Samouczek: integracja logowania jednokrotnego (SSO) firmy Microsoft z oprogramowaniem SAP Fiori
Z tego samouczka dowiesz się, jak zintegrować aplikację SAP Fiori z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu rozwiązania SAP Fiori z usługą Microsoft Entra ID można wykonywać następujące czynności:
- Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do rozwiązania SAP Fiori.
- Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji SAP Fiori przy użyciu kont Microsoft Entra.
- Zarządzaj kontami w jednej centralnej lokalizacji.
Wymagania wstępne
Do rozpoczęcia pracy potrzebne są następujące elementy:
- Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
- Subskrypcja aplikacji SAP Fiori z obsługą logowania jednokrotnego.
Opis scenariusza
W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.
- Aplikacja SAP Fiori obsługuje logowanie jednokrotne inicjowane przez dostawcę usług
Uwaga
W przypadku uwierzytelniania iFrame zainicjowanego przez sap Fiori zalecamy użycie parametru IsPassive w module SAML AuthnRequest na potrzeby uwierzytelniania dyskretnego. Aby uzyskać więcej informacji na temat parametru IsPassive , zapoznaj się z informacjami na temat logowania jednokrotnego saml firmy Microsoft.
Dodawanie aplikacji SAP Fiori z galerii
Aby skonfigurować integrację aplikacji SAP Fiori z aplikacją Microsoft Entra ID, należy dodać aplikację SAP Fiori z galerii do swojej listy zarządzanych aplikacji SaaS.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
- Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
- W sekcji Dodawanie z galerii wpisz SAP Fiori w polu wyszukiwania.
- Wybierz pozycję SAP Fiori z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.
Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.
Konfigurowanie i testowanie aplikacji Microsoft Entra SSO dla oprogramowania SAP Fiori
Konfigurowanie i testowanie aplikacji Microsoft Entra SSO z oprogramowaniem SAP Fiori przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem w rozwiązaniu SAP Fiori.
Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z oprogramowaniem SAP Fiori, wykonaj następujące kroki:
- Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
- Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
- Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
- Skonfiguruj logowanie jednokrotne SAP Fiori — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
- Tworzenie użytkownika testowego rozwiązania SAP Fiori — aby mieć w oprogramowaniu SAP Fiori odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
- Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.
Konfigurowanie logowania jednokrotnego firmy Microsoft
Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.
Otwórz nowe okno przeglądarki internetowej i zaloguj się do firmowej witryny sap Fiori jako administrator.
Upewnij się, że usługi http i https są aktywne i że odpowiednie porty są przypisane do kodu transakcji SMICM.
Zaloguj się do klienta SAP Business Client dla systemu SAP T01, gdzie wymagane jest logowanie jednokrotne. Następnie aktywuj zarządzanie sesjami zabezpieczeń HTTP.
Przejdź do SICF_SESSIONS kodu transakcji. Wyświetlane są wszystkie odpowiednie parametry profilu z bieżącymi wartościami. Wyglądają one jak w poniższym przykładzie:
login/create_sso2_ticket = 2 login/accept_sso2_ticket = 1 login/ticketcache_entries_max = 1000 login/ticketcache_off = 0 login/ticket_only_by_https = 0 icf/set_HTTPonly_flag_on_cookies = 3 icf/user_recheck = 0 http/security_session_timeout = 1800 http/security_context_cache_size = 2500 rdisp/plugin_auto_logout = 1800 rdisp/autothtime = 60
Uwaga
Dostosuj parametry zgodnie z wymaganiami organizacji. Powyższe parametry są podane tylko jako przykład.
W razie potrzeby dostosuj parametry w profilu wystąpienia (domyślnego) systemu SAP i uruchom ponownie system SAP.
Kliknij dwukrotnie odpowiedniego klienta, aby włączyć sesję zabezpieczeń HTTP.
Aktywuj następujące usługi SICF:
/sap/public/bc/sec/saml2 /sap/public/bc/sec/cdc_ext_service /sap/bc/webdynpro/sap/saml2 /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
Przejdź do kodu transakcji SAML2 w kliencie biznesowym dla systemu SAP [T01/122]. Interfejs użytkownika konfiguracji zostanie otwarty w nowym oknie przeglądarki. W tym przykładzie używamy klienta biznesowego dla systemu SAP 122.
