Sediakan Microsoft Entra ID dengan Kerberos untuk SSO

Anda boleh menyediakan Power Platform penyambung SAP ERP untuk menggunakan Microsoft Entra kelayakan ID untuk log masuk tunggal (SSO) berasaskan Kerberos. Pengguna anda boleh mengakses data SAP dan menjalankan Panggilan Fungsi Jauh SAP (RFC) dalam Power Platform penyelesaian tanpa perlu log masuk beberapa kali ke berbilang perkhidmatan. Artikel ini membimbing anda melalui proses, termasuk mengkonfigurasi Kerberos delegasi terhad (KCD) pada gerbang data di premis untuk komunikasi selamat.

Ketahui lebih lanjut tentang Kerberos delegasi yang dikekang.

Arahan ini mengandaikan bahawa anda bermula dari awal. Kebanyakan pelanggan telah menyelesaikan beberapa langkah. Menentukan langkah yang perlu anda selesaikan untuk senario anda adalah di luar skop artikel ini. Sebagai contoh, anda boleh melangkau bahagian Cipta akaun perkhidmatan SAP dalam Perkhidmatan Domain Direktori Aktif jika sistem SAP anda telah dikonfigurasikan untuk SSO berasaskan Kerberos.

Prasyarat

• Pelayan Windows yang mempunyai Perkhidmatan Domain Direktori Aktif (AD DS). Contoh nama domain yang digunakan dalam panduan ini ialah corp.bestrun.com (NetBIOS: CORP).

• Pelayan gerbang data di premis, versi Oktober 2024 atau lebih baharu, menyertai domain Active Directory. Ketahui lebih lanjut dalam Pasang get laluan data di premis.

• Bantuan daripada peranan berikut:

  • Microsoft Entra Pentadbir ID
  • Pentadbir SAP Basis
  • Pentadbir Power Platform

Buat akaun perkhidmatan SAP dalam AD DS

Sebagai pentadbir domain, anda akan mencipta akaun perkhidmatan terlebih dahulu dan kemudian mentakrifkan Nama Prinsipal Perkhidmatan (SPN) dan mendayakannya untuk penyulitan Kerberos.

Nota

Jika pentadbir SAP Basis anda mengesahkan bahawa sistem SAP anda telah dikonfigurasikan untuk SSO berasaskan Kerberos, langkau bahagian ini.

Lakukan langkah berikut sebagai pentadbir domain untuk menyediakan akaun perkhidmatan:

1. Pada PC hos pengawal domain, buka Konsol Pengurusan Microsoft (MMC) dan jalankan snap-in Pengguna dan Komputer Direktori Aktif.

2. Dalam domain anda, klik kanan Pengguna dan pilih Pengguna> Baharu.

3. Masukkan Kerberos<SID> sebagai Nama penuh dan Nama log masuk Pengguna, di mana <SID> ialah ID sistem SAP anda, seperti A4H.

4. Pilih Seterusnya.

5. Masukkan dan sahkan kata laluan untuk akaun perkhidmatan baru.

6. Pilih kedua-dua Pengguna tidak boleh menukar kata laluan dan Kata Laluan tidak pernah tamat tempoh.

7. Pilih Seterusnya dan kemudian pilih Selesai.

Dengan akaun perkhidmatan yang dibuat, tentukan Nama Utama Perkhidmatan (SPN) dan dayakannya untuk penyulitan Kerberos.

