Konfigurowanie platformy SAP Business Technology Platform na potrzeby logowania jednokrotnego przy użyciu usługi Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować platformę SAP Business Technology Platform z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu platformy SAP Business Technology Platform z usługą Microsoft Entra ID można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do platformy SAP Business Technology Platform.
• Umożliwianie użytkownikom automatycznego logowania do platformy SAP Business Technology Platform przy użyciu kont Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.
• Przypisz użytkowników w firmie Microsoft Entra do ról platformy technologii SAP Business.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

• Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
• Jedna z następujących ról:
  • Administrator aplikacji
  • Administrator aplikacji w chmurze
  • właściciel aplikacji.

• Subskrypcja aplikacji SAP Business Technology Platform z obsługą logowania jednokrotnego .

Ważne

Aby przetestować logowanie jednokrotne, musisz wdrożyć własną aplikację lub zasubskrybować aplikację na koncie platformy SAP Business Technology Platform. W tym artykule aplikacja jest wdrażana na koncie.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

• Platforma SAP Business Technology Platform obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.

Dodaj platformę SAP Business Technology Platform z galerii

Aby skonfigurować integrację platformy SAP Business Technology Platform z usługą Microsoft Entra ID, należy dodać platformę SAP Business Technology Platform z galerii do listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.
2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
3. W sekcji Dodawanie z galerii wpisz SAP Business Technology Platform w polu wyszukiwania.
4. Wybierz pozycję SAP Business Technology Platform z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do Twojego tenanta.

Możesz również użyć Kreatora konfiguracji aplikacji Enterprise. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o narzędziach Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO for SAP Business Technology Platform

Skonfiguruj i przetestuj Microsoft Entra SSO z SAP Business Technology Platform przy użyciu użytkownika testowego B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem platformy SAP Business Technology Platform.

Aby skonfigurować i przetestować Microsoft Entra SSO z platformą SAP Business Technology Platform, wykonaj następujące kroki:

1. Skonfiguruj Microsoft Entra SSO — aby użytkownicy mogli korzystać z tej funkcji.
   1. Stwórz użytkownika testowego Microsoft Entra — aby przetestować logowanie jednokrotne Microsoft Entra z Brittą Simon.
   2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić użytkowniczce Britcie Simon korzystanie z jednokrotnego logowania Microsoft Entra.
2. Skonfiguruj logowanie jednokrotne (SSO) na platformie SAP Business Technology Platform — aby skonfigurować ustawienia SSO Sign-On po stronie aplikacji.
   1. Tworzenie użytkownika testowego platformy SAP Business Technology Platform — aby mieć w rozwiązaniu SAP Business Technology Platform odpowiednik użytkownika Britta Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
3. test SSO - aby zweryfikować, czy konfiguracja działa.

Konfiguracja systemu Microsoft Entra SSO

Aby włączyć SSO Microsoft Entra, wykonaj następujące kroki.

1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.

2. Przejdź do Entra ID>aplikacje dla przedsiębiorstw>SAP Business Technology Platform>logowania jednokrotnego.

3. Na stronie Wybierz metodę logowania jednokrotnego wybierz opcję SAML.

4. Na stronie Konfigurowanie logowania jednokrotnego z SAML wybierz ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

   

5. W sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

   a. W polu tekstowym Identyfikator podaj adres URL platformy SAP Business Technology Platform przy użyciu jednego z następujących wzorców:

   Identyfikator
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, używając jednego z następujących wzorców:

   adres URL odpowiedzi
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. W polu tekstowym Adres URL logowania wpisz adres URL używany przez użytkowników do logowania się do aplikacji SAP Business Technology Platform . Jest to adres URL specyficzny dla konta chronionego zasobu w aplikacji SAP Business Technology Platform. Adres URL jest oparty na następującym wzorcu: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Uwaga

   Jest to adres URL w aplikacji SAP Business Technology Platform, która wymaga uwierzytelnienia użytkownika.

   Adres URL logowania
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Uwaga

   Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Skontaktuj się z zespołem pomocy technicznej klienta platformy SAP Business Technology Platform , aby uzyskać adres URL i identyfikator Sign-On. Adres URL odpowiedzi można uzyskać z sekcji zarządzania relacjami zaufania, co zostało wyjaśnione w dalszej części artykułu.

6. Na stronie Konfiguracja Single Sign-On za pomocą SAML, w sekcji Certyfikat podpisywania SAML, wybierz Pobierz, aby pobrać Federation Metadata XML z podanych opcji zgodnie z wymaganiami i zapisz go na swoim komputerze.

   

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku szybkiego startu dotyczącym tworzenia i przypisywania konta użytkownika, aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfigurowanie SSO na platformie SAP Business Technology Platform

1. W innym oknie przeglądarki internetowej zaloguj się do Kokpitu SAP Business Technology Platform pod adresem https://account.<landscape host>.ondemand.com/cockpit(na przykład: https://account.hanatrial.ondemand.com/cockpit).

2. Wybierz zakładkę Zaufanie.

   

3. W sekcji Zarządzanie zaufaniem w obszarze Dostawca usług lokalnych wykonaj następujące kroki:

   

   a. Wybierz Edytuj.

   b. Jako Typ konfiguracji wybierz pozycję Niestandardowy.

   c. W polu Nazwa dostawcy lokalnego pozostaw wartość domyślną. Skopiuj tę wartość i wklej ją w polu Identyfikator w konfiguracji microsoft Entra dla platformy technologii SAP Business.

   d. Aby wygenerować klucz podpisywania i parę kluczy certyfikatu podpisywania , wybierz pozycję Generuj parę kluczy.

   e. Jako Propagacja podmiotu, wybierz Wyłączone.

   f. Jako Wymuszanie uwierzytelniania wybierz Wyłączone.

   g. Wybierz Zapisz.

