Integratie van eenmalige aanmelding van Microsoft Entra met SAP NetWeaver

In dit artikel leert u hoe u SAP NetWeaver integreert met Microsoft Entra ID. Wanneer u SAP NetWeaver integreert met Microsoft Entra ID, kunt u het volgende doen:

• In Microsoft Entra-id beheren wie toegang heeft tot SAP NetWeaver.
• Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij SAP NetWeaver.
• Beheer uw accounts op één centrale locatie.

Prerequisites

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

• Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u dat nog niet hebt, kunt u gratis een account maken.
• Een van de volgende rollen:
  • Toepassingsbeheerder
  • cloudtoepassingsbeheerder
  • applicatie-eigenaar.

• SAP NetWeaver-abonnement met ingeschakelde Single Sign-On (SSO).
• SAP NetWeaver V7.20 of hoger

Beschrijving van scenario

• SAP NetWeaver ondersteunt zowel SAML (door SP geïnitieerde SSO) als OAuth. In dit artikel configureer en test je Microsoft Entra SSO in een testomgeving.

Notitie

De id van deze toepassing is een vaste tekenreekswaarde zodat maar één exemplaar in één tenant kan worden geconfigureerd.

Notitie

De toepassing in SAML of in OAuth configureren conform de vereisten van uw organisatie.

SAP NetWeaver toevoegen vanuit de galerie

Als u de integratie van SAP NetWeaver in Microsoft Entra ID wilt configureren, moet u SAP NetWeaver vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.
2. Blader naar Identity>Applicaties>Enterprise-applicaties>Nieuwe toepassing.
3. Typ in de sectie Toevoegen vanuit de galerie in het zoekvak: SAP NetWeaver.
4. Selecteer SAP NetWeaver in het resultatenvenster en voeg de app vervolgens toe. Wacht een paar seconden terwijl de app aan uw tenant wordt toegevoegd.

U kunt alternatief ook de Enterprise App Configuration-wizard gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Configureer en test Microsoft Entra SSO voor SAP NetWeaver

Configureer en test Microsoft Entra SSO met SAP NetWeaver met behulp van een testgebruiker genaamd B.Simon. SSO werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in SAP NetWeaver.

Configureer en test Microsoft Entra Single Sign-On (SSO) met SAP NetWeaver door de volgende stappen uit te voeren:

1. Configureer Microsoft Entra Single Sign-On om uw gebruikers in staat te stellen deze functie te gebruiken.
   1. Maak een Microsoft Entra-testgebruiker om eenmalige aanmelding van Microsoft Entra te testen met B.Simon.
   2. Wijs de Microsoft Entra-testgebruiker toe om B.Simon in staat te stellen gebruik te maken van eenmalige aanmelding van Microsoft Entra.
2. SAP NetWeaver configureren met SAML om de instellingen voor eenmalige aanmelding aan de kant van de toepassing te configureren.
   1. Maak een SAP NetWeaver-testgebruiker om een tegenhanger van B.Simon in SAP NetWeaver te hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
3. Eenmalige aanmelding testen om te controleren of de configuratie werkt.
4. Configureer SAP NetWeaver voor OAuth om de OAuth-instellingen aan de toepassingszijde te configureren.
5. Request Access Token from Microsoft Entra ID to use Microsoft Entra ID as the Identity Provider (IdP).

Microsoft Entra SSO configureren

In deze sectie schakelt u eenmalige aanmelding van Microsoft Entra in.

Voer de volgende stappen uit om eenmalige aanmelding van Microsoft Entra met SAP NetWeaver te configureren:

1. Open een nieuw browservenster en meld u aan als beheerder bij de SAP NetWeaver-site van uw bedrijf

2. Zorg ervoor dat http- en https-services actief zijn en de juiste poorten zijn toegewezen in T-code SMICM.

3. Meld u aan bij de bedrijfsclient van het SAP-systeem (T01), waarvoor eenmalige aanmelding is vereist, en activeer HTTP-beveiligingssessie Management.

   1. Ga naar transactiecode SICF_SESSIONS. Hier worden alle relevante profielparameters met de huidige waarden weergegeven. Deze zien eruit als hieronder:

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0 
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Notitie

      Pas de bovenstaande parameters aan volgens de vereisten van uw organisatie. De bovenstaande parameters worden hier slechts als indicatie weergegeven.

