Przeczytaj w języku angielskim

Udostępnij za pośrednictwem

Integracja logowania jednokrotnego (SSO) Microsoft Entra z usługą SAP Cloud Identity Services

  • Artykuł

Z tego artykułu dowiesz się, jak zintegrować usługi SAP Cloud Identity Services z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usług SAP Cloud Identity Services z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do usług SAP Cloud Identity Services.
  • Umożliwianie użytkownikom automatycznego logowania do usług SAP Cloud Identity Services i podrzędnych aplikacji SAP przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Napiwek

Postępuj zgodnie z zaleceniami i przewodnikiem najlepszych praktyk "Używanie identyfikatora Entra firmy Microsoft do zabezpieczania dostępu do platform SAP i aplikacji", aby wdrożyć konfigurację.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

Jeśli jeszcze nie masz użytkowników w usłudze Microsoft Entra ID, zacznij od artykułu planu wdrożenia usługi Microsoft Entra na potrzeby aprowizacji użytkowników za pomocą aplikacji źródłowych i docelowych SAP. W tym artykule pokazano, jak połączyć Microsoft Entra ze źródłami autorytatywnymi dla listy pracowników w organizacji, takich jak SAP SuccessFactors. Pokazano również, jak używać firmy Microsoft Entra do konfigurowania tożsamości dla tych pracowników, aby mogli zalogować się do co najmniej jednej aplikacji SAP, takiej jak SAP ECC lub SAP S/4HANA.

Jeśli konfigurujesz jednokrotne logowanie w usługach SAP Cloud Identity Services w środowisku produkcyjnym, gdzie będziesz zarządzać dostępem do obciążeń SAP przy użyciu Microsoft Entra ID do zarządzania tożsamością, zapoznaj się z wymaganiami wstępnymi przed skonfigurowaniem Microsoft Entra ID przed kontynuowaniem.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

  • Usługa SAP Cloud Identity Services obsługuje logowanie jednokrotne inicjowane zarówno przez dostawcę usług (SP), jak i dostawcę tożsamości (IDP).
  • Usługa SAP Cloud Identity Services obsługuje automatyczną aprowizację użytkowników.

Zanim zagłębisz się w szczegóły techniczne, konieczne jest zrozumienie koncepcji, które zostaną omówione. Usługi SAP Cloud Identity Services umożliwiają implementowanie logowania jednokrotnego w aplikacjach i usługach SAP z tym samym środowiskiem logowania jednokrotnego co aplikacje inne niż SAP zintegrowane bezpośrednio z identyfikatorem Entra firmy Microsoft jako dostawcą tożsamości.

Usługi SAP Cloud Identity Services działają jako dostawca tożsamości pośredniej dla innych aplikacji SAP, dla których są używane jako systemy docelowe . Identyfikator Entra firmy Microsoft z kolei działa jako wiodący dostawca tożsamości w tej konfiguracji.

Na poniższym diagramie przedstawiono relację zaufania:

Diagram architektury relacji zaufania między aplikacjami SAP, SAP Cloud Identity Services i Microsoft Entra.

Dzięki tej konfiguracji usługa SAP Cloud Identity Services jest skonfigurowana jako co najmniej jedna aplikacja w usłudze Microsoft Entra ID. Microsoft Entra jest skonfigurowana jako Dostawca Tożsamości Korporacyjnej w SAP Cloud Identity Services.

Wszystkie aplikacje i usługi SAP, które chcesz zapewnić logowanie jednokrotne w ten sposób, są następnie konfigurowane jako aplikacje w usługach SAP Cloud Identity Services.

Diagram architektury jednokrotnego logowania i przepływu aprowizacji między aplikacjami SAP, SAP Cloud Identity Services i Microsoft Entra.

Przypisanie użytkownika w usłudze Microsoft Entra, do roli aplikacji SAP Cloud Identity Services steruje wydawaniem tokenów Microsoft Entra do SAP Cloud Identity Services. Autoryzacja udzielania dostępu do określonych aplikacji i usług SAP oraz przypisań ról dla tych aplikacji SAP odbywa się w usługach SAP Cloud Identity Services i aplikacjach. Ta autoryzacja może być oparta na użytkownikach i grupach wdrażanych z Microsoft Entra ID.