4. Po zapisaniu ustawień lokalnego dostawcy usług wykonaj następujące czynności, aby uzyskać adres URL odpowiedzi:

   

   a. Pobierz plik metadanych platformy SAP Business Technology Platform, wybierając pozycję Pobierz metadane.

   b. Otwórz pobrany plik XML metadanych platformy SAP Business Technology Platform, a następnie znajdź tag ns3:AssertionConsumerService .

   c. Skopiuj wartość atrybutu Location , a następnie wklej ją w polu Adres URL odpowiedzi w konfiguracji Microsoft Entra dla platformy SAP Business Technology Platform.

5. Wybierz kartę Zaufany dostawca tożsamości , a następnie wybierz pozycję Dodaj zaufanego dostawcę tożsamości.

   

   Uwaga

   Aby zarządzać listą zaufanych dostawców tożsamości, musisz wybrać niestandardowy typ konfiguracji w sekcji Dostawca usług lokalnych. W przypadku domyślnego typu konfiguracji masz nieedytowalne i niejawne zaufanie do usługi SAP ID Service. W przypadku opcji Brak nie masz żadnych ustawień zaufania.

6. Wybierz kartę Ogólne , a następnie wybierz pozycję Przeglądaj , aby przekazać pobrany plik metadanych.

   

   Uwaga

   Po przekazaniu pliku metadanych wartości adresu URL logowania jednokrotnego, adresu URL logowania jednokrotnego i certyfikatu podpisywania są wypełniane automatycznie.

7. Wybrane kartę Atrybuty.

8. Na karcie Atrybuty wykonaj następujący krok:

   

   a. Wybierz pozycję Dodaj atrybut Assertion-Based, a następnie dodaj następujące atrybuty oparte na asercji:

   Atrybut asercji	Główny Atrybut
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	imię
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	nazwisko
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	e-mail

   Uwaga

   Konfiguracja atrybutów zależy od tego, w jaki sposób są opracowywane aplikacje w usłudze SCP, czyli atrybuty, których oczekują w odpowiedzi SAML i pod jaką nazwą (atrybut główny) uzyskują dostęp do tego atrybutu w kodzie.

   b. Atrybut domyślny na zrzucie ekranu jest przeznaczony tylko do celów ilustracyjnych. Nie jest wymagane, aby scenariusz działał.

   c. Nazwy i wartości atrybutu principal wyświetlane na zrzucie ekranu zależą od sposobu opracowywania aplikacji. Możliwe, że aplikacja wymaga różnych mapowań.

Grupy oparte na asercji

Opcjonalnie możesz skonfigurować grupy asercyjne dla usługodawcy tożsamości Microsoft Entra.

Użycie grup na platformie SAP Business Technology Platform umożliwia dynamiczne przypisywanie co najmniej jednego użytkownika do co najmniej jednej roli w aplikacjach SAP Business Technology Platform określonych przez wartości atrybutów w asercji SAML 2.0.

Jeśli na przykład asercji zawiera atrybut "contract=temporary", może być konieczne dodanie wszystkich użytkowników, których dotyczy problem, do grupy "TEMPORARY". Grupa "TEMPORARY" może zawierać co najmniej jedną rolę z co najmniej jednej aplikacji wdrożonej na koncie platformy SAP Business Technology Platform.

Użyj grup opartych na asercji, jeśli chcesz jednocześnie przypisać wielu użytkowników do co najmniej jednej roli aplikacji na koncie platformy SAP Business Technology Platform. Jeśli chcesz przypisać tylko jedną lub małą liczbę użytkowników do określonych ról, zalecamy przypisanie ich bezpośrednio na karcie "Autoryzacje" kokpitu platformy SAP Business Technology Platform.

Tworzenie użytkownika testowego platformy SAP Business Technology Platform

Aby umożliwić użytkownikom firmy Microsoft Entra logowanie się do platformy SAP Business Technology Platform, należy przypisać do nich role na platformie SAP Business Technology Platform.

Aby przypisać rolę użytkownikowi, wykonaj następujące kroki:

1. Zaloguj się do kokpitu platformy SAP Business Technology Platform .

2. Wykonaj poniższe kroki:

   

   a. Wybierz pozycję Autoryzacja.

   b. Wybierz kartę Użytkownicy.

   c. W polu tekstowym Użytkownik wpisz adres e-mail użytkownika.

   d. Wybierz pozycję Przypisz , aby przypisać użytkownika do roli.

   e. Wybierz Zapisz.

Testowanie SSO

W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra, korzystając z następujących opcji.

• Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania platformy technologii SAP Business, pod którym można zainicjować przepływ logowania.

• Przejdź bezpośrednio do adresu URL logowania Platformy Technologicznej SAP Business i zainicjuj flow logowania, zaczynając stamtąd.

• Możesz użyć usługi Microsoft My Apps. Po wybraniu kafelka SAP Business Technology Platform w obszarze Moje aplikacje powinno nastąpić automatyczne zalogowanie do platformy SAP Business Technology Platform, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat moich aplikacji, zobacz Introduction to the My Apps( Wprowadzenie do aplikacji My Apps).

Tworzenie grup dla ról aplikacji SAP Business Technology Platform i przypisywanie grup do kolekcji ról Platforma technologii biznesowych

Możesz utworzyć grupy zabezpieczeń firmy Microsoft Entra i mapować te identyfikatory grup na role aplikacji. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do oprogramowania SAP BTP.

Powiązana zawartość

• Po skonfigurowaniu platformy SAP Business Technology Platform można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę nad sesjami za pomocą Microsoft Defender for Cloud Apps.