Udostępnij za pośrednictwem

Konfigurowanie aplikacji SAP Fiori na potrzeby logowania jednokrotnego przy użyciu usługi Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować aplikację SAP Fiori z usługą Microsoft Entra ID. Po zintegrowaniu rozwiązania SAP Fiori z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do rozwiązania SAP Fiori.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji SAP Fiori przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Warunki wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Subskrypcja aplikacji SAP Fiori z obsługą logowania jednokrotnego.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

  • Aplikacja SAP Fiori obsługuje jednokrotne logowanie inicjowane przez SP (SSO - logowanie jednokrotne)

Nota

W przypadku uwierzytelniania iFrame zainicjowanego przez SAP Fiori zalecamy użycie parametru IsPassive w SAML AuthnRequest na potrzeby uwierzytelniania dyskretnego. Aby uzyskać więcej informacji na temat parametru IsPassive, zobacz informacje o logowaniu jednokrotnym SAML Microsoft Entra.

Aby skonfigurować integrację aplikacji SAP Fiori z aplikacją Microsoft Entra ID, należy dodać aplikację SAP Fiori z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracji Microsoft Entra jako co najmniej Administrator w chmurze aplikacji.
  2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodaj z galerii wpisz SAP Fiori w polu wyszukiwania.
  4. Wybierz SAP Fiori z panelu wyników, a następnie dodaj aplikację. Proszę zaczekać kilka sekund, aż aplikacja zostanie dodana do twojej dzierżawy.

Alternatywnie możesz użyć także Kreatora konfiguracji aplikacji Enterprise. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o kreatorach Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO dla oprogramowania SAP Fiori

Skonfiguruj i przetestuj Microsoft Entra SSO z oprogramowaniem SAP Fiori przy użyciu użytkownika testowego o nazwie B.Simon. Aby jednokrotne logowanie (SSO) działało, należy ustanowić relację związaną z kontem użytkownika Microsoft Entra i odpowiadającym użytkownikiem w systemie SAP Fiori.

Aby skonfigurować i przetestować Microsoft Entra SSO z systemem SAP Fiori, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO, aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz użytkownika testowego Microsoft Entra — aby przetestować jednokrotne logowanie do Microsoft Entra z B.Simon.
    2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z jednokrotnego logowania do Microsoft Entra.
  2. Skonfiguruj SAP Fiori SSO — aby ustawić logowanie jednokrotne po stronie aplikacji.
    1. Utwórz użytkownika testowego SAP Fiori — aby mieć w SAP Fiori odpowiednik B.Simon, który jest połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. test SSO — aby sprawdzić, czy konfiguracja działa.

Konfiguracja Microsoft Entra SSO

Wykonaj następujące kroki, aby włączyć jednokrotne logowanie Microsoft Entra.

  1. Otwórz nowe okno przeglądarki internetowej i zaloguj się do firmowej witryny sap Fiori jako administrator.

  2. Upewnij się, że usługi http i https są aktywne i że odpowiednie porty są przypisane do kodu transakcji SMICM.

  3. Zaloguj się do klienta SAP Business Client dla systemu SAP T01, gdzie jest wymagane logowanie jednokrotne. Następnie aktywuj zarządzanie sesjami zabezpieczeń HTTP.

    1. Przejdź do kodu transakcji SICF_SESSIONS. Wyświetlane są wszystkie odpowiednie parametry profilu z bieżącymi wartościami. Wyglądają one jak w poniższym przykładzie:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Nota

      Dostosuj parametry zgodnie z wymaganiami organizacji. Powyższe parametry są podane tylko jako przykład.

    2. W razie potrzeby dostosuj parametry w profilu wystąpienia (domyślnego) systemu SAP i uruchom ponownie system SAP.

    3. Wybierz dwukrotnie odpowiedniego klienta, aby włączyć sesję zabezpieczeń HTTP.

      Strona bieżących wartości odpowiednich parametrów profilu w programie SAP

    4. Aktywuj następujące usługi SICF:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Przejdź do kodu transakcji SAML2 w kliencie biznesowym dla systemu SAP [T01/122]. Interfejs użytkownika konfiguracji zostanie otwarty w nowym oknie przeglądarki. W tym przykładzie używamy klienta biznesowego dla systemu SAP 122.

    strona logowania klienta SAP Fiori Business

  5. Wprowadź nazwę użytkownika i hasło, a następnie wybierz pozycję Zaloguj się.

    Konfiguracja SAML 2.0 dla systemu ABAP T01/122 w SAP

  6. W polu Nazwa dostawcy zastąp T01122http://T01122, a następnie wybierz Zapisz.

    Nota

    Domyślnie nazwa dostawcy ma format <sid><klient>. Identyfikator Entra firmy Microsoft oczekuje nazwy w formacie protokołu <>:// nazwa<>. Zalecamy zachowanie nazwy dostawcy jako https://<sid><klienta>, aby można było skonfigurować wiele silników SAP Fiori ABAP w Microsoft Entra ID.