Uwaga

Obecnie tylko logowanie jednokrotne przez Internet zostało przetestowane przez obie strony. Przepływy, które są niezbędne do nawiązania komunikacji pomiędzy aplikacją a interfejsem API lub pomiędzy interfejsami API, powinny działać, ale nie zostały jeszcze przetestowane. Zostaną przetestowane podczas kolejnych działań.

Aby skonfigurować integrację usług SAP Cloud Identity Services z usługą Microsoft Entra ID, należy dodać usługę SAP Cloud Identity Services z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodawanie z galerii wpisz SAP Cloud Identity Services w polu wyszukiwania.
  4. Wybierz pozycję SAP Cloud Identity Services z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund, aż aplikacja zostanie dodana do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do najemcy, dodać użytkowników lub grupy do aplikacji, przypisać role, a także przeprowadzać krok po kroku konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfiguracja i testowanie Microsoft Entra SSO dla usług SAP Cloud Identity Services

Skonfiguruj i przetestuj Microsoft Entra SSO z SAP Cloud Identity Services, używając użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić związek między użytkownikiem Microsoft Entra a powiązanym użytkownikiem w usługach SAP Cloud Identity Services.

Aby skonfigurować i przetestować Microsoft Entra SSO z SAP Cloud Identity Services, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne (SSO) firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz użytkownika testowego Microsoft Entra — aby przetestować logowanie jednokrotne Microsoft Entra z B.Simon.
    2. Przypisz testowego użytkownika Microsoft Entra — aby umożliwić B.Simon korzystanie z logowania jednokrotnego Microsoft Entra.
  2. Konfigurowanie logowania jednokrotnego usługi SAP Cloud Identity Services — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Utwórz użytkownika testowego w usłudze SAP Cloud Identity Services — aby mieć w usłudze SAP Cloud Identity Services odpowiednika użytkownika B.Simon powiązanego z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Uzyskiwanie metadanych federacji usług SAP Cloud Identity Services

  1. Zaloguj się do konsoli administracyjnej usług SAP Cloud Identity Services. Adres URL ma następujący wzorzec: https://<tenant-id>.accounts.ondemand.com/admin lub https://<tenant-id>.trial-accounts.ondemand.com/admin.

  2. W obszarze Aplikacje i zasobywybierz pozycję Ustawienia dzierżawy.

    Zrzut ekranu przedstawiający ustawienia dzierżawy.

  3. Na karcie Jednokrotne Logowanie wybierz pozycję Konfiguracja SAML 2.0. Następnie wybierz Pobierz plik metadanych, aby pobrać metadane federacji usług SAP Cloud Identity Services.

    Zrzut ekranu przedstawiający przycisk pobierania metadanych.

Konfigurowanie usługi Microsoft Entra SSO

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne Microsoft Entra.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Identity>Applications>Enterprise applications. Wpisz nazwę aplikacji, taką jak SAP Cloud Identity Services. Wybierz aplikację, a następnie wybierz opcję logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. W sekcji Podstawowa konfiguracja protokołu SAML, jeśli masz plik metadanych dostawcy usług z usługi SAP Cloud Identity Services, wykonaj następujące kroki:

    a. Kliknij pozycję Przekaż plik metadanych.

    b. Kliknij logo folderu, aby wybrać plik metadanych pobrany z oprogramowania SAP, a następnie kliknij pozycję Przekaż.

    Zrzut ekranu przedstawiający wybieranie pliku metadanych

    c. Po pomyślnym przekazaniu pliku metadanych, wartości Identyfikator oraz Adres URL odpowiedzi zostaną automatycznie wypełnione w sekcji Podstawowa konfiguracja protokołu SAML.

    Zrzut ekranu przedstawiający adresy URL.

    Uwaga

    Jeśli wartości Identyfikator i Adres URL odpowiedzi nie zostaną wypełnione automatycznie, wypełnij wartości ręcznie zgodnie z wymaganiami.

  5. Jeśli chcesz wprowadzić dalsze konfiguracje, na stronie Konfigurowanie logowania jednokrotnego za pomocą SAML kliknij ikonę ołówka przy Podstawowej konfiguracji protokołu SAML, aby edytować ustawienia.