1. Buka snap-in Edit ADSI (adsiedit.msc) dan sambungkan ke domain anda.

2. Pilih CN=Pengguna daripada konteks penamaan lalai domain anda.

3. Klik kanan objek pengguna CN=Kerberos<SID> dan pilih Properties.

4. Dalam senarai Atribut , pilih ServicePrincipalName.

5. Pilih Edit.

6. Masukkan Nama Prinsipal Perkhidmatan dalam format SAP/<SID,> di mana <SID> ialah ID sistem SAP anda, seperti A4H.

7. Pilih Tambah dan kemudian pilih OK.

8. Kembali ke snap-in Pengguna dan Komputer Direktori Aktif.

9. Dalam senarai Pengguna , klik kanan akaun perkhidmatan SAP baharuKerberos<SID> dan pilih Properties.

10. Pilih tab Akaun .

11. Di bawah Pilihan akaun, pilih Akaun ini menyokong penyulitan Kerberos AES 256 bit.

12. Pilih OK.

Penting

Mendayakan penyulitan Kerberos AES 256-bit boleh menyebabkan masalah kepada pelanggan lain, seperti SAP GUI, yang meminta tiket Kerberos daripada akaun Active Directory ini. Ini kerana ia mengubah senarai kaedah penyulitan yang tersedia, dan pelanggan lain tidak lagi mempunyai sifir penyulitan biasa. Semak log Active Directory untuk menentukan kaedah penyulitan yang digunakan oleh semua klien dan kemudian kemas kini msDS-SupportedEncryptionTypes sifat secara manual dengan nilai yang betul. Selepas kemas kini, pilihan penyulitan AES 256 akan muncul secara automatik tanpa perlu dipilih secara manual. Ketahui lebih lanjut di Menyahsulit pemilihan jenis penyulitan Kerberos yang disokong pada infrastruktur teras dan blog Komuniti.

Sediakan Komunikasi Rangkaian Selamat dengan pengesahan Kerberos SSO dalam SAP

Lakukan langkah-langkah berikut sebagai pentadbir SAP Basis dalam SAP GUI.

1. Untuk memulakan wizard Log Masuk Tunggal SAP, masukkan SNCWIZARD dalam medan Perintah .

2. Pada halaman Mula wizard , pilih Teruskan.

3. Terima nilai lalai untuk Identiti SNC sistem dan pilih Teruskan .

4. Pada halaman Parameter Profil Lalai, pilih Teruskan.

5. Pilih Tutup.

6. Log keluar daripada sistem SAP dan mulakan semula pelayan aplikasi SAP.

7. Log masuk ke SAP GUI dan jalankan SNCWIZARD sekali lagi.

8. Pada halaman Mula , pilih Teruskan.

9. Pada halaman Kelayakan Kerberos, pilih Teruskan.

10. Dalam Konfigurasi SPNEGO, pilihPaparan/Tukar untuk bertukar kepada mod edit, dan kemudian pilih Tambah .

11. Masukkan nilai berikut:

    • Nama Prinsipal Pengguna: Kerberos<SID>@DOMAIN, di mana# Kerberos<SID> ialah nama pengguna akaun perkhidmatan dan DOMAIN ialah nama layak sepenuhnya domain Direktori Aktif anda dalam huruf besar; contohnya, KerberosA4H(at)CORP.BESTRUN.COM.
    • Kata laluan dan Sahkan Kata Laluan: Kata laluan yang anda masukkan semasa anda mencipta akaun Active Directory.

12. Pilih Semak Pengguna dalam Active Directory untuk mengesahkan pengguna dan kemudian pilih Keluar.

13. Pilih Simpan.

14. Pada halaman Kelayakan X.509, pilih Langkau.

15. Pilih Lengkap.

Seterusnya, petakan nama pengguna SNC (berdasarkan nama pengguna domain Windows) kepada Nama Prinsipal Pengguna SAP.

1. Dalam SAP GUI, jalankan transaksi SU01.

2. Masukkan ID pengguna ujian (contohnya, JDAVIS) dalam medan Pengguna dan kemudian pilih Tukar.

3. Pilih tab SNC .

4. Masukkan Nama Prinsipal Pengguna dalam medan nama SNC; contohnya,p :CN=JDAVIS(at)CORP.BESTRUN.COM.

5. Pilih Simpan.

Sediakan gerbang data di premis untuk Kerberos Delegasi Kekangan

Secara lalai, gerbang di premis berjalan sebagai akaun NT Service\PBIEgwService perkhidmatan tempatan mesin. Untuk menggunakan Kerberos Terhad Delegasi dengan sambungan S4U protokol, gerbang perlu dijalankan sebagai akaun perkhidmatan dalam domain.

Lakukan langkah berikut sebagai pentadbir domain.

