Bendrinti naudojant


Nustatykite Microsoft Entra ID, Azure API valdymą ir SAP SSO iš SAP OData jungties

Galite nustatyti SAP "OData" jungtį, Power Platform kad galėtumėte naudoti Microsoft Entra ID kredencialus bendrajai autentifikacijai (SSO) į SAP. Jūsų vartotojai gali pasiekti SAP duomenis Power Platform sprendimuose, neprisijungdami kelis kartus prie kelių paslaugų, gerbdami jų leidimus ir priskirtus vaidmenis SAP.

Šiame straipsnyje aprašomas procesas, įskaitant pasitikėjimo tarp SAP ir Microsoft Entra ID nustatymą ir Azure API valdymo konfigūravimą, kad ID Microsoft Entra prieigos raktas būtų konvertuojamas OAuth į SAML prieigos raktą, naudojamą "OData" skambučiams į SAP.

Sprendimo diagrama, rodanti srauto srautą nuo Power Platform ir Copilot iki SAP per Azure API valdymą.

Gaukite papildomų įžvalgų ir konteksto apie sąrankos procesą iš šio tinklaraščio įrašo.

Būtinosios sąlygos

  • SAP egzempliorius
  • Azure API valdymo išteklius

Atsisiųskite vietinio teikėjo SAML metaduomenis iš SAP

Norėdami nustatyti pasitikėjimo ryšį tarp SAP ir Microsoft Entra ID naudodami SAML 2.0, pirmiausia atsisiųskite metaduomenų xml failą iš SAP.

Atlikite šiuos veiksmus kaip SAP pagrindo administratorius SAP GUI.

  1. SAP GUI paleiskite operaciją SAML2 , kad atidarytumėte atitinkamą nuo SAP kliento priklausomą vedlį ir pasirinkite skirtuką Vietinis teikėjas .

  2. Pasirinkite Metaduomenys, tada pasirinkite Atsisiųsti metaduomenis. SAP SAML metaduomenis į Microsoft Entra ID įkelsite atlikdami vėlesnį veiksmą.

  3. Atkreipkite dėmesį į URI reikalavimus atitinkantį teikėjo pavadinimą.

Pastaba.

Microsoft Entra ID reikalauja, kad ši reikšmė atitiktų URI reikalavimus. Jei teikėjo pavadinimas jau nustatytas ir neatitinka URI, nekeiskite jo prieš tai nepasitarę su savo SAP pagrindo komanda. Pakeitus teikėjo pavadinimą , gali būti pažeistos esamos SAML konfigūracijos. Jo keitimo veiksmai nepatenka į šio straipsnio taikymo sritį. Dėl patarimų kreipkitės į savo SAML pagrindo komandą.

Papildomos informacijos ieškokite oficialiuose SAP dokumentuose .

Importuokite SAP metaduomenis į Microsoft Entra ID įmonės programą

Atlikite šiuos veiksmus kaip Microsoft Entra ID administratorius Azure portale.

  1. Pasirinkite Microsoft Entra "ID>Enterprise" programos.

  2. Pasirinkti Nauja programa.

  3. Ieškokite SAP Netweaver.

  4. Suteikite įmonės programai pavadinimą, tada pasirinkite Kurti.

  5. Eikite į bendrąją autentifikaciją ir pasirinkite SAML.

  6. Pasirinkite Įkelti metaduomenų failas ir pasirinkite metaduomenų failas, kurį atsisiuntėte iš SAP.

  7. Pasirinkite Įtraukti.

  8. Pakeiskite atsakymo URL (Assertion Consumer Service URL) į SAP OAuth žetono galinį punktą. URL yra tokio formato https://<SAP server>:<port>/sap/bc/sec/oauth2/token.

  9. Pakeiskite prisijungimo URL į URI suderinamą reikšmę. Šis parametras nenaudojamas ir gali būti nustatytas kaip bet kokia su URI suderinama reikšmė.