    Zaktualizowana nazwa dostawcy na stronie konfiguracji SAML 2.0 w systemie ABAP T01/122 w SAP

  7. Wybierz kartę Dostawca lokalny>Metadane.

  8. W oknie dialogowym metadanych SAML 2.0 pobierz wygenerowany plik XML metadanych i zapisz go na komputerze.

    link do pobierania metadanych w oknie dialogowym metadane SAP SAML 2.0

  9. Zaloguj się do centrum administracji Microsoft Entra jako co najmniej Administrator w chmurze aplikacji.

  10. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>SAP Fiori>logowanie jednokrotne.

  11. Na stronie Wybierz sposób logowania jednokrotnego wybierz SAML .

  12. Na stronie Konfigurowanie logowania jednokrotnego z SAML wybierz ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

    edytowanie podstawowej konfiguracji protokołu SAML

  13. W sekcji Podstawowa konfiguracja protokołu SAML, jeśli posiadasz plik metadanych dostawcy usług , wykonaj następujące kroki:

    1. Wybierz Przekaż plik metadanych.

      przekaż plik metadanych

    2. Wybierz logo folderu , aby wybrać plik metadanych, a następnie wybierz pozycję Przekaż.

      wybierz plik metadanych

    3. Po pomyślnym przekazaniu pliku metadanych wartości identyfikatora i adresu URL odpowiedzi są automatycznie wypełniane w okienku Podstawowa konfiguracja protokołu SAML . W polu adres URL logowania wprowadź adres URL, który ma następujący wzorzec: https://<your company instance of SAP Fiori>.

      Nota

      Niektórzy klienci napotkali błąd konfiguracji związany z adresem URL odpowiedzi, który został nieprawidłowo skonfigurowany w ich instancji. Jeśli wystąpi taki błąd, użyj tych poleceń programu PowerShell. Najpierw zaktualizuj adresy URL odpowiedzi w obiekcie aplikacji podając odpowiedni adres URL odpowiedzi, a następnie zaktualizuj obiekt główny usługi. Użyj Get-MgServicePrincipal, aby uzyskać wartość identyfikatora jednostki usługi.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. Aplikacja SAP Fiori oczekuje, że asercji SAML będą w określonym formacie. Skonfiguruj następujące żądania dla tej aplikacji. Aby zarządzać tymi wartościami atrybutów, w okienku Konfigurowanie pojedynczego Sign-On przy użyciu SAML wybierz pozycję Edytuj.

    okienko Atrybuty użytkownika

  15. W okienku atrybuty użytkownika & żądania skonfiguruj atrybuty tokenu SAML, jak widoczne na poprzedniej ilustracji. Następnie wykonaj następujące kroki:

    1. Wybierz pozycję Edytuj, aby otworzyć okienko zarządzania oświadczeniami użytkowników.

    2. Na liście przekształcenia wybierz ExtractMailPrefix().

    3. Na liście Parametr 1 wybierz pozycję user.userprincipalname.

    4. Wybierz pozycję Zapisz.

      okienko Zarządzanie oświadczeniami użytkowników

      sekcja Przekształcenie w panelu Zarządzanie oświadczeniami użytkowników

  16. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu SAML, w sekcji Certyfikat podpisu SAML, znajdź Federation Metadata XML i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    link pobierania certyfikatu

  17. W sekcji Konfigurowanie SAP Fiori skopiuj odpowiednie adresy URL w zależności od wymagań.

    Skopiuj adresy URL konfiguracji

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku "Szybki start: tworzenie i przypisywanie konta użytkownika" , aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfigurowanie SSO SAP Fiori

  1. Zaloguj się do systemu SAP i przejdź do kodu transakcji SAML2. Zostanie otwarte nowe okno przeglądarki ze stroną konfiguracji PROTOKOŁU SAML.

  2. Aby skonfigurować punkty końcowe dla zaufanego dostawcy tożsamości (Microsoft Entra ID), wybierz kartę Zaufani dostawcy.