   2. Pas zo nodig de parameters aan in het exemplaar-/standaardprofiel van het SAP-systeem en start het SAP-systeem opnieuw op.

   3. Selecteer de relevante client dubbel om een HTTP-beveiligingssessie in te schakelen.

      

   4. Activeer de onderstaande SICF-services:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Ga naar transactiecode SAML2 in de bedrijfsclient van het SAP-systeem [T01/122]. In een browser wordt een gebruikersinterface geopend. In dit voorbeeld wordt ervanuit gegaan dat 122 een SAP-bedrijfsclient is.

   

5. Geef uw gebruikersnaam en wachtwoord op om in de gebruikersinterface in te voeren en selecteer Bewerken.

   

6. Vervang de providernaam van T01122 naar http://T01122, en selecteer Opslaan.

   Notitie

   De standaardprovidernaam komt standaard in <sid><client>-formaat, maar Microsoft Entra ID verwacht de naam in <protocol>://<name>-formaat. We raden aan de providernaam als https://<sid><client> te behouden zodat meerdere SAP NetWeaver ABAP-engines kunnen worden geconfigureerd in Microsoft Entra ID.

   

7. Metagegevens van serviceprovider genereren:- Wanneer we klaar zijn met het configureren van de instellingen van de lokale provider en vertrouwde providers in de SAML 2.0-gebruikersinterface, is de volgende stap het metagegevensbestand van de serviceprovider te genereren (dat alle instellingen, verificatiecontexten en andere configuraties in SAP zou bevatten). Nadat dit bestand is gegenereerd, uploadt u dit bestand naar de Microsoft Entra-id.

   

   1. Ga naar het tabblad Local Provider.

   2. Selecteer Metagegevens.

   3. Sla het gegenereerde XML-bestand met metagegevens op de computer op en upload het naar de sectie Basic SAML Configuration om de waarden Identifier en Reply URL automatisch in Azure Portal in te vullen.

Volg deze stappen om Microsoft Entra Single Sign-On in te schakelen.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Cloudtoepassingsbeheerder.

2. Blader naar Identiteit>Toepassingen>Enterprise-toepassingen>SAP NetWeaver-integratiepagina, zoek de Beheren sectie en selecteer Single sign-on.

3. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

4. Selecteer op de pagina Single Sign-On instellen met SAML het potloodpictogram voor Standaard SAML-configuratie om de instellingen te bewerken.

   

5. In het gedeelte Standaard SAML-configuratie voert u de volgende stappen uit als u de toepassing in de door IDP geïnitieerde modus wilt configureren:

   1. Selecteer Metagegevensbestand uploaden om het metagegevensbestand van de serviceprovider te uploaden, dat u eerder hebt verkregen.

   2. Selecteer het logo van de map om het metagegevensbestand te selecteren en kies Upload.

   3. Nadat het bestand met metagegevens is geüpload, worden de waarden voor Identifier en Reply URL automatisch ingevuld in het tekstvak van de sectie Standaard SAML-configuratie, zoals hieronder weergegeven:

   4. In het tekstvak Aanmeldings-URL typt u een URL met het volgende patroon: https://<your company instance of SAP NetWeaver>

   Notitie

   Sommige klanten hebben een fout ondervonden van een onjuiste antwoord-URL die is geconfigureerd voor hun exemplaar. Als u een dergelijke fout ontvangt, gebruikt u deze PowerShell-opdrachten. First update the Reply URLs in the application object with the Reply URL, then update the service principal. Gebruik get-MgServicePrincipal om de waarde van de service-principal-id op te halen.

   $params = @{
      web = @{
         redirectUris = "<Your Correct Reply URL>"
      }
   }
   Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
   Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
   

6. De SAP NetWeaver-toepassing verwacht de SAML-asserties in een specifieke indeling. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie van uw SAML-tokenkenmerken. In de volgende schermafbeelding wordt de lijst met standaardkenmerken weergegeven. Selecteer het pictogram Bewerken om het dialoogvenster Gebruikerskenmerken te openen.

