Udostępnij za pośrednictwem

Samouczek: integracja logowania jednokrotnego (SSO) firmy Microsoft z oprogramowaniem SAP Fiori

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować aplikację SAP Fiori z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu rozwiązania SAP Fiori z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do rozwiązania SAP Fiori.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji SAP Fiori przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji SAP Fiori z obsługą logowania jednokrotnego.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

  • Aplikacja SAP Fiori obsługuje logowanie jednokrotne inicjowane przez dostawcę usług

Uwaga

W przypadku uwierzytelniania iFrame zainicjowanego przez sap Fiori zalecamy użycie parametru IsPassive w module SAML AuthnRequest na potrzeby uwierzytelniania dyskretnego. Aby uzyskać więcej informacji na temat parametru IsPassive , zapoznaj się z informacjami na temat logowania jednokrotnego saml firmy Microsoft.

Aby skonfigurować integrację aplikacji SAP Fiori z aplikacją Microsoft Entra ID, należy dodać aplikację SAP Fiori z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz SAP Fiori w polu wyszukiwania.
  4. Wybierz pozycję SAP Fiori z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO dla oprogramowania SAP Fiori

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO z oprogramowaniem SAP Fiori przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem w rozwiązaniu SAP Fiori.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z oprogramowaniem SAP Fiori, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
    2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
  2. Skonfiguruj logowanie jednokrotne SAP Fiori — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Tworzenie użytkownika testowego rozwiązania SAP Fiori — aby mieć w oprogramowaniu SAP Fiori odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Otwórz nowe okno przeglądarki internetowej i zaloguj się do firmowej witryny sap Fiori jako administrator.

  2. Upewnij się, że usługi http i https są aktywne i że odpowiednie porty są przypisane do kodu transakcji SMICM.

  3. Zaloguj się do klienta SAP Business Client dla systemu SAP T01, gdzie wymagane jest logowanie jednokrotne. Następnie aktywuj zarządzanie sesjami zabezpieczeń HTTP.

    1. Przejdź do SICF_SESSIONS kodu transakcji. Wyświetlane są wszystkie odpowiednie parametry profilu z bieżącymi wartościami. Wyglądają one jak w poniższym przykładzie:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Uwaga

      Dostosuj parametry zgodnie z wymaganiami organizacji. Powyższe parametry są podane tylko jako przykład.

    2. W razie potrzeby dostosuj parametry w profilu wystąpienia (domyślnego) systemu SAP i uruchom ponownie system SAP.

    3. Kliknij dwukrotnie odpowiedniego klienta, aby włączyć sesję zabezpieczeń HTTP.

      The Current Values of Relevant Profile Parameters page in SAP

    4. Aktywuj następujące usługi SICF:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Przejdź do kodu transakcji SAML2 w kliencie biznesowym dla systemu SAP [T01/122]. Interfejs użytkownika konfiguracji zostanie otwarty w nowym oknie przeglądarki. W tym przykładzie używamy klienta biznesowego dla systemu SAP 122.

    The SAP Fiori Business Client sign-in page

  5. Wprowadź nazwę użytkownika i hasło, a następnie wybierz pozycję Zaloguj się.

    The SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  6. W polu Nazwa dostawcy zastąp ciąg T01122 ciągiem http://T01122, a następnie wybierz pozycję Zapisz.

    Uwaga

    Domyślnie nazwa dostawcy jest w formacie <sid><client>. Identyfikator Entra firmy Microsoft oczekuje nazwy w formacie <protocol>://<name>. Zalecamy zachowanie nazwy dostawcy jako klienta> https://< sid><, aby można było skonfigurować wiele aparatów SAP Fiori ABAP w identyfikatorze Entra firmy Microsoft.

    The updated provider name in the SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  7. Wybierz pozycję Metadane karty>Dostawca lokalny.