    Edycja podstawowej konfiguracji protokołu SAML

    W polu tekstowym Adres URL logowania (opcjonalnie) wpisz adres URL logowania określonej aplikacji biznesowej.

    Uwaga

    Zastąp tę wartość rzeczywistym adresem URL logowania. Aby uzyskać więcej informacji, zobacz artykuł bazy wiedzy SAP 3128585. Jeśli masz jakiekolwiek pytania, skontaktuj się z zespołem pomocy technicznej klienta SAP Cloud Identity Services.

  6. Aplikacja SAP Cloud Identity Services oczekuje asercji SAML w określonym formacie, co wymaga dodania niestandardowych mapowań atrybutów do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych.

    Zrzut ekranu przedstawiający atrybuty.

  7. Oprócz powyższych, aplikacja SAP Cloud Identity Services oczekuje, że kilka atrybutów zostanie przekazanych z powrotem w odpowiedzi SAML, które przedstawiono poniżej. Te atrybuty są również wstępnie wypełnione, ale można je przejrzeć zgodnie z Twoimi wymaganiami.

    Nazwisko Atrybut źródłowy
    imię użytkownik.imię

  8. Na stronie Konfigurowanie logowania jednokrotnego za pomocą protokołu SAML w sekcji Certyfikat podpisywania SAML kliknij link Pobierz, aby pobrać kod XML metadanych z podanych opcji zgodnie z wymaganiami i zapisać go na komputerze.

    Link do pobierania certyfikatu

  9. W sekcji Konfigurowanie usług SAP Cloud Identity Services skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Kopiowanie adresów URL konfiguracji

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
  2. Przejdź do Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź B.Simon.
    2. W polu Nazwa główna użytkownika wprowadź username@companydomain.extension. Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz aplikację B.Simon, aby korzystać z logowania jednokrotnego, udzielając dostępu do usług SAP Cloud Identity Services.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>SAP Cloud Identity Services.

  3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.

  4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .

  5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.

  6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".

  7. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Skonfiguruj SSO usług SAP Cloud Identity Services

W tej sekcji utworzysz dostawcę tożsamości firmowej w konsoli administracyjnej usług SAP Cloud Identity Services. Aby uzyskać więcej informacji, zobacz Create Corporate IdP in Administration Console.

  1. Zaloguj się do konsoli administracyjnej usług SAP Cloud Identity Services. Adres URL ma następujący wzorzec: https://<tenant-id>.accounts.ondemand.com/admin lub https://<tenant-id>.trial-accounts.ondemand.com/admin.

  2. W obszarze Dostawcy tożsamości, wybierz kafelek Dostawcy tożsamości firmowych.

  3. Kliknij pozycję + Utwórz, aby utworzyć dostawcę tożsamości.

    Zrzut ekranu przedstawiający dostawcę tożsamości.

  4. Wykonaj następujące kroki w oknie dialogowym Tworzenie dostawcy tożsamości.

    Zrzut ekranu przedstawiający tworzenie dostawcy tożsamości.

    a. Podaj prawidłową nazwę w Nazwa wyświetlana.

    b. Z listy rozwijanej wybierz pozycję Microsoft ADFS/Entra ID (SAML 2.0).

    c. Kliknij pozycję Utwórz.

  5. Przejdź do Trust -> Konfiguracja SAML 2.0. W polu Plik metadanych kliknij Przeglądaj, aby załadować plik XML metadanych pobrany z konfiguracji logowania jednokrotnego Microsoft Entra.

    Zrzut ekranu przedstawiający konfigurację dostawcy tożsamości.

  6. Kliknij przycisk Zapisz.

  7. Wykonuj dalsze czynności tylko, jeśli chcesz dodać i włączyć logowanie jednokrotne dla kolejnej aplikacji SAP. Powtórz kroki opisane w sekcji Dodawanie usług SAP Cloud Identity Services z galerii.

  8. Po stronie Entra na stronie integracji aplikacji SAP Cloud Identity Services wybierz Połączone logowanie.

    Zrzut ekranu przedstawiający konfigurowanie połączonego logowania

  9. Zapisz konfigurację.

  10. Aby uzyskać więcej informacji, przeczytaj dokumentację dotyczącą usług SAP Cloud Identity Services na stronie Integracja z identyfikatorem Entra firmy Microsoft.