  10. Pasirinkite Įrašyti.

  11. Dalyje Atributai ir pretenzijos pasirinkite Redaguoti.

  12. Patvirtinkite, kad Reikalavimo pavadinimas Unikalus naudotojo identifikatorius (Vardo ID) nustatytas kaip user.userprincipalname [nameid=format:emailAddress].

  13. Dalyje SAML sertifikatai pasirinkite Atsisiųsti sertifikatui (Base64) ir Susiejimo metaduomenų XML.

Konfigūruokite Microsoft Entra ID kaip patikimą tapatybės teikėją OAuth 2.0 SAP

  1. Atlikite veiksmus, nurodytus Microsoft Entra SAP NetWeaver ir OAuth2 skyriaus ID dokumentacijoje.

  2. Grįžkite į šį straipsnį, kai OAuth2 klientas bus sukurtas SAP.

Daugiau informacijos rasite oficialiuose SAP dokumentuose .

Microsoft Entra Sukurkite ID programą, kuri atitinka Azure API valdymo išteklių

Nustatykite ID programą, suteikiančią Microsoft Entra prieigą prie Microsoft Power Platform "SAP OData" jungties. Ši programa leidžia Azure API valdymo ištekliui konvertuoti OAuth žetonus į SAML žetonus.

Atlikite šiuos veiksmus kaip Microsoft Entra ID administratorius Azure portale.

  1. pasirinkti Microsoft Entra ID>Programos registracijos>Nauja registracija.

  2. Įveskite Pavadinimą, tada pasirinkite Registruoti .

  3. Pasirinkite Sertifikatai ir paslaptys Naujas>kliento slaptas dokumentas.

  4. Įveskite aprašą , tada pasirinkite Įtraukti.

  5. Nukopijuokite ir išsaugokite šią paslaptį kur nors saugioje vietoje.

  6. Pasirinkite API teisės>Įtraukti teisę.

  7. Pasirinkite Microsoft Graph>Įgaliotieji leidimai.

  8. Ieškokite ir pasirinkite openid.

  9. Pasirinkite Įtraukti teises.

  10. Pasirinkite Autentifikavimas>Pridėti platformą>Žiniatinklis.

  11. Nustatykite peradresavimo URI į https://localhost:44326/signin-oidc.

  12. Pasirinkite Prieigos atpažinimo ženklai ir ID atpažinimo ženklai, tada pasirinkite Konfigūruoti.

  13. Pasirinkite Atskleisti API.

  14. Šalia Programos ID URI pasirinkite Pridėti.

  15. Priimkite numatytąją reikšmę ir pasirinkite Išsaugoti.

  16. Pasirinkite Įtraukti aprėptį.

  17. Nustatykite Aprėpties pavadinimas į user_impersonation.

  18. Nustatyti Kas gali sutikti? administratoriams ir vartotojams.

  19. Pasirinkite Įtraukti aprėptį.

  20. Programos (kliento) ID kopijavimas.

Įgaliokite Azure API valdymo šaltinį, kad galėtumėte pasiekti "SAP Netweaver" naudodami Microsoft Entra ID įmonės programą

  1. Microsoft Entra Kai sukuriama ID įmonės programa, ji sukuria atitinkamą programos registraciją. Raskite programos registraciją , atitinkančią Microsoft Entra ID įmonės programą, kurią sukūrėte SAP NetWeaver.

  2. Pasirinkite Atskleisti API>Pridėti kliento programą.

  3. Įklijuokite savo Azure API valdymo egzemplioriaus ID ID programos registracijos programos (kliento) ID Microsoft Entra į kliento ID.

  4. Pasirinkite user_impersonation aprėptį, tada pasirinkite Įtraukti taikomąją programą.

Įgaliokite "SAP OData" jungtį, Microsoft Power Platform kad galėtumėte pasiekti API, kurias atskleidžia Azure API valdymas

  1. Microsoft Entra Azure API valdymo ID programos registracijoje pasirinkite Atskleisti API> Pridėkite SAP OData jungties Power Platform kliento ID 6bee4d13-fd19-43de-b82c-4b6401d174c3 pagal autorizuotas kliento programas.