    Zakładka zaufani dostawcy w programie SAP

  3. Wybierz pozycję Dodaj, a następnie wybierz pozycję Przekaż plik metadanych z menu kontekstowego.

    opcje dodawania i przesyłania pliku metadanych w programie SAP

  4. Przekaż pobrany plik metadanych. Wybierz pozycję Dalej.

    Wybierz plik metadanych do przekazania w programie SAP

  5. Na następnej stronie w polu Alias wprowadź nazwę aliasu. Na przykład aadsts. Wybierz pozycję Dalej.

    pole Alias w programie SAP

  6. Upewnij się, że wartość w polu algorytmu szyfrowania jest SHA-256. Wybierz pozycję Dalej.

    sprawdź wartość algorytmu skrótu w SAP

  7. W sekcji pojedyncze punkty końcowe Sign-On, wybierz HTTP POST, a następnie wybierz Dalej.

    Opcje punktów końcowych Jedno logowanie (SSO) w SAP

  8. W obszarze Punkty końcowe jednokrotnego wylogowaniawybierz Przekierowanie HTTP, a następnie wybierz Dalej.

    Opcje punktów końcowych jednokrotnego wylogowania w programie SAP

  9. W obszarze Artifact Endpointswybierz opcję Dalej, aby kontynuować.

    Opcje punktów końcowych artefaktu w programie SAP

  10. W obszarze Wymagania dotyczące uwierzytelnianiawybierz Zakończ.

    opcje wymagań dotyczących uwierzytelniania i opcja Zakończ w programie SAP

  11. Wybierz Zaufany Dostawca>Identity Federation (W dolnej części strony). Wybierz Edytuj.

    zakładki Zaufany Dostawca i Federacja Tożsamości w SAP

  12. Wybierz pozycję Dodaj.

    Opcja

  13. W oknie dialogowym Obsługiwane formaty NameID wybierz nieokreślony. Wybierz pozycję OK.

    okno dialogowe Obsługiwane formaty NameID i opcje w programie SAP

    Wartości źródła identyfikatora użytkownika i trybu mapowania identyfikatora użytkownika określają połączenie między użytkownikiem SAP a roszczeniem Microsoft Entra.

    Scenariusz 1: mapowanie użytkownika SAP na użytkownika Entra firmy Microsoft

    1. W systemie SAP, w obszarze Szczegóły formatu identyfikatora NameID "Nieokreślony", zanotuj:

      Zrzut ekranu przedstawiający okno dialogowe

    2. W portalu Azure, w sekcji Atrybuty użytkownika & Oświadczenia, zanotuj wymagane oświadczenia z Microsoft Entra ID.

      Zrzut ekranu przedstawiający okno dialogowe

    scenariusz 2: wybierz identyfikator użytkownika SAP na podstawie skonfigurowanego adresu e-mail w programie SU01. W takim przypadku identyfikator poczty e-mail powinien być skonfigurowany w usłudze SU01 dla każdego użytkownika, który wymaga logowania jednokrotnego.

    1. W systemie SAP, w obszarze Szczegóły formatu identyfikatora NameID "Nieokreślony", zanotuj:

      okno dialogowe 'Szczegóły formatu NameID'

    2. W portalu Azure, w sekcji Atrybuty użytkownika & Oświadczenia, zanotuj wymagane oświadczenia z Microsoft Entra ID.

      okno dialogowe Atrybuty użytkownika i oświadczenia w portalu Azure

  14. Wybierz pozycję Zapisz, a następnie wybierz pozycję Włącz, aby włączyć dostawcę tożsamości.

    opcje Zapisz i Włącz w programie SAP

  15. Po wyświetleniu monitu wybierz pozycję OK.

    opcja OK w oknie dialogowym Konfiguracji SAML 2.0 w programie SAP

Tworzenie użytkownika testowego aplikacji SAP Fiori

W tej sekcji utworzysz użytkownika o nazwie Britta Simon w aplikacji SAP Fiori. Współpracuj z wewnętrznym zespołem ekspertów SAP lub partnerem SAP w organizacji, aby dodać użytkownika na platformie SAP Fiori.

Testowanie logowania jednokrotnego

  1. Po aktywowaniu dostawcy tożsamości Microsoft Entra ID w rozwiązaniu SAP Fiori spróbuj uzyskać dostęp do jednego z następujących adresów URL, aby przetestować logowanie jednokrotne (nie należy monitować o podanie nazwy użytkownika i hasła):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Nota

    Zastąp <sap-url> rzeczywistą nazwą hosta SAP.

  2. Adres URL testu powinien zostać wyświetlony na następującej stronie aplikacji testowej w oprogramowaniu SAP. Jeśli strona otworzy się, jednokrotne logowanie Microsoft Entra zostanie pomyślnie skonfigurowane.

    strona standardowej aplikacji testowej w oprogramowaniu SAP

  3. Jeśli zostanie wyświetlony monit o podanie nazwy użytkownika i hasła, włącz śledzenie, aby ułatwić diagnozowanie problemu. Użyj następującego adresu URL dla śledzenia:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Powiązana zawartość

Po skonfigurowaniu rozwiązania SAP Fiori możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.