Uwaga

Nowa aplikacja wykorzystuje konfigurację pojedynczego logowania poprzedniej aplikacji SAP. Upewnij się, że używasz tych samych dostawców tożsamości firmowych w konsoli administracyjnej usług SAP Cloud Identity Services.

Tworzenie użytkownika testowego usługi SAP Cloud Identity Services

Nie musisz tworzyć użytkownika w usługach SAP Cloud Identity Services. Użytkownicy, którzy znajdują się w sklepie użytkownika Microsoft Entra, mogą korzystać z funkcji logowania jednokrotnego.

Usługi SAP Cloud Identity Services obsługują opcję federacji tożsamości. Ta opcja umożliwia aplikacji sprawdzenie, czy użytkownicy uwierzytelnieni przez dostawcę tożsamości firmowej istnieją w magazynie użytkowników usług SAP Cloud Identity Services.

Opcja federacji tożsamości jest domyślnie wyłączona. Jeśli federacja tożsamości jest włączona, tylko użytkownicy zaimportowani w usługach SAP Cloud Identity Services mogą uzyskiwać dostęp do aplikacji.

Aby uzyskać więcej informacji na temat włączania lub wyłączania federacji tożsamości za pomocą usług SAP Cloud Identity Services, zobacz "Enable Identity Federation with SAP Cloud Identity Services" (Włączanie federacji tożsamości z usługami SAP Cloud Identity Services) w temacie Configure Identity Federation with the User Store of SAP Cloud Identity Services (Konfigurowanie federacji tożsamości za pomocą usługi SAP Cloud Identity Services).

Uwaga

Usługa SAP Cloud Identity Services obsługuje również automatyczną aprowizację użytkowników. Więcej szczegółów można znaleźć tutaj , aby dowiedzieć się, jak skonfigurować automatyczną aprowizację użytkowników.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego Microsoft Entra z następującymi opcjami: zainicjowane przez SP i zainicjowane przez IDP.

Jeśli wystąpią błędy podczas logowania się do usług SAP Cloud Identity Services z identyfikatorem korelacji, w konsoli administracyjnej usług SAP Cloud Identity Services możesz wyszukać dzienniki rozwiązywania problemów dla tego identyfikatora korelacji. Aby uzyskać więcej informacji, zobacz artykuł bazy wiedzy SAP 2698571 i bazy wiedzy SAP 3201824.

Zainicjowane przez SP

  • Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania usługi SAP Cloud Identity Services, pod którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania do SAP Cloud Identity Services i zainicjuj tam proces logowania.

Inicjowane przez dostawcę tożsamości:

  • Kliknij pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do usług SAP Cloud Identity Services, dla których skonfigurowano logowanie jednokrotne

Możesz również użyć Moje aplikacje firmy Microsoft, aby przetestować aplikację w dowolnym trybie. Po kliknięciu kafelka SAP Cloud Identity Services w "Moje aplikacje", jeśli skonfigurowano go w trybie SP, nastąpi przekierowanie do strony logowania aplikacji, aby rozpocząć przepływ logowania; natomiast, jeśli skonfigurowano go w trybie IDP, powinno nastąpić automatyczne zalogowanie do SAP Cloud Identity Services, dla których skonfigurowano logowanie jednokrotne (SSO). Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Powiązana zawartość

Po skonfigurowaniu logowania jednokrotnego do usług SAP Cloud Identity Services można je ustawić tak, aby przekazywały wszystkie żądania logowania jednokrotnego do Microsoft Entra.

Możesz również wymusić kontrole sesji, które chronią eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrolki sesji rozszerzają dostęp warunkowy. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Aplikacji w Chmurze.

Możesz również zarządzać dostępem do aplikacji SAP BTP przy użyciu usługi Microsoft Entra ID Governance w celu wypełniania grup skojarzonych z rolami w kolekcji ról BTP. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do usługi SAP BTP.

Zapoznaj się z zaleceniami i przewodnikiem najlepszych praktyk, aby wdrożyć konfigurację.