Wprowadź nazwę użytkownika i hasło, a następnie wybierz pozycję Zaloguj się.
W polu Nazwa dostawcy zastąp ciąg T01122 ciągiem http://T01122, a następnie wybierz pozycję Zapisz.
Uwaga
Domyślnie nazwa dostawcy jest w formacie <sid><client>. Identyfikator Entra firmy Microsoft oczekuje nazwy w formacie <protocol>://<name>. Zalecamy zachowanie nazwy dostawcy jako klienta> https://< sid><, aby można było skonfigurować wiele aparatów SAP Fiori ABAP w identyfikatorze Entra firmy Microsoft.
Wybierz pozycję Metadane karty>Dostawca lokalny.
W oknie dialogowym Metadane SAML 2.0 pobierz wygenerowany plik XML metadanych i zapisz go na komputerze.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do sekcji Identity Applications Enterprise Applications>SAP Fiori Single sign-on (Aplikacje dla>przedsiębiorstw SAP Fiori>>— logowanie jednokrotne).
Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.
W sekcji Podstawowa konfiguracja protokołu SAML, jeśli masz plik metadanych dostawcy usługi, wykonaj następujące kroki:
Kliknij pozycję Przekaż plik metadanych.
Kliknij logo folderu, aby wybrać plik metadanych, a następnie kliknij pozycję Przekaż.
Po pomyślnym przekazaniu pliku metadanych wartości Identyfikator i Adres URL odpowiedzi są automatycznie wypełniane w okienku Podstawowa konfiguracja protokołu SAML. W polu Adres URL logowania wprowadź adres URL, który ma następujący wzorzec:
https://<your company instance of SAP Fiori>
.Uwaga
Niektórzy klienci napotkali błąd nieprawidłowego adresu URL odpowiedzi skonfigurowanego dla swojego wystąpienia. Jeśli wystąpi taki błąd, użyj tych poleceń programu PowerShell. Najpierw zaktualizuj adresy URL odpowiedzi w obiekcie aplikacji przy użyciu adresu URL odpowiedzi, a następnie zaktualizuj jednostkę usługi. Użyj polecenia Get-MgServicePrincipal , aby uzyskać wartość identyfikatora jednostki usługi.
$params = @{ web = @{ redirectUris = "<Your Correct Reply URL>" } } Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
Aplikacja SAP Fiori oczekuje, że asercji SAML będą w określonym formacie. Skonfiguruj następujące oświadczenia dla tej aplikacji. Aby zarządzać tymi wartościami atrybutów, w okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz pozycję Edytuj.
W okienku Atrybuty użytkownika i oświadczenia skonfiguruj atrybuty tokenu SAML, jak pokazano na poprzedniej ilustracji. Następnie wykonaj następujące kroki:
Wybierz pozycję Edytuj , aby otworzyć okienko Zarządzanie oświadczeniami użytkowników.
Na liście Przekształcanie wybierz pozycję ExtractMailPrefix().
Na liście Parametr 1 wybierz pozycję user.userprincipalname.
Wybierz pozycję Zapisz.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.
W sekcji Konfigurowanie aplikacji SAP Fiori skopiuj odpowiednie adresy URL na podstawie wymagań.
Tworzenie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
- We właściwościach użytkownika wykonaj następujące kroki:
- W polu Nazwa wyświetlana wprowadź wartość
B.Simon
. - W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład
B.Simon@contoso.com
. - Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
- Wybierz pozycję Przejrzyj i utwórz.
- W polu Nazwa wyświetlana wprowadź wartość
- Wybierz pozycję Utwórz.
Przypisywanie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji SAP Fiori.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
- Przejdź do sekcji Identity>Applications Enterprise Applications>>SAP Fiori.
- Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
- Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
- W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
- Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
- W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.
Konfigurowanie logowania jednokrotnego SAP Fiori
Zaloguj się do systemu SAP i przejdź do kodu transakcji SAML2. Zostanie otwarte nowe okno przeglądarki ze stroną konfiguracji PROTOKOŁU SAML.
