Udostępnij za pośrednictwem


Samouczek: integracja usługi Microsoft Entra SSO z platformą SAP Business Technology Platform

Z tego samouczka dowiesz się, jak zintegrować platformę SAP Business Technology Platform z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu platformy SAP Business Technology Platform z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do platformy SAP Business Technology Platform.
  • Umożliwianie użytkownikom automatycznego logowania do platformy SAP Business Technology Platform przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji SAP Business Technology Platform z obsługą logowania jednokrotnego .

Ważne

Aby przetestować logowanie jednokrotne, musisz wdrożyć własną aplikację lub zasubskrybować aplikację na koncie platformy SAP Business Technology Platform. W tym samouczku aplikacja jest wdrożona w ramach konta.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

  • Platforma SAP Business Technology Platform obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.

Aby skonfigurować integrację platformy SAP Business Technology Platform z usługą Microsoft Entra ID, należy dodać platformę SAP Business Technology Platform z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz SAP Business Technology Platform w polu wyszukiwania.
  4. Wybierz pozycję SAP Business Technology Platform z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO for SAP Business Technology Platform

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft za pomocą platformy SAP Business Technology Platform przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem platformy SAP Business Technology Platform.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft przy użyciu platformy SAP Business Technology Platform, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z użytkownikiem Britta Simon.
    2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby umożliwić użytkownikowi Britta Simon korzystanie z logowania jednokrotnego firmy Microsoft Entra.
  2. Konfigurowanie logowania jednokrotnego platformy SAP Business Technology Platform — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Tworzenie użytkownika testowego platformy SAP Business Technology Platform — aby mieć w rozwiązaniu SAP Business Technology Platform odpowiednik użytkownika Britta Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity Applications Enterprise>applications>SAP Business Technology Platform Single sign-on (Logowanie>jednokrotne platformy SAP Business Technology Platform).>

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Edit Basic SAML Configuration

  5. W sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

    a. W polu tekstowym Identyfikator podaj adres URL platformy SAP Business Technology Platform przy użyciu jednego z następujących wzorców:

    Identyfikator
    https://hanatrial.ondemand.com/<instancename>
    https://hana.ondemand.com/<instancename>
    https://us1.hana.ondemand.com/<instancename>
    https://ap1.hana.ondemand.com/<instancename>

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, używając jednego z następujących wzorców:

    Adres URL odpowiedzi
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>
    https://<subdomain>.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

    c. W polu tekstowym Adres URL logowania wpisz adres URL używany przez użytkowników do logowania się do aplikacji SAP Business Technology Platform . Jest to adres URL specyficzny dla konta chronionego zasobu w aplikacji SAP Business Technology Platform. Adres URL jest zgodny z następującym wzorcem: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

    Uwaga

    Jest to adres URL w aplikacji SAP Business Technology Platform, która wymaga uwierzytelnienia użytkownika.

    Adres URL logowania
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>

    Uwaga

    Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Skontaktuj się z zespołem pomocy technicznej klienta platformy SAP Business Technology Platform, aby uzyskać adres URL i identyfikator logowania. Adres URL odpowiedzi można uzyskać w sekcji zarządzania relacjami zaufania, co zostało wyjaśnione w dalszej części tego samouczka.

  6. Na stronie Konfigurowanie logowania jednokrotnego za pomocą protokołu SAML w sekcji Certyfikat podpisywania SAML kliknij link Pobierz, aby pobrać kod XML metadanych federacji z podanych opcji zgodnie z wymaganiami i zapisać go na komputerze.

    The Certificate download link

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do platformy SAP Business Technology Platform.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji >Identity Applications Enterprise applications>SAP Business Technology Platform ( Aplikacje dla>przedsiębiorstw SAP Business Technology Platform).
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie logowania jednokrotnego platformy SAP Business Technology Platform

  1. W innym oknie przeglądarki internetowej zaloguj się do kokpitu platformy technologii sap business pod adresem https://account.<landscape host>.ondemand.com/cockpit(na przykład: https://account.hanatrial.ondemand.com/cockpit).

  2. Kliknij kartę Trust (Relacja zaufania).

    Trust

  3. W sekcji Trust Management (Zarządzanie relacjami zaufania) w obszarze Local Service Provider (Lokalny dostawca usług), wykonaj następujące kroki:

    Screenshot that shows the

    a. Kliknij przycisk Edytuj.

    b. W polu Configuration Type (Typ konfiguracji) wybierz pozycję Custom (Niestandardowa).

    c. W polu Local Provider Name (Nazwa dostawcy lokalnego) pozostaw wartość domyślną. Skopiuj tę wartość i wklej ją w polu Identyfikator w konfiguracji microsoft Entra dla platformy technologii SAP Business.

    d. Aby wygenerować parę kluczy w polach Signing Key (Klucz podpisywania) i Signing Certificate (Certyfikat podpisywania), kliknij przycisk Generate Key Pair (Generuj parę kluczy).

    e. Ustaw pole Principal Propagation (Propagacja jednostki) na wartość Disabled (Wyłączona).

    f. Ustaw pole Force Authentication (Wymuś uwierzytelnianie) na wartość Disabled (Wyłączone).

    g. Kliknij przycisk Zapisz.

