagai langkah opsional, Anda dapat mengonfigurasi grup berbasis pernyataan untuk IdP Microsoft Entra Anda.

Menggunakan grup di Platform Teknologi Bisnis SAP memungkinkan Anda menetapkan satu atau beberapa pengguna secara dinamis ke satu atau beberapa peran dalam aplikasi Platform Teknologi Bisnis SAP Anda, yang ditentukan oleh nilai atribut dalam pernyataan SAML 2.0.

Misalnya, jika pernyataan berisi atribut "contract=temporary", Anda mungkin ingin semua pengguna yang terpengaruh ditambahkan ke grup "SEMENTARA". Grup "TEMPORARY" mungkin berisi satu atau beberapa peran dari satu atau beberapa aplikasi yang disebarkan di akun Platform Teknologi Bisnis SAP Anda.

Gunakan grup berbasis pernyataan saat Anda ingin menetapkan banyak pengguna secara bersamaan ke satu atau beberapa peran aplikasi di akun Platform Teknologi Bisnis SAP Anda. Jika Anda hanya ingin menetapkan satu atau sedikit pengguna ke peran tertentu, sebaiknya tetapkan langsung di tab "Otorisasi" dari kokpit Platform Teknologi Bisnis SAP.

Membuat pengguna uji SAP Business Technology Platform

Untuk memungkinkan pengguna Microsoft Entra masuk ke Platform Teknologi Bisnis SAP, Anda harus menetapkan peran di Platform Teknologi Bisnis SAP kepada mereka.

Untuk menetapkan peran kepada pengguna, lakukan langkah-langkah berikut:

  1. Masuk ke kokpit Platform Teknologi Bisnis SAP Anda.

  2. Lakukan langkah-langkah berikut:

    Authorizations

    a. Klik Otorisasi.

    b. Klik tab Pengguna.

    c. Di kotak teks Pengguna, ketik alamat email pengguna.

    d. Klik Tetapkan untuk menetapkan pengguna ke peran.

    e. Klik Simpan.

Menguji akses menyeluruh

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.

  • Klik Uji aplikasi ini, ini akan dialihkan ke URL Masuk Platform SAP Business Technology tempat Anda dapat memulai alur masuk.

  • Buka URL Masuk SAP Business Technology Platform secara langsung dan mulai alur masuk dari sana.

  • Anda dapat menggunakan Aplikasi Saya Microsoft. Ketika Anda mengeklik petak SAP Business Technology Platform di Aplikasi Saya, Anda akan secara otomatis masuk ke SAP Business Technology Platform tempat Anda menyiapkan SSO. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.

Langkah berikutnya

Setelah mengonfigurasi Platform Teknologi Bisnis SAP, Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.