1. Pada PC hos Pengawal Domain, kembali ke snap-in Pengguna dan Komputer Direktori Aktif.

2. Dalam domain anda, klik kanan Pengguna dan pilih Pengguna> Baharu.

3. Masukkan GatewaySvc sebagai Nama penuh dan Nama log masuk pengguna.

4. Pilih Seterusnya.

5. Masukkan dan sahkan kata laluan untuk akaun perkhidmatan domain baharu.

6. Pilih kedua-dua Pengguna tidak boleh menukar kata laluan dan Kata Laluan tidak pernah tamat tempoh.

7. Pilih Seterusnya dan kemudian pilih Selesai.

Dengan akaun perkhidmatan domain yang dibuat, seterusnya anda akan mentakrifkan Nama Prinsipal Perkhidmatannya dan mendayakannya untuk perwakilan terhad Kerberos.

1. Dalam tetingkap PowerShell yang ditinggikan, masukkan arahan berikut untuk membuat SPN untuk akaun perkhidmatan baharu. Gantikan <nama hos> OPDG dengan nama hos gerbang data dan domain <> di premis anda dengan nama domain anda. Anda boleh mengetahui nama hos dengan memasukkan arahan hostname pada gesaan arahan.

   setspn –s gateway/<OPDG hostname> <domain>\GatewaySvc
   

2. Dalam snap-in Pengguna dan Komputer Direktori Aktif, klik kanan akaun perkhidmatan baharu dan pilih Properties.

3. Pilih tab Perwakilan .

4. Pilih Percayai pengguna ini untuk delegasi kepada perkhidmatan tertentu sahaja dan Gunakan mana-mana protokol pengesahan.

5. Pilih Tambah.

6. Pilih Pengguna atau Komputer.

7. Masukkan Kerberos<SID> dalam medan nama objek, di mana <SID> ialah ID sistem SAP anda, seperti A4H.

8. Pilih Semak Nama dan kemudian pilih OK.

Senarai perkhidmatan yang dibenarkan kini mengandungi SPN sistem SAP. Akaun perkhidmatan gerbang baru boleh meminta tiket perkhidmatan hanya untuk sistem SAP bagi pihak pengguna yang disebarkan dengan sambungan protokol Kerberos S4U2proxy.

1. Pilih Pilih Semua.
2. Pilih OK.
3. Pilih OK buat kali kedua.
4. Akaun perkhidmatan gerbang data di premis mesti diberikan kepada dasar tempatan pada hos gerbang data di premis. Lakukan konfigurasi ini dengan Editor Dasar Kumpulan Tempatan dengan menjalankan gpedit.msc daripada gesaan arahan Pentadbir .
5. Pergi ke Dasar Komputer Tempatan-Konfigurasi> Komputer-Tetapan Windows-Tetapan> Keselamatan-Dasar>> Tempatan-Penetapan> Hak Pengguna. Berikan akaun perkhidmatan domain gerbang data di premis (contohnya CORP\GatewaySvc) dasar tempatan bertindak sebagai sebahagian daripada sistem pengendalian dengan mengklik dua kali padanya.
6. Pilih Tambah Pengguna atau Kumpulan.
7. Masukkan nama akaun perkhidmatan domain get laluan data di premis anda (contohnya GatewaySvc) dan pilih Semak Nama untuk menyelesaikannya kepada nama penuh yang sedia ada. Pilih OK. Nama domain akaun perkhidmatan (contohnya CORP\GatewaySvc) kini ditambah pada senarai pengguna dasar. Pilih OK untuk menggunakan konfigurasi baharu.
8. Ulangi langkah yang sama untuk Dasar Menyamar sebagai klien selepas pengesahan dengan mengklik dua kali padanya. Pilih Tambah Pengguna atau Kumpulan dan selesaikan akaun perkhidmatan get laluan data di premis kepada nama penuh sedia ada dengan Semak Nama. Pilih OK.
9. Nama akaun perkhidmatan (contohnya CORP\GatewaySvc) kini ditambah pada senarai pengguna dasar. Pilih OK. Tutup Editor Dasar Kumpulan Tempatan.
10. Mulakan aplikasi gerbang data di premis daripada pautan desktop pada hos get laluan atau dengan menjalankan C:\Program Files\On-premises get laluan data\EnterpriseGatewayConfigurator.exe. Pilih log masuk untuk mendaftar masuk sebagai Power Platform pengguna pentadbir Sistem yang mendaftarkan gerbang data di premis dalam persekitaran.
11. Pilih Tetapan Perkhidmatan daripada menu konfigurator. Pilih Tukar akaun.
12. Pilih Gunakan dan Mulakan Semula.
13. Masukkan nama akaun perkhidmatan get laluan data di premis anda (contohnya CORP\GatewaySvc ) dankata laluan . Pilih Konfigurasikan.
14. Sediakan akaun log masuk pentadbir Sistem anda Power Platform , dengan memilih log masuk.
15. Pilih Pindahkan, pulihkan atau ambil alih gerbang sedia ada untuk memulihkan pendaftaran get laluan anda.
16. Pilih kluster dan tika gerbang anda daripada kotak lungsur dan berikan kunci pemulihan yang dipilih semasa pendaftaran awal. Pilih Konfigurasikan.
17. Selepas pemulihan selesai, tika perkhidmatan gerbang data di premis anda menggunakan akaun perkhidmatan domain (contohnya CORP\GatewaySvc).

