Konfigurowanie oprogramowania SAP NetWeaver na potrzeby logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować oprogramowanie SAP NetWeaver z identyfikatorem Microsoft Entra ID. Po zintegrowaniu oprogramowania SAP NetWeaver z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do oprogramowania SAP NetWeaver.
• Zezwalaj swoim użytkownikom na automatyczne logowanie do oprogramowania SAP NetWeaver przy użyciu kont Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

• Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
• Jedna z następujących ról:
  • Administrator aplikacji
  • Administrator aplikacji w chmurze
  • Właściciel aplikacji.

• Subskrypcja aplikacji SAP NetWeaver z obsługą logowania jednokrotnego.
• OPROGRAMOWANIE SAP NetWeaver w wersji 7.20 lub nowszej

Opis scenariusza

• Oprogramowanie SAP NetWeaver obsługuje zarówno SAML (SSO inicjowane przez SP) i OAuth. W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

Uwaga

Identyfikator tej aplikacji jest stałym ciągiem znaków, więc w jednym środowisku można skonfigurować tylko jedną instancję.

Uwaga

Skonfiguruj aplikację w języku SAML lub OAuth zgodnie z wymaganiami organizacji.

Dodawanie oprogramowania SAP NetWeaver z galerii

Aby skonfigurować integrację oprogramowania SAP NetWeaver z programem Microsoft Entra ID, należy dodać oprogramowanie SAP NetWeaver z galerii do listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
2. Przejdź do Entra ID>aplikacje dla przedsiębiorstw>nowa aplikacja.
3. W sekcji Dodawanie z galerii wpisz SAP NetWeaver w polu wyszukiwania.
4. Wybierz pozycję SAP NetWeaver z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do Twojego tenanta.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego Microsoft Entra dla oprogramowania SAP NetWeaver

Konfiguracja i testowanie logowania jednokrotnego Microsoft Entra z SAP NetWeaver przy użyciu użytkownika testowego B.Simon. Aby jednokrotne logowanie działało, należy ustanowić relację połączenia między użytkownikiem Microsoft Entra a odpowiednim użytkownikiem w SAP NetWeaver.

Aby skonfigurować i przetestować Microsoft Entra SSO z SAP NetWeaver, wykonaj następujące kroki:

1. Skonfiguruj jednokrotne logowanie Microsoft Entra, aby umożliwić użytkownikom korzystanie z tej funkcji.
   1. Utwórz użytkownika testowego Microsoft Entra w celu przetestowania logowania jednokrotnego Microsoft Entra z użytkownikiem B.Simon.
   2. Przypisz użytkownika testowego Microsoft Entra, aby umożliwić B.Simonowi korzystanie z logowania jednokrotnego Microsoft Entra.
2. Skonfiguruj oprogramowanie SAP NetWeaver przy użyciu protokołu SAML , aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
   1. Utwórz użytkownika testowego oprogramowania SAP NetWeaver , aby mieć w oprogramowaniu SAP NetWeaver odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
3. Przetestuj logowanie jednokrotne , aby sprawdzić, czy konfiguracja działa.
4. Skonfiguruj oprogramowanie SAP NetWeaver dla protokołu OAuth , aby skonfigurować ustawienia protokołu OAuth po stronie aplikacji.
5. Poproś o token dostępu od Microsoft Entra ID, aby użyć Microsoft Entra ID jako dostawcę tożsamości (IdP).

Konfigurowanie funkcji jednokrotnego logowania (SSO) Microsoft Entra

W tej sekcji włączysz logowanie jednokrotne systemu Microsoft Entra.

Aby skonfigurować Microsoft Entra logowanie jednokrotne (single sign-on) z SAP NetWeaver, wykonaj następujące kroki:

1. Otwórz nowe okno przeglądarki internetowej i zaloguj się do firmowej witryny oprogramowania SAP NetWeaver jako administrator

2. Upewnij się, że usługi http i https są aktywne, a odpowiednie porty są przypisane w kodzie T-Code SMICM .

3. Zaloguj się do klienta biznesowego oprogramowania SAP System (T01), w którym wymagane jest logowanie jednokrotne i aktywuj zarządzanie sesjami zabezpieczeń HTTP.

   1. Przejdź do kodu transakcji SICF_SESSIONS. Pokazuje ona wszystkie odpowiednie parametry profilu z bieżącymi wartościami. Wyglądają one podobnie do poniższych:-

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0 
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Uwaga

      Dostosuj te parametry zgodnie z wymaganiami organizacji — powyższe parametry są tu podane jedynie jako przykład.

   2. Jeśli to konieczne, dostosuj parametry w wystąpieniu lub domyślnym profilu systemu SAP i uruchom system SAP ponownie.

   3. Wybierz dwukrotnie odpowiedniego klienta, aby włączyć sesję zabezpieczeń HTTP.

      

   4. Aktywuj poniższe usługi SICF:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Przejdź do kodu transakcji SAML2 w biznesowym kliencie SAP systemu [T01/122]. Spowoduje to otwarcie interfejsu użytkownika w przeglądarce. W tym przykładzie dla klienta biznesowego systemu SAP przyjmujemy wartość 122.

   

5. Podaj nazwę użytkownika i hasło, aby przejść do interfejsu użytkownika, a następnie wybierz pozycję Edytuj.

   

6. Zamień Nazwa dostawcy z T01122 na http://T01122 i wybierz Zapisz.

   Uwaga

   Domyślnie nazwa dostawcy jest w formacie <sid><client