Share via


Zelfstudie: Microsoft Entra SSO-integratie met SAP Business Technology Platform

In deze zelfstudie leert u hoe u SAP Business Technology Platform integreert met Microsoft Entra ID. Wanneer u SAP Business Technology Platform integreert met Microsoft Entra ID, kunt u het volgende doen:

  • In Microsoft Entra ID beheren wie toegang heeft tot SAP Business Technology Platform.
  • Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij SAP Business Technology Platform.
  • Beheer uw accounts op één centrale locatie.

Vereisten

U hebt het volgende nodig om aan de slag te gaan:

  • Een Microsoft Entra-abonnement. Als u geen abonnement hebt, kunt u een gratis account krijgen.
  • Een abonnement op SAP Business Technology Platform waarvoor eenmalige aanmelding is ingeschakeld.

Belangrijk

U moet uw eigen toepassing implementeren of zich abonneren op een toepassing in uw SAP Business Technology Platform-account om eenmalige aanmelding te testen. In deze zelfstudie wordt een toepassing geïmplementeerd in het account.

Beschrijving van scenario

In deze zelfstudie configureert en test u eenmalige aanmelding van Microsoft Entra in een testomgeving.

  • SAP Business Technology Platform ondersteunt door SP geïnitieerde eenmalige aanmelding.

Als u de integratie van SAP Business Technology Platform in Microsoft Entra ID wilt configureren, moet u SAP Business Technology Platform vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.
  3. Typ IN de sectie Toevoegen uit de galerie SAP Business Technology Platform in het zoekvak.
  4. Selecteer SAP Business Technology Platform in het resultatenvenster en voeg vervolgens de app toe. Wacht enkele seconden tot de app aan de tenant is toegevoegd.

U kunt ook de wizard Enterprise App Configuration gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Eenmalige aanmelding van Microsoft Entra voor SAP Business Technology Platform configureren en testen

Configureer en test eenmalige aanmelding van Microsoft Entra met SAP Business Technology Platform met behulp van een testgebruiker met de naam B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in SAP Business Technology Platform.

Voer de volgende stappen uit om eenmalige aanmelding van Microsoft Entra met SAP Business Technology Platform te configureren en te testen:

  1. Configureer eenmalige aanmelding van Microsoft Entra - zodat uw gebruikers deze functie kunnen gebruiken.
    1. Maak een Microsoft Entra-testgebruiker om eenmalige aanmelding van Microsoft Entra te testen met Britta Simon.
    2. Wijs de Microsoft Entra-testgebruiker toe : om Britta Simon in staat te stellen gebruik te maken van eenmalige aanmelding van Microsoft Entra.
  2. Eenmalige aanmelding voor SAP Business Technology Platform configureren: als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
    1. Testgebruiker voor SAP Business Technology Platform maken: als u een tegenhanger van Britta Simon in SAP Business Technology Platform wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
  3. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Eenmalige aanmelding voor Microsoft Entra configureren

Volg deze stappen om eenmalige aanmelding van Microsoft Entra in te schakelen.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

  2. Blader naar Identity>Applications Enterprise-toepassingen>>SAP Business Technology Platform-eenmalige> aanmelding.

  3. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

  4. Op de pagina Eenmalige aanmelding instellen met SAML klikt u op het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.

    Edit Basic SAML Configuration

  5. In de sectie Standaard-SAML-configuratie voert u de waarden in voor de volgende velden:

    a. In het tekstvak Id geeft u het type URL van uw SAP Business Technology Platform op met behulp van een van de volgende patronen:

    Id
    https://hanatrial.ondemand.com/<instancename>
    https://hana.ondemand.com/<instancename>
    https://us1.hana.ondemand.com/<instancename>
    https://ap1.hana.ondemand.com/<instancename>

    b. In het tekstvak Antwoord-URL typt u een URL in een van de volgende notaties:

    Antwoord-URL
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>
    https://<subdomain>.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

    c. Typ in het tekstvak Aanmeldings-URL de URL die door uw gebruikers wordt gebruikt om u aan te melden bij uw SAP Business Technology Platform-toepassing . Dit is de accountspecifieke URL van een beveiligde resource in uw SAP Business Technology Platform-toepassing. De URL is gebaseerd op de volgende notatie: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

    Notitie

    Dit is de URL in uw SAP Business Technology Platform-toepassing waarvoor de gebruiker zich moet verifiëren.

