Zelfstudie: Microsoft Entra SSO-integratie met SAP Business Technology Platform

In deze zelfstudie leert u hoe u SAP Business Technology Platform integreert met Microsoft Entra ID. Wanneer u SAP Business Technology Platform integreert met Microsoft Entra ID, kunt u het volgende doen:

• In Microsoft Entra ID beheren wie toegang heeft tot SAP Business Technology Platform.
• Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij SAP Business Technology Platform.
• Beheer uw accounts op één centrale locatie.

Voorwaarden

U hebt het volgende nodig om aan de slag te gaan:

• Een Microsoft Entra-abonnement. Als u geen abonnement hebt, kunt u een gratis account krijgen.
• Een abonnement op het SAP Business Technology Platform met single sign-on (SSO).

Belangrijk

U moet uw eigen toepassing implementeren of zich abonneren op een toepassing in uw SAP Business Technology Platform-account om eenmalige aanmelding te testen. In deze tutorial wordt een toepassing geïmplementeerd in de account.

Beschrijving van scenario

In deze zelfstudie configureert en test u eenmalige aanmelding van Microsoft Entra in een testomgeving.

• SAP Business Technology Platform ondersteunt SP-geïnitieerd eenmalig aanmelden.

SAP Business Technology Platform toevoegen vanuit de galerie

Als u de integratie van SAP Business Technology Platform in Microsoft Entra ID wilt configureren, moet u SAP Business Technology Platform vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beheerder van cloudtoepassingen.
2. Blader naar Identity>Applications>Enterprise-toepassingen>Nieuwe toepassing.
3. Typ in de sectie Toevoegen uit de galerieSAP Business Technology Platform in het zoekvak.
4. Selecteer SAP Business Technology Platform in het resultatenvenster en voeg vervolgens de app toe. Wacht enkele seconden terwijl de app aan uw tenant wordt toegevoegd.

Als alternatief kunt u ook de wizard Enterprise App Configurationgebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Microsoft Entra SSO voor SAP Business Technology Platform configureren en testen

Stel Microsoft Entra SSO in en test dit met SAP Business Technology Platform door gebruik te maken van een testgebruiker genaamd B.Simon. SSO werkt als u een koppeling tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in het SAP Business Technology Platform.

Om Microsoft Entra SSO met SAP Business Technology Platform te configureren en te testen, voert u de volgende stappen uit:

1. Microsoft Entra SSO configureren om gebruikers deze functie te laten gebruiken.
   1. Een Microsoft Entra-testgebruiker maken : om eenmalige aanmelding van Microsoft Entra met Britta Simon te testen.
   2. Wijs de testgebruiker van Microsoft Entra toe om Britta Simon in staat te stellen gebruik te maken van Microsoft Entra single sign-on.
2. SAP Business Technology Platform SSO configureren - om de Single Sign-On-instellingen aan de toepassingszijde te configureren.
   1. Testgebruiker voor SAP Business Technology Platform maken : als u een tegenhanger van Britta Simon in SAP Business Technology Platform wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
3. SSO testen - om te controleren of de configuratie werkt.

Microsoft Entra SSO configureren

Volg deze stappen om Microsoft Entra SSO in te schakelen.

1. Meld u zich bij het Microsoft Entra-beheercentrum aan als ten minste een Cloudtoepassingsbeheerder.

2. Blader naar Identity>Applications>Enterprise-toepassingen>SAP Business Technology Platform>eenmalige aanmelding.

3. Op de pagina Een methode voor eenmalige aanmelding selecteren, selecteer SAML.

4. Klik op de pagina Eenmalige aanmelding instellen met SAML op het potloodpictogram voor Standaard SAML-configuratie om de instellingen te bewerken.