  8. W oknie dialogowym Metadane SAML 2.0 pobierz wygenerowany plik XML metadanych i zapisz go na komputerze.

    The Download Metadata link in the SAP SAML 2.0 Metadata dialog box

  9. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  10. Przejdź do sekcji Identity Applications Enterprise Applications>SAP Fiori Single sign-on (Aplikacje dla>przedsiębiorstw SAP Fiori>>— logowanie jednokrotne).

  11. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  12. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Edit Basic SAML Configuration

  13. W sekcji Podstawowa konfiguracja protokołu SAML, jeśli masz plik metadanych dostawcy usługi, wykonaj następujące kroki:

    1. Kliknij pozycję Przekaż plik metadanych.

      Upload metadata file

    2. Kliknij logo folderu, aby wybrać plik metadanych, a następnie kliknij pozycję Przekaż.

      choose metadata file

    3. Po pomyślnym przekazaniu pliku metadanych wartości Identyfikator i Adres URL odpowiedzi są automatycznie wypełniane w okienku Podstawowa konfiguracja protokołu SAML. W polu Adres URL logowania wprowadź adres URL, który ma następujący wzorzec: https://<your company instance of SAP Fiori>.

      Uwaga

      Niektórzy klienci napotkali błąd nieprawidłowego adresu URL odpowiedzi skonfigurowanego dla swojego wystąpienia. Jeśli wystąpi taki błąd, użyj tych poleceń programu PowerShell. Najpierw zaktualizuj adresy URL odpowiedzi w obiekcie aplikacji przy użyciu adresu URL odpowiedzi, a następnie zaktualizuj jednostkę usługi. Użyj polecenia Get-MgServicePrincipal , aby uzyskać wartość identyfikatora jednostki usługi.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. Aplikacja SAP Fiori oczekuje, że asercji SAML będą w określonym formacie. Skonfiguruj następujące oświadczenia dla tej aplikacji. Aby zarządzać tymi wartościami atrybutów, w okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz pozycję Edytuj.

    The User attributes pane

  15. W okienku Atrybuty użytkownika i oświadczenia skonfiguruj atrybuty tokenu SAML, jak pokazano na poprzedniej ilustracji. Następnie wykonaj następujące kroki:

    1. Wybierz pozycję Edytuj , aby otworzyć okienko Zarządzanie oświadczeniami użytkowników.

    2. Na liście Przekształcanie wybierz pozycję ExtractMailPrefix().

    3. Na liście Parametr 1 wybierz pozycję user.userprincipalname.

    4. Wybierz pozycję Zapisz.

      The Manage user claims pane

      The Transformation section in the Manage user claims pane

  16. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    The Certificate download link

  17. W sekcji Konfigurowanie aplikacji SAP Fiori skopiuj odpowiednie adresy URL na podstawie wymagań.

    Copy configuration URLs

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji SAP Fiori.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity>Applications Enterprise Applications>>SAP Fiori.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie logowania jednokrotnego SAP Fiori

  1. Zaloguj się do systemu SAP i przejdź do kodu transakcji SAML2. Zostanie otwarte nowe okno przeglądarki ze stroną konfiguracji PROTOKOŁU SAML.

  2. Aby skonfigurować punkty końcowe dla zaufanego dostawcy tożsamości (Microsoft Entra ID), wybierz kartę Zaufani dostawcy .

    The Trusted Providers tab in SAP

  3. Wybierz pozycję Dodaj, a następnie wybierz pozycję Przekaż plik metadanych z menu kontekstowego.

    The Add and Upload Metadata File options in SAP

  4. Przekaż pobrany plik metadanych. Wybierz Dalej.

    Select the metadata file to upload in SAP

  5. Na następnej stronie w polu Alias wprowadź nazwę aliasu. Na przykład aadsts. Wybierz Dalej.

    The Alias box in SAP

  6. Upewnij się, że wartość w polu Algorytm szyfrowania to SHA-256. Wybierz Dalej.

    Verify the Digest Algorithm value in SAP

  7. W obszarze Punkty końcowe logowania jednokrotnego wybierz pozycję HTTP POST, a następnie wybierz pozycję Dalej.

    Single Sign-On Endpoints options in SAP

  8. W obszarze Punkty końcowe wylogowywanie jednokrotne wybierz pozycję Przekierowanie HTTP, a następnie wybierz przycisk Dalej.