   

7. In de sectie Gebruikersclaims in het dialoogvenster Gebruikerskenmerken configureert u het kenmerk van het SAML-token zoals wordt weergegeven in de bovenstaande afbeelding en voert u de volgende stappen uit:

   1. Selecteer pictogram Bewerken om het dialoogvenster Gebruikersclaims beheren te openen.

      

      

   2. Selecteer ExtractMailPrefix() in de Transformatie lijst.

   3. Selecteer user.userprincipalname in de lijst Parameter 1.

   4. Selecteer Opslaan.

8. Ga op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat naar XML-bestand met federatieve metagegevens en selecteer Downloaden om het certificaat te downloaden. Sla dit vervolgens op de computer op.

   

9. Kopieer in de sectie SAP NetWeaver instellen de juiste URL's op basis van uw behoeften.

   

Microsoft Entra-testgebruiker maken en toewijzen

Follow the guidelines in the create and assign a user account quickstart to create a test user account called B.Simon.

SAP NetWeaver configureren met SAML

1. Meld u aan bij het SAP-systeem en ga naar transactiecode SAML2. Er wordt een nieuwe browservenster geopend met een SAML-configuratiescherm.

2. Voor het configureren van eindpunten voor vertrouwde id-provider (Microsoft Entra ID) gaat u naar het tabblad Vertrouwde providers .

   

3. Druk op Add en selecteer Upload Metadata File in het snelmenu.

   

4. Upload het metagegevensbestand dat u hebt gedownload.

   

5. Typ in het volgende scherm de aliasnaam. Typ aadstsbijvoorbeeld en druk op Volgende om door te gaan.

   

6. Zorg ervoor dat Digest AlgorithmSHA-256 is, vereis geen wijzigingen en druk op Next.

   

7. Gebruik HTTP POST bij eindpunten voor eenmalige aanmelding en selecteer Volgende om door te gaan.

   

8. Selecteer HTTPRedirect op enkele afmeldingseindpunten en selecteer Volgende om door te gaan.

   

9. Druk bij Artifact Endpoints op Next om door te gaan.

   

10. On Authentication Requirements, select Finish.

    

11. Ga naar het tabblad Trusted Provider>Identity Federation (vanaf de onderkant van het scherm). Select Edit.

    

12. Selecteer Toevoegen onder het tabblad Identiteitsfederatie (ondervenster).

    

13. Selecteer in het pop-upvenster Niet opgegeven in de ondersteunde NameID-indelingen en selecteer OK.

    

14. Geef de waarde voor User ID Source op als Assertion Attribute, de waarde voor de User ID mapping mode op als Email en geef de Assertion Attribute Name op als http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    

15. Houd er rekening mee dat de waarden voor de gebruikers-id-bron - en gebruikers-id-toewijzingsmodus de koppeling tussen SAP-gebruiker en Microsoft Entra-claim bepalen.

Scenario: SAP-gebruiker naar Microsoft Entra-gebruiker koppeling.

1. NameID details screenshot from SAP.

   

2. Schermopname met vermelding van vereiste claims van Microsoft Entra ID.

   

   Scenario: selecteer SAP-gebruikers-id op basis van geconfigureerd e-mailadres in SU01. In dit geval moet de e-mail-id voor elke gebruiker waarvoor eenmalige aanmelding is vereist, worden geconfigureerd in SU01.

   1. NameID details screenshot from SAP.

      

   2. screenshot mentioning Required claims from Microsoft Entra ID.

   

3. Selecteer Opslaan en selecteer vervolgens Inschakelen om id-provider in te schakelen.

   

4. Selecteer OK zodra u hierom wordt gevraagd.

   

SAP NetWeaver-testgebruiker maken

In deze sectie maakt u een gebruiker met de naam B.simon in SAP NetWeaver. Werk samen met uw interne SAP-deskundige of met de SAP-partner van uw organisatie om de gebruikers aan het SAP NetWeaver-platform toe te voegen.

Test SSO

1. Nadat de Id-provider Microsoft Entra ID is geactiveerd, probeert u toegang te krijgen tot de onderstaande URL om de SSO (Single Sign-On) te controleren en er zeker van te zijn dat er geen prompt voor gebruikersnaam en wachtwoord verschijnt.

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   (of) gebruik de onderstaande URL

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   Notitie

   Vervang sapurl door de feitelijke SAP-hostnaam.