   

5. Voer in de sectie Standaard SAML-configuratie de waarden in voor de volgende velden:

   een. In het tekstvak Identifier typt u een URL voor uw SAP Business Technology Platform in, met behulp van een van de volgende patronen:

   id-
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. Typ in het tekstvak Antwoord-URL een URL met een van de volgende patronen:

   antwoord-URL
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. Typ in het tekstvak Aanmeldings-URL de URL die uw gebruikers gebruiken om u aan te melden bij uw SAP Business Technology Platform toepassing. Dit is de accountspecifieke URL van een beveiligde resource in uw SAP Business Technology Platform-toepassing. De URL is gebaseerd op het volgende patroon: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Notitie

   Dit is de URL in uw SAP Business Technology Platform-toepassing waarvoor de gebruiker zich moet verifiëren.

   aanmeldings-URL
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Notitie

   Deze waarden zijn niet echt. Werk deze waarden bij met de werkelijke id, antwoord-URL en aanmeldings-URL. Neem contact op met klantondersteuningsteam van SAP Business Technology Platform om Sign-On URL en id op te halen. Antwoord-URL die u kunt ophalen uit de sectie Vertrouwensbeheer, die verderop in de zelfstudie wordt uitgelegd.

6. Klik op de pagina Single Sign-On met SAML instellen met SAML in de sectie SAML-handtekeningcertificaat op Downloaden om het XML- met federatieve metagegevens te downloaden op basis van uw behoeften en op te slaan op uw computer.

   

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
3. Selecteer Nieuwe gebruiker>Nieuwe gebruiker makenbovenaan het scherm.
4. Voer in de eigenschappen User de volgende stappen uit:
   1. Voer in het veld weergavenaamB.Simonin.
   2. Voer in het veld User Principal Name de username@companydomain.extensionin. Bijvoorbeeld B.Simon@contoso.com.
   3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
   4. Selecteer Beoordelen enmaken.
5. Selecteer maak.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door toegang te verlenen tot SAP Business Technology Platform.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.
2. Blader naar Identity>Toepassingen>Enterprise-toepassingen>SAP Business Technology Platform.
3. Op de overzichtspagina van de app, selecteer Gebruikers en groepen.
4. Selecteer Gebruiker/groep toevoegenen selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
   1. Selecteer in het dialoogvenster Gebruikers en groepen de gebruiker B.Simon in de lijst Gebruikers en klik vervolgens op de knop Selecteer onder aan het scherm.
   2. Als u verwacht dat een rol wordt toegewezen aan de gebruikers, kunt u deze selecteren in de Selecteer een rol vervolgkeuzelijst. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
   3. Klik in het dialoogvenster Nieuwe Taak Toevoegen op de knop Toewijzen.

SSO configureren voor SAP Business Technology Platform

1. Meld u in een ander browservenster aan bij de SAP Business Technology Platform Cockpit op https://account.<landscape host>.ondemand.com/cockpit(bijvoorbeeld: https://account.hanatrial.ondemand.com/cockpit).

2. Klik op het tabblad Vertrouwen.

   

3. Voer in de sectie Vertrouwensbeheer onder Lokale serviceproviderde volgende stappen uit:

   

   een. Klik op bewerken.

   b. Als configuratietypeselecteert u Aangepaste.

   c. Als lokale providernaam, laat u de standaardwaarde staan. Kopieer deze waarde en plak deze in het veld Identifier in de Microsoft Entra-configuratie voor SAP Business Technology Platform.

   d. Als u een handtekeningsleutel en een handtekeningcertificaat sleutelpaar wilt genereren, klikt u op sleutelpaar genereren.

   e. Als Principal Propagation, selecteer Uitgeschakeld.

   f. Selecteer uitgeschakeldeals verificatie afdwingen.

   g. Klik op Opslaan.

4. Nadat u de lokale serviceprovider instellingen hebt opgeslagen, voert u het volgende uit om de antwoord-URL te verkrijgen:

   

   een. Download het metagegevensbestand van het SAP Business Technology Platform door te klikken op Metagegevens ophalen.

   b. Open het gedownloade XML-bestand met metagegevens van SAP Business Technology Platform en zoek de ns3:AssertionConsumerService tag.

   c. Kopieer de waarde van het kenmerk Location en plak deze in het veld Antwoord-URL in de Microsoft Entra-configuratie voor SAP Business Technology Platform.

5. Klik op het tabblad Vertrouwde id-provider en klik vervolgens op Vertrouwde id-provider toevoegen.

   

   Notitie

   Als u de lijst met vertrouwde id-providers wilt beheren, moet u het aangepaste configuratietype hebben gekozen in de sectie Lokale serviceprovider. Voor het standaardconfiguratietype hebt u een niet-bewerkbare en impliciete vertrouwensrelatie met de SAP ID-service. Voor Geen hebt u geen vertrouwensinstellingen.