Pasang dan konfigurasikan Perpustakaan Kriptografi SAP

Untuk komunikasi SNC antara gerbang data di premis dan sistem SAP, Perpustakaan Kriptografi SAP mesti dipasang pada hos pintu masuk bersama-sama dengan SAP NCo 3.1.

1. Muat turun versi terkini Pustaka Kriptografi SAP daripada Muat Turun Perisian Portal Sokongan SAP (S-Pengguna diperlukan), dan salin fail pustaka (sapcrypto.dll) ke direktori pemasangan gerbang data di premis pada hos gerbang (gerbang data C:\Program Files\On-premises). Klik kanan pada fail sapcrypto.dll dan pilih Properties daripada menu konteks.
2. Tukar ke tab Butiran untuk menyemak versi pustaka. Ia sepatutnya 8.5.25 atau lebih baru. Pilih OK.
3. Buat fail teks baharu sapcrypto.ini dalam direktori yang sama (C:\Program Files\On-premises gerbang data) dengan kandungan ini: ccl/snc/enable_kerberos_in_client_role = 1.
4. Simpan fail
5. Buat pembolehubah persekitaran sistem CCL_PROFILE dan tetapkan nilainya kepada laluan fail konfigurasi sapcrypto.ini . Pada hos pintu masuk, lancarkan Panel Kawalan dan navigasi ke Sistem dan Sistem Keselamatan>. Pilih Tetapan sistem lanjutan .
6. Pilih Pembolehubah Persekitaran.
7. Di bawah Pemboleh ubah sistem, pilih Baharu .
8. Masukkan CCL_PROFILE sebagai nama pemboleh ubah. Untuk nilai pembolehubah, masukkan laluan penuh ke fail sapcrypto.ini anda, contohnya, # C:\Program Files\On-premises get laluan data\sapcrypto.ini. Pilih OK.
9. Pilih OK buat kali kedua.

Konfigurasikan tetapan OPDG FullDomainResolutionEnabled

Untuk membantu gerbang data di premis apabila mencari pengguna Active Directory, kami perlu menetapkan nilai konfigurasi dalam tetapan gerbang data di premis.

1. Pada hos pintu masuk, buka fail Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config dalam folder pemasangan gerbang data di premis (gerbang data C:\Program Files\On-premises) dalam editor.
2. Cari tetapan FullDomainResolutionEnabled dan tetapkan nilainya kepada Benar.
3. Pilih Mulakan semula sekarang daripada tab Tetapan Perkhidmatan konfigurator gerbang data di premis untuk menggunakan perubahan.

Konfigurasikan Pemetaan Pengguna dalam Active Directory

Jika Microsoft Entra Nama Prinsipal Pengguna ID adalah sama dengan sifat e-mel di premis Active Directory, maka langkah ini boleh dilangkau.