2. Via de bovenstaande URL moet u op het hieronder genoemd scherm terechtkomen. Als u de onderstaande pagina kunt bereiken, is de installatie van Microsoft Entra SSO voltooid.

   

3. Als er een gebruikersnaam- en wachtwoordprompt optreedt, kunt u het probleem vaststellen door een tracering in te schakelen met behulp van de URL:

   https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

SAP NetWeaver configureren voor OAuth

1. Sap-gedocumenteerd proces is beschikbaar op de locatie: NetWeaver Gateway Service inschakelen en OAuth 2.0-bereik maken

2. Ga naar SPRO en zoek Services activeren en onderhouden.

   

3. In dit voorbeeld willen we de OData-service verbinden: DAAG_MNGGRP met OAuth met Microsoft Entra SSO. Gebruik de naam van de technische service voor het zoeken naar de service DAAG_MNGGRP en activeer indien deze nog niet actief is (zoek naar green status onder het tabblad ICF-knooppunten). Zorg ervoor dat de systeem alias (het verbonden back-end-systeem, waar de service daadwerkelijk wordt uitgevoerd) juist is.

   

   • Then select pushbutton OAuth on the top button bar and assign scope (keep default name as offered).

4. For our example, the scope is DAAG_MNGGRP_001. Deze wordt gegenereerd op basis van de servicenaam door automatisch een getal toe te voegen. Report /IWFND/R_OAUTH_SCOPES can be used to change name of scope or create manually.

   

   Notitie

   Bericht soft state status isn't supported kan worden genegeerd, omdat er geen probleem is.

Een servicegebruiker maken voor de OAuth 2.0 Client

1. OAuth2 uses a service ID to get the access token for the end-user on its behalf. Belangrijke beperking van het OAuth-ontwerp: de OAuth 2.0 Client ID moet identiek zijn aan de username die de OAuth 2.0-client gebruikt voor aanmelding bij het aanvragen van een toegangstoken. Daarom gaan we voor ons voorbeeld een OAuth 2.0-client registreren met de naam CLIENT1. Als vereiste moet een gebruiker met dezelfde naam (CLIENT1) aanwezig zijn in het SAP-systeem en die gebruiker die we configureren voor gebruik door de bedoelde toepassing.

2. Wanneer u een OAuth-client registreert, gebruiken we de SAML Bearer Grant type.

   Notitie

   Raadpleeg voor meer informatie OAuth 2.0 Client Registratie voor het SAML Bearer Grant Type hier.

3. Voer T-Code SU01 uit om gebruiker CLIENT1 aan te maken en een wachtwoord toe te wijzen. Sla het wachtwoord op omdat u de inloggegevens moet verstrekken aan de API-programmeur, die deze samen met de gebruikersnaam in de aanroepende code moet opslaan. Er mag geen profiel of rol worden toegewezen.

Registreer de nieuwe OAuth 2.0-client-id met de aanmaakwizard

1. Om een nieuwe OAuth 2.0-client te registreren start u transactie SOAUTH2. In de transactie wordt een overzicht weergegeven van de OAuth 2.0-clients die al zijn geregistreerd. Kies Maken om de wizard te starten voor de nieuwe OAuth-client met de naam CLIENT1 in dit voorbeeld.

2. Ga naar T-Code: SOAUTH2 en geef de beschrijving op en selecteer vervolgens op volgende.

   

   

3. Selecteer de al toegevoegde SAML2 IdP – Microsoft Entra-id in de vervolgkeuzelijst en sla deze op.

   

   

   

4. Selecteer Toevoegen onder bereiktoewijzing om het eerder gemaakte bereik toe te voegen: DAAG_MNGGRP_001

   

   

5. Select finish.

Request Access Token from Microsoft Entra ID

To request an access token from the SAP system using Microsoft Entra ID (formerly Azure AD) as the Identity Provider (IdP), follow these steps:

Step 1: Register Application in Microsoft Entra ID

1. Meld u aan bij Azure Portal: navigeer naar Azure Portal op portal.azure.com.
2. Een nieuwe toepassing registreren:
   • Go to "Microsoft Entra ID".
   • Selecteer 'App-registraties' > 'Nieuwe registratie'.
   • Vul de toepassingsgegevens in, zoals Naam, Omleidings-URI, enzovoort.
   • Selecteer Registreren.
3. API-machtigingen configureren:
   • Navigeer na de registratie naar API-machtigingen.
   • Selecteer Een machtiging toevoegen en selecteer API's die door mijn organisatie worden gebruikt.
   • Zoek naar het SAP-systeem of de relevante API en voeg de benodigde machtigingen toe.
   • Beheerderstoestemming verlenen voor de machtigingen.