  4. Po zapisaniu ustawień w sekcji Local Service Provider (Lokalny dostawca usług) wykonaj następujące kroki, aby uzyskać adres URL odpowiedzi:

    Get Metadata

    a. Pobierz plik metadanych platformy SAP Business Technology Platform, klikając pozycję Pobierz metadane.

    b. Otwórz pobrany plik XML metadanych platformy SAP Business Technology Platform, a następnie znajdź tag ns3:AssertionConsumerService .

    c. Skopiuj wartość atrybutu Location , a następnie wklej ją w polu Adres URL odpowiedzi w konfiguracji Microsoft Entra dla platformy SAP Business Technology Platform.

  5. Kliknij kartę Trusted Identity Provider (Zaufany dostawca tożsamości), a następnie kliknij pozycję Add Trusted Identity Provider (Dodaj zaufanego dostawcę tożsamości).

    Screenshot that shows the

    Uwaga

    Aby zarządzać listą zaufanych dostawców tożsamości, należy wybrać niestandardowy typ konfiguracji w sekcji Local Service Provider (Lokalny dostawca usług). W przypadku domyślnego typu konfiguracji relacja zaufania z usługą identyfikatora SAP jest nieedytowalna i niejawna. W przypadku braku konfiguracji nie istnieją żadne ustawienia relacji zaufania.

  6. Kliknij kartę General (Ogólne), a następnie kliknij pozycję Browse (Przeglądaj), aby przekazać pobrany plik metadanych.

    Trust Management

    Uwaga

    Po przekazaniu pliku metadanych wartości pól Single Sign-on URL (Adres URL logowania jednokrotnego), Single Logout URL (Adres URL wylogowywania jednokrotnego) i Signing Certificate (Certyfikat podpisywania) zostaną wypełnione automatycznie.

  7. Kliknij kartę Atrybuty.

  8. Na karcie Attributes (Atrybuty) wykonaj następujące kroki:

    Attributes

    a. Kliknij pozycję Add Assertion-Based Attribute (Dodaj atrybut oparty na asercji), a następnie dodaj następujące atrybuty oparte na asercjach:

    Atrybut asercji Atrybut jednostki
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname firstname
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname lastname
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress adres e-mail

    Uwaga

    Konfiguracja atrybutów zależy od sposobu tworzenia aplikacji w ramach punktu połączenia usługi, to znaczy od tego, które atrybuty są oczekiwane w odpowiedzi SAML i pod jaką nazwą (atrybut jednostki) uzyskiwany jest dostęp do tego atrybutu w kodzie.

    b. Wartość pola Default Attribute (Domyślny atrybut) na zrzucie ekranu służy tylko do celów ilustracyjnych. Nie jest ona wymagana do działania tego scenariusza.

    c. Nazwy i wartości w kolumnie Principal Attribute (Atrybut jednostki) na zrzucie ekranu są zależne od sposobu tworzenia aplikacji. Istnieje możliwość, że w Twojej aplikacji wymagane będzie użycie innych mapowań.

Grupy oparte na asercjach

Opcjonalnie możesz skonfigurować grupy oparte na asercji dla dostawcy tożsamości firmy Microsoft Entra.

Użycie grup na platformie SAP Business Technology Platform umożliwia dynamiczne przypisywanie co najmniej jednego użytkownika do co najmniej jednej roli w aplikacjach SAP Business Technology Platform określonych przez wartości atrybutów w asercji SAML 2.0.

Na przykład jeśli asercja zawiera atrybut „contract=temporary”, możesz dodać wszystkich użytkowników, których on dotyczy, do grupy „TEMPORARY”. Grupa "TEMPORARY" może zawierać co najmniej jedną rolę z co najmniej jednej aplikacji wdrożonej na koncie platformy SAP Business Technology Platform.

Użyj grup opartych na asercji, jeśli chcesz jednocześnie przypisać wielu użytkowników do co najmniej jednej roli aplikacji na koncie platformy SAP Business Technology Platform. Jeśli chcesz przypisać tylko jedną lub małą liczbę użytkowników do określonych ról, zalecamy przypisanie ich bezpośrednio na karcie "Autoryzacje" kokpitu platformy SAP Business Technology Platform.

Tworzenie użytkownika testowego platformy SAP Business Technology Platform

Aby umożliwić użytkownikom firmy Microsoft Entra logowanie się do platformy SAP Business Technology Platform, należy przypisać do nich role na platformie SAP Business Technology Platform.

Aby przypisać rolę użytkownikowi, wykonaj następujące kroki:

  1. Zaloguj się do kokpitu platformy SAP Business Technology Platform .

  2. Wykonaj poniższe kroki:

    Authorizations

    a. Kliknij pozycję Authorization (Autoryzacja).

    b. Kliknij przycisk Użytkownicy kartę.

    c. W polu tekstowym User (Użytkownik) wpisz adres e-mail użytkownika.

    d. Kliknij pozycję Assign (Przypisz), aby przypisać użytkownika do roli.

    e. Kliknij przycisk Zapisz.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania platformy technologii SAP Business, pod którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania platformy TECHNOLOGII SAP Business i zainicjuj przepływ logowania z tego miejsca.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka SAP Business Technology Platform w Moje aplikacje powinno nastąpić automatyczne zalogowanie do platformy SAP Business Technology Platform, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu platformy SAP Business Technology Platform można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.