Untuk mendayakan penyebaran prinsipal berasaskan Kerberos untuk pengguna dalam senario ini, pemetaan daripada nama pengguna penuh pengguna (Nama Prinsipal Pengguna, UPN) dalam Microsoft Entra ID kepada nama tempatan pengguna dalam Active Directory diperlukan. Untuk tujuan ini, kami menggunakan atribut msDS-cloudExtensionAttribute1 pengguna Active Directory tempatan yang tidak digunakan untuk menyimpan Microsoft Entra ID UPN. Mana-mana atribut Active Directory lain yang tidak digunakan juga boleh digunakan.

Dalam senario untuk pengguna ujian aplikasi Jack Davis, tetapkan atribut msDS-cloudExtensionAttribute1 akaun pengguna jdavis@corp.bestrun.com domain Active Directory tempatan kepada UPN Microsoft Entra ID pengguna jdavis@bestruncorp.onmicrosoft.com untuk memautkan dua akaun mereka.

1. Pada hos pintu masuk, buka fail Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config dalam folder pemasangan gerbang data di premis (C:\Program Files\On-premises gerbang data) dalam editor.
2. Cari seting ADUserNameReplacementProperty dan tetapkan nilainya kepada SAMAccountName.
3. Cari tetapan ADUserNameLookupProperty dan tetapkannya kepada nilai msDS-cloudExtensionAttribute1. Simpan perubahan dalam fail.
4. Pilih Mulakan semula sekarang daripada tab Tetapan Perkhidmatan konfigurator gerbang data di premis untuk menggunakan perubahan.
5. Pada hos Pengawal Domain, pilih Mula dan pilih Alat Pentadbiran Windows-Edit> ADSI daripada menu. Dalam Editor ADSI, navigasi dalam pokok objek sebelah kiri ke CN=Users di bawah konteks penamaan lalai domain. Klik kanan pada objek pengguna ujian (contohnya CN=Jack Davis) dan pilih Properties daripada menu konteks.
6. Pilih atribut msDS-cloudExtensionAttribute1 daripada senarai dan pilih Edit.
7. Masukkan ID UPN pengguna Microsoft Entra ujian (contohnya jdavis@<nama> domain.onmicrosoft.com) dalam medan Nilai . Gantikan <nama> domain dengan nama domain penyewa ID anda Microsoft Entra , contohnya, bestruncorp. Pilih OK.

Cipta Aliran Power Automate

Semua komponen di premis (sistem SAP, gerbang data di premis dan AD) kini dikonfigurasikan dengan betul untuk penyebaran prinsipal berasaskan Kerberos. Dalam langkah ini, cipta dan jalankan Power Automate Aliran untuk menguji konfigurasi.

1. Log masuk ke Power Automate di. https://make.powerautomate.com

2. Pilih Aliran Saya-Aliran> Baharu-aliran> awan segera

3. Beri nama aliran, pilih Cetuskan aliran secara manual dan pilih Cipta.

4. Tambahkan tindakan penyambung SAP ERP Panggil fungsi SAP (V3) pada aliran anda.

5. Jika anda tidak mempunyai sebarang sambungan SAP ERP yang dibuat, anda digesa untuk menciptanya. Jika anda mempunyai sambungan sedia ada, buat sambungan baharu.

   • Jenis Pengesahan hendaklah ID Microsoft Entra (dengan Kerberos).
   • Gerbang Data hendaklah gerbang data di premis yang telah dikonfigurasikan dalam panduan ini.
   • Pilih Log masuk.

6. Dalam tindakan SAP ERP Call SAP function (V3), tetapkan parameter berikut:

   • Nama RFC ditetapkan kepada STFC_CONNECTION.
   • Sistem SAP ditetapkan kepada (tukar nilai-nilai ini mengikut pentadbir SAP Basis anda).

   json { "AppServerHost": "<Nama> Pelayan SAP", "Pelanggan": "<Pelanggan> SAP", "LogonType": "ApplicationServer", "SncLibraryPath": "C:\Program Files\On-premises get laluan data\sapcrypto.dll", "SncPartnerName": "p:<Nama Rakan> Kongsi SAP", "SncQOP": "Lalai", "SncSso": "Hidup", "SystemNumber": "<Nombor> Sistem SAP", "UseSnc": "benar" }

7. Jika semuanya berjaya, parameter REQUTEXT di mana nilai seperti Hello World boleh dimasukkan.

8. Simpan dan uji aliran.