6. Klik op het tabblad Algemeen en klik vervolgens op Bladeren om het gedownloade metagegevensbestand te uploaden.

   

   Notitie

   Nadat u het metagegevensbestand hebt geüpload, worden de waarden voor URL voor eenmalige aanmelding, url voor eenmalige afmeldingen handtekeningcertificaat automatisch ingevuld.

7. Klik op het tabblad Kenmerken.

8. Voer op het tabblad Kenmerken de volgende stap uit:

   

   een. Klik op Assertion-Based kenmerk toevoegenen voeg vervolgens de volgende op asserties gebaseerde kenmerken toe:

   Assertiekenmerk	Principal-kenmerk
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	voornaam
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	achternaam
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	e-mail

   Notitie

   De configuratie van de kenmerken is afhankelijk van de wijze waarop de toepassing(en) op SCP zijn ontwikkeld, dat wil gezegd, welke kenmerken ze verwachten in het SAML-antwoord en onder welke naam (Principal Attribute) ze toegang hebben tot dit kenmerk in de code.

   b. De standaardkenmerk in de schermopname is alleen ter illustratie. Het is niet vereist om het scenario te laten werken.

   c. De namen en waarden voor Principal Attribute in de schermopname zijn afhankelijk van de wijze waarop de toepassing is ontwikkeld. Het is mogelijk dat uw toepassing verschillende toewijzingen vereist.

Groepen op basis van asserties

Als optionele stap kunt u op assertie gebaseerde groepen configureren voor uw Microsoft Entra-id-provider.

Met behulp van groepen op SAP Business Technology Platform kunt u een of meer gebruikers dynamisch toewijzen aan een of meer rollen in uw SAP Business Technology Platform-toepassingen, bepaald door de waarden van kenmerken in de SAML 2.0-assertie.

Als de assertie bijvoorbeeld het kenmerk 'contract=tijdelijk' bevat, wilt u mogelijk dat alle betrokken gebruikers worden toegevoegd aan de groepTIJDELIJKE'. De groepTIJDELIJKEkan een of meer rollen bevatten uit een of meer toepassingen die zijn geïmplementeerd in uw SAP Business Technology Platform-account.

Gebruik op assertie gebaseerde groepen wanneer u meerdere gebruikers tegelijk wilt toewijzen aan een of meer rollen van toepassingen in uw SAP Business Technology Platform-account. Als u slechts één of klein aantal gebruikers wilt toewijzen aan specifieke rollen, raden we u aan ze rechtstreeks toe te wijzen op het tabblad 'Authorizations' van de SAP Business Technology Platform-cockpit.

Testgebruiker voor SAP Business Technology Platform maken

Als u wilt dat Microsoft Entra-gebruikers zich kunnen aanmelden bij SAP Business Technology Platform, moet u rollen in het SAP Business Technology Platform aan hen toewijzen.

Voer de volgende stappen uit om een rol toe te wijzen aan een gebruiker:

1. Meld u aan bij uw SAP Business Technology Platform cockpit.

2. Voer het volgende uit:

   

   een. Klik op Autorisatie.

   b. Klik op het tabblad Gebruikers.

   c. Typ in het tekstvak Gebruiker het e-mailadres van de gebruiker.

   d. Klik op Toewijzen om de gebruiker aan een rol toe te wijzen.

   e. Klik op Opslaan.

SSO testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

• Klik op Test deze toepassing, u wordt omgeleid naar de aanmeldings-URL van SAP Business Technology Platform, waar u het inlogproces kunt initiëren.

• Ga rechtstreeks naar de aanmeldings-URL van SAP Business Technology Platform en initieer daar de aanmeldingsstroom.

• U kunt Microsoft Mijn apps gebruiken. Wanneer u in Mijn apps op de tegel SAP Business Technology Platform klikt, wordt u automatisch aangemeld bij de SAP Business Technology Platform waarvoor u SSO hebt ingesteld. Zie Inleiding tot mijn appsvoor meer informatie over mijn apps.

Volgende stappen

• Zodra u SAP Business Technology Platform hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.
• Toegang tot SAP BTP-apps beheren via groepen