    Aanmeldings-URL
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>

    Notitie

    Dit zijn geen echte waarden. Werk deze waarden bij met de werkelijke id, antwoord-URL en aanmeldings-URL. Neem contact op met het klantondersteuningsteam van SAP Business Technology Platform om de aanmeldings-URL en -id op te halen. De antwoord-URL kunt u ophalen in de sectie vertrouwensbeheer die verderop in de zelfstudie wordt uitgelegd.

  6. Ga op de pagina Eenmalige aanmelding met SAML instellen naar de sectie SAML-handtekeningcertificaat en klik op Downloaden om het XML-bestand met federatieve metagegevens te downloaden uit de gegeven opties overeenkomstig met wat u nodig hebt, en op te slaan op uw computer.

    The Certificate download link

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.
  2. Blader naar Identiteitsgebruikers>>Alle gebruikers.
  3. Selecteer Nieuwe gebruiker Nieuwe gebruiker> maken bovenaan het scherm.
  4. Voer in de gebruikerseigenschappen de volgende stappen uit:
    1. Voer in het veld Weergavenaam de tekst in B.Simon.
    2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld B.Simon@contoso.com.
    3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
    4. Selecteer Controleren + maken.
  5. Selecteer Maken.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door toegang te verlenen tot SAP Business Technology Platform.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Blader naar Enterprise-toepassingen voor identiteitstoepassingen>>>SAP Business Technology Platform.
  3. Selecteer gebruikers en groepen op de overzichtspagina van de app.
  4. Selecteer Gebruiker/groep toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
    1. Selecteer in het dialoogvenster Gebruikers en groepen de optie B.Simon in de lijst Gebruikers. Klik vervolgens op de knop Selecteren onderaan het scherm.
    2. Als u verwacht dat er een rol aan de gebruikers moet worden toegewezen, kunt u de rol selecteren in de vervolgkeuzelijst Selecteer een rol. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
    3. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen.

Eenmalige aanmelding voor SAP Business Technology Platform configureren

  1. Meld u in een ander browservenster aan bij de SAP Business Technology Platform Cockpit op https://account.<landscape host>.ondemand.com/cockpit(bijvoorbeeld: https://account.hanatrial.ondemand.com/cockpit).

  2. Klik op het tabblad Vertrouwen.

    Trust

  3. Voer in de sectie Vertrouwensbeheer, onder Lokale serviceprovider, de volgende stappen uit:

    Screenshot that shows the

    a. Klik op Bewerken.

    b. Selecteer als configuratietype de optie Aangepast.

    c. Laat bij Lokale providernaam de standaardwaarde staan. Kopieer deze waarde en plak deze in het veld Id in de Microsoft Entra-configuratie voor SAP Business Technology Platform.

    d. Klik voor het genereren van een sleutelpaar voor een ondertekeningssleutel en ondertekeningscertificaat op Sleutelpaar genereren.

    e. Selecteer bij Principal-doorgifte de optie Uitgeschakeld.

    f. Selecteer bij Geforceerde verificatie de optie Uitgeschakeld.

    . Klik op Opslaan.

  4. Nadat de Lokale serviceprovider-instellingen zijn opgeslagen, kunt u de antwoord-URL op de volgende manier verkrijgen:

    Get Metadata

    a. Download het metagegevensbestand van SAP Business Technology Platform door op Metagegevens ophalen te klikken.

    b. Open het gedownloade XML-bestand met metagegevens van SAP Business Technology Platform en zoek vervolgens de ns3:AssertionConsumerService-tag .

    c. Kopieer de waarde van het kenmerk Locatie en plak deze in het veld Antwoord-URL in de Microsoft Entra-configuratie voor SAP Business Technology Platform.

  5. Klik op het tabblad Vertrouwde id-provider en klik vervolgens op Vertrouwde id-provider toevoegen.

    Screenshot that shows the

    Notitie

    Voor het beheren van de lijst met vertrouwde id-providers moet u het type Aangepaste configuratie hebben gekozen in de sectie Lokale serviceprovider. Voor het standaard configuratietype hebt u een niet-bewerkbare en impliciete vertrouwensrelatie met de SAP-id-service. Voor Geen hebt u geen vertrouwensrelatie-instellingen.