  2. Pasirinkite user_impersonation aprėptį, tada pasirinkite Įrašyti.

Konfigūruoti SAP OAuth

OAuth SAP sukurkite 2.0 klientą, kuris leidžia Azure API valdymui gauti žetonus vartotojų vardu.

Daugiau informacijos rasite oficialiuose SAP dokumentuose .

Atlikite šiuos veiksmus kaip SAP pagrindo administratorius SAP GUI.

  1. Vykdykite operaciją SOAUTH2.

  2. Pasirinkite Kurti.

  3. Kliento ID puslapyje:

    • 2.0 OAuth kliento ID pasirinkite SAP sistemos vartotoją.
    • Įveskite aprašą , tada pasirinkitePirmyn .
  4. Puslapyje Kliento autentifikavimas pasirinkite Pirmyn .

  5. Puslapyje Grant Type Settings (Dotacijos tipo parametrai ):

    • Jei naudojate "Trusted OAuth 2.0 IdP", pasirinkite Microsoft Entra ID įrašą.
    • Pasirinkite Atnaujinti leidžiama, tada pasirinkitePirmyn .
  6. Puslapyje Aprėpties priskyrimas pasirinkite Įtraukti, pasirinkite "OData" tarnybas, kurias naudoja Azure API valdymas (pvz., ZAPI_BUSINESS_PARTNER_0001), tada pasirinkite Pirmyn.

  7. Pasirinkite Baigti.

Azure API valdymo konfigūravimas

Importuokite SAP OData XML metaduomenis į savo Azure API Management egzempliorių. Tada pritaikykite Azure API valdymo politiką, kad konvertuotumėte žetonus.

  1. Atidarykite Azure API valdymo egzempliorių ir atlikite veiksmus , kad sukurtumėte SAP OData API.

  2. Dalyje API pasirinkite Pavadintos reikšmės.

  3. Pridėkite šias raktų / reikšmių poras:

Klavišas Vertė
AADSAPResource SAP vietinis paslaugų teikėjas URI
AADTenantId Jūsų nuomotojo GUID
APIMAADRegisteredAppClientId Microsoft Entra ID programos GUID
APIMAADRegisteredAppClientSecret Kliento paslaptis nuo ankstesnio veiksmo
SAPOAuthClientID SAP sistemos vartotojas
SAPOAuthClientSecret SAP sistemos vartotojo slaptažodis
SAPOAuthRefreshExpiry Atpažinimo ženklo atnaujinimo galiojimo laikas
SAPOAuthScope "OData" taikymo sritys, pasirinktos SAP OAuth konfigūracijos metu
SAPOAuthServerAddressForTokenEndpoint SAP galinis taškas Azure API valdymui, kad būtų galima iškviesti žetonų įsigijimą

Pastaba.

Atminkite, kad SAP SuccessFactors nustatymai šiek tiek skiriasi. Norėdami gauti daugiau informacijos, žiūrėkite SAP SuccessFactors API valdymo politiką Azure.

Taikykite Azure API valdymo žetonų politiką

Naudokite Azure API valdymo politiką, kad konvertuotumėte ID išduotą Microsoft Entra žetoną į tokį, kurį priima SAP NetWeaver. Tai daroma naudojant OAuth2SAMLBearer srautą. Daugiau informacijos rasite oficialiuose SAP dokumentuose .

  1. Nukopijuokite Azure API valdymo politiką iš oficialaus Microsoft "GitHub" puslapio.

  2. Atidarykite Azure portalą.

  3. Eikite į savo Azure API valdymo išteklių.

  4. Pasirinkite API, tada pasirinkite sukurtą "OData" API.

  5. Pasirinkite Visos operacijos.

  6. Dalyje Gaunamas apdorojimas pasirinkite Strategijos </>.

  7. Panaikinkite esamą strategiją ir įklijuokite nukopijuotą strategiją.

  8. Pasirinkite Įrašyti.