Stap 2: Clientgeheim maken

1. Navigeer naar de geregistreerde toepassing: Ga naar Certificaten en geheimen.
2. Maak een nieuw clientgeheim:
   • Select "New client secret".
   • Geef een beschrijving op en stel een verloopperiode in.
   • Selecteer Toevoegen en noteer de waarde van het clientgeheim omdat deze nodig is voor verificatie.

Step 3: Configure SAP System for Microsoft Entra ID Integration

1. Toegang tot SAP Cloud Platform: meld u aan bij uw SAP Cloud Platform Cockpit.
2. Vertrouwensconfiguratie instellen:
   • Ga naar 'Beveiliging' > 'Vertrouwensconfiguratie'.
   • Add Microsoft Entra ID as a trusted IdP by importing the federation metadata XML from Microsoft Entra ID. This can be found in the "Endpoints" section of the Microsoft Entra ID app registration (under Federation Metadata Document).
3. OAuth2-client configureren:
   • In the SAP system, configure an OAuth2 client using the client ID and client secret obtained from Microsoft Entra ID.
   • Stel het tokeneindpunt en andere relevante OAuth2-parameters in.

Stap 4: Toegangstoken aanvragen

Tip

Consider using Azure API Management to streamline the SAP Principal Propagation process for all client apps in Azure, Power Platform, Microsoft 365 and more, in a single place including smart token caching, secure token handling and governance options like request throttling. Meer informatie over SAP-principaalpropagatie met Azure API Management. Als SAP Business Technology Platform de voorkeur heeft, raadpleegt u dit artikel.

1. Bereid de tokenaanvraag voor:

   • Maak een tokenaanvraag met behulp van de volgende details:
     • Tokeneindpunt: dit is meestal https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token.
     • Client ID: The Application (client) ID from Microsoft Entra ID.
     • Client Secret: The client secret value from Microsoft Entra ID.
     • Scope: The required scopes (e.g., https://your-sap-system.com/.default).
     • Grant Type: Use client_credentials for server-to-server authentication.

2. Voer de tokenaanvraag uit:

   • Gebruik een hulpprogramma zoals Postman of een script om een POST-aanvraag naar het tokeneindpunt te verzenden.
   • Voorbeeldaanvraag (in cURL):

     curl -X POST \
       https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token \
       -H 'Content-Type: application/x-www-form-urlencoded' \
       -d 'client_id={client_id}&scope=https://your-sap-system.com/.default&client_secret={client_secret}&grant_type=client_credentials'
     

3. Pak het toegangstoken uit:

   • Het antwoord bevat een toegangstoken als de aanvraag is geslaagd. Gebruik dit toegangstoken om API-aanvragen te verifiëren bij het SAP-systeem.

Stap 5: Het toegangstoken gebruiken voor API-aanvragen

1. Neem het toegangstoken op in API-aanvragen:
   • Neem voor elke aanvraag naar het SAP-systeem het toegangstoken op in de Authorization header.
   • Voorbeeldkoptekst:

     Authorization: Bearer {access_token}
     

Configure enterprise app for SAP NetWeaver for SAML2 and OAuth2 simultaneously

For parallel use of SAML2 for SSO and OAuth2 for API access, you can configure the same enterprise app in Microsoft Entra ID for both protocols.

A typical setup defaults to SAML2 for SSO and OAuth2 for API access.

Verwante inhoud

• Configureer Microsoft Entra SAP NetWeaver om sessiebeheer af te dwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.
• Configureer SAP Principal Propagation (OAuth2) met behulp van Azure API Management om toegang tot SAP-systemen te beheren en te beveiligen vanuit client-apps in Azure, Power Platform, Microsoft 365 en anderen. Meer informatie over SAP-principaalpropagatie met Azure API Management.