Aby skonfigurować punkty końcowe dla zaufanego dostawcy tożsamości (Microsoft Entra ID), wybierz kartę Zaufani dostawcy .
Wybierz pozycję Dodaj, a następnie wybierz pozycję Przekaż plik metadanych z menu kontekstowego.
Przekaż pobrany plik metadanych. Wybierz Dalej.
Na następnej stronie w polu Alias wprowadź nazwę aliasu. Na przykład aadsts. Wybierz Dalej.
Upewnij się, że wartość w polu Algorytm szyfrowania to SHA-256. Wybierz Dalej.
W obszarze Punkty końcowe logowania jednokrotnego wybierz pozycję HTTP POST, a następnie wybierz pozycję Dalej.
W obszarze Punkty końcowe wylogowywanie jednokrotne wybierz pozycję Przekierowanie HTTP, a następnie wybierz przycisk Dalej.
W obszarze Punkty końcowe artefaktu wybierz pozycję Dalej , aby kontynuować.
W obszarze Wymagania dotyczące uwierzytelniania wybierz pozycję Zakończ.
Wybierz pozycję Federacja tożsamości zaufanego dostawcy>(w dolnej części strony). Zaznacz Edytuj.
Wybierz Dodaj.
W oknie dialogowym Obsługiwane formaty nameID wybierz pozycję Nieokreślone. Wybierz przycisk OK.
Wartości dla ustawienia Źródło identyfikatora użytkownika i Tryb mapowania identyfikatora użytkownika określają połączenie między użytkownikiem sap a oświadczeniem firmy Microsoft Entra.
Scenariusz 1. Mapowanie użytkownika SAP na firmę Microsoft Entra
W systemie SAP w obszarze Szczegóły formatu NameID "Nieokreślony" zanotuj szczegóły:
W witrynie Azure Portal w obszarze Atrybuty użytkownika i oświadczenia zanotuj wymagane oświadczenia z identyfikatora Entra firmy Microsoft.
Scenariusz 2. Wybierz identyfikator użytkownika SAP na podstawie skonfigurowanego adresu e-mail w programie SU01. W takim przypadku identyfikator poczty e-mail powinien być skonfigurowany w usłudze SU01 dla każdego użytkownika, który wymaga logowania jednokrotnego.
W systemie SAP w obszarze Szczegóły formatu NameID "Nieokreślony" zanotuj szczegóły:
W witrynie Azure Portal w obszarze Atrybuty użytkownika i oświadczenia zanotuj wymagane oświadczenia z identyfikatora Entra firmy Microsoft.
Wybierz pozycję Zapisz, a następnie wybierz pozycję Włącz , aby włączyć dostawcę tożsamości.
Po wyświetleniu monitu wybierz przycisk OK .
Tworzenie użytkownika testowego aplikacji SAP Fiori
W tej sekcji utworzysz użytkownika o nazwie Britta Simon w aplikacji SAP Fiori. We współpracy z własnym zespołem sap ekspertów lub partnerem sap w organizacji dodaj użytkownika na platformie SAP Fiori.
Testowanie logowania jednokrotnego
Po aktywowaniu dostawcy tożsamości Microsoft Entra ID w rozwiązaniu SAP Fiori spróbuj uzyskać dostęp do jednego z następujących adresów URL, aby przetestować logowanie jednokrotne (nie należy monitować o podanie nazwy użytkownika i hasła):
https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
Uwaga
Zastąp
<sap-url>
rzeczywistą nazwą hosta SAP.Adres URL testu powinien zostać wyświetlony na następującej stronie aplikacji testowej w oprogramowaniu SAP. Jeśli strona zostanie otwarta, logowanie jednokrotne firmy Microsoft Entra zostanie pomyślnie skonfigurowane.
Jeśli zostanie wyświetlony monit o podanie nazwy użytkownika i hasła, włącz śledzenie, aby ułatwić diagnozowanie problemu. Użyj następującego adresu URL dla śledzenia:
https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#
.
Następne kroki
Po skonfigurowaniu rozwiązania SAP Fiori możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.