  6. Klik op het tabblad Algemeen en vervolgens op Bladeren om het gedownloade metagegevensbestand te uploaden.

    Trust Management

    Notitie

    Na het uploaden van het metagegevensbestand worden de waarden voor Eenmalige aanmeldings-URL, Eenmalige afmeldings-URL en Ondertekeningscertificaat automatisch ingevuld.

  7. Klik op het tabblad Kenmerken.

  8. Voer op het tabblad Kenmerken de volgende stap uit:

    Attributes

    a. Klik op Op bevestiging gebaseerd kenmerk toevoegen en voeg de volgende kenmerken toe op basis van een bevestiging:

    Bevestigingskenmerk Principal-kenmerk
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname firstname
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname lastname
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress e-mailadres

    Notitie

    De configuratie van de kenmerken is afhankelijk van hoe de toepassingen op SCP worden ontwikkeld. Dat wil zeggen, welke kenmerken in het SAML-antwoord worden verwacht en onder welke naam (Principal-kenmerk) toegang wordt verleend tot dit kenmerk in de code.

    b. Het Standaardkenmerk in de schermafbeelding dient slechts ter illustratie. Het is niet vereist om het scenario te laten werken.

    c. De weergegeven namen en waarden voor Principal-kenmerk in de schermafbeelding zijn afhankelijk van hoe de toepassing is ontwikkeld. Het is mogelijk dat uw toepassing is vereist voor andere toewijzingen.

Op bevestiging gebaseerde groepen

Als optionele stap kunt u op assertie gebaseerde groepen configureren voor uw Microsoft Entra-id-provider.

Met behulp van groepen op SAP Business Technology Platform kunt u een of meer gebruikers dynamisch toewijzen aan een of meer rollen in uw SAP Business Technology Platform-toepassingen, bepaald door de waarden van kenmerken in de SAML 2.0-assertie.

Als de bevestiging bijvoorbeeld het kenmerk contract=tijdelijk bevat, kunt u alle betrokken gebruikers toevoegen aan de groep TIJDELIJK. De groep 'TIJDELIJK' kan een of meer rollen bevatten uit een of meer toepassingen die zijn geïmplementeerd in uw SAP Business Technology Platform-account.

Gebruik op assertie gebaseerde groepen wanneer u meerdere gebruikers tegelijk wilt toewijzen aan een of meer rollen van toepassingen in uw SAP Business Technology Platform-account. Als u slechts één of klein aantal gebruikers wilt toewijzen aan specifieke rollen, raden we u aan ze rechtstreeks toe te wijzen op het tabblad 'Autorisaties' van de cockpit van het SAP Business Technology Platform.

Testgebruiker voor SAP Business Technology Platform maken

Als u wilt dat Microsoft Entra-gebruikers zich kunnen aanmelden bij SAP Business Technology Platform, moet u rollen in het SAP Business Technology Platform aan hen toewijzen.

Als u een rol wilt toewijzen aan een gebruiker, moet u de volgende stappen uitvoeren:

  1. Meld u aan bij uw SAP Business Technology Platform-cockpit .

  2. Voer het volgende uit:

    Authorizations

    a. Klik op Autorisatie.

    b. Klik op het tabblad Gebruikers.

    c. Typ in het tekstvak Gebruiker het e-mailadres van de gebruiker.

    d. Klik op Toewijzen om de gebruiker toe te wijzen aan een rol.

    e. Klik op Opslaan.

Eenmalige aanmelding testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

  • Klik op Deze toepassing testen. U wordt omgeleid naar de aanmeldings-URL van SAP Business Technology Platform, waar u de aanmeldingsstroom kunt initiëren.

  • Ga rechtstreeks naar de aanmeldings-URL van SAP Business Technology Platform en initieer daar de aanmeldingsstroom.

  • U kunt Microsoft Mijn apps gebruiken. Wanneer u in de Mijn apps op de tegel SAP Business Technology Platform klikt, wordt u automatisch aangemeld bij het exemplaar van SAP Business Technology Platform waarvoor u eenmalige aanmelding hebt ingesteld. Zie Introduction to My Apps (Inleiding tot Mijn apps) voor meer informatie over Mijn apps.

Volgende stappen

Zodra u SAP Business Technology Platform hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.