    Single Logout Endpoints options in SAP

  9. W obszarze Punkty końcowe artefaktu wybierz pozycję Dalej , aby kontynuować.

    Artifact Endpoints options in SAP

  10. W obszarze Wymagania dotyczące uwierzytelniania wybierz pozycję Zakończ.

    Authentication Requirements options and the Finish option in SAP

  11. Wybierz pozycję Federacja tożsamości zaufanego dostawcy>(w dolnej części strony). Zaznacz Edytuj.

    The Trusted Provider and Identity Federation tabs in SAP

  12. Wybierz Dodaj.

    The Add option on the Identity Federation tab

  13. W oknie dialogowym Obsługiwane formaty nameID wybierz pozycję Nieokreślone. Wybierz przycisk OK.

    The Supported NameID Formats dialog box and options in SAP

    Wartości dla ustawienia Źródło identyfikatora użytkownika i Tryb mapowania identyfikatora użytkownika określają połączenie między użytkownikiem sap a oświadczeniem firmy Microsoft Entra.

    Scenariusz 1. Mapowanie użytkownika SAP na firmę Microsoft Entra

    1. W systemie SAP w obszarze Szczegóły formatu NameID "Nieokreślony" zanotuj szczegóły:

      Screenshot that shows the 'Details of NameID Format

    2. W witrynie Azure Portal w obszarze Atrybuty użytkownika i oświadczenia zanotuj wymagane oświadczenia z identyfikatora Entra firmy Microsoft.

      Screenshot that shows the

    Scenariusz 2. Wybierz identyfikator użytkownika SAP na podstawie skonfigurowanego adresu e-mail w programie SU01. W takim przypadku identyfikator poczty e-mail powinien być skonfigurowany w usłudze SU01 dla każdego użytkownika, który wymaga logowania jednokrotnego.

    1. W systemie SAP w obszarze Szczegóły formatu NameID "Nieokreślony" zanotuj szczegóły:

      The Details of NameID Format

    2. W witrynie Azure Portal w obszarze Atrybuty użytkownika i oświadczenia zanotuj wymagane oświadczenia z identyfikatora Entra firmy Microsoft.

      The User Attributes and Claims dialog box in the Azure portal

  14. Wybierz pozycję Zapisz, a następnie wybierz pozycję Włącz , aby włączyć dostawcę tożsamości.

    The Save and Enable options in SAP

  15. Po wyświetleniu monitu wybierz przycisk OK .

    The OK option in SAML 2.0 Configuration dialog box in SAP

Tworzenie użytkownika testowego aplikacji SAP Fiori

W tej sekcji utworzysz użytkownika o nazwie Britta Simon w aplikacji SAP Fiori. We współpracy z własnym zespołem sap ekspertów lub partnerem sap w organizacji dodaj użytkownika na platformie SAP Fiori.

Testowanie logowania jednokrotnego

  1. Po aktywowaniu dostawcy tożsamości Microsoft Entra ID w rozwiązaniu SAP Fiori spróbuj uzyskać dostęp do jednego z następujących adresów URL, aby przetestować logowanie jednokrotne (nie należy monitować o podanie nazwy użytkownika i hasła):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Uwaga

    Zastąp <sap-url> rzeczywistą nazwą hosta SAP.

  2. Adres URL testu powinien zostać wyświetlony na następującej stronie aplikacji testowej w oprogramowaniu SAP. Jeśli strona zostanie otwarta, logowanie jednokrotne firmy Microsoft Entra zostanie pomyślnie skonfigurowane.

    The standard test application page in SAP

  3. Jeśli zostanie wyświetlony monit o podanie nazwy użytkownika i hasła, włącz śledzenie, aby ułatwić diagnozowanie problemu. Użyj następującego adresu URL dla śledzenia:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Następne kroki

Po skonfigurowaniu rozwiązania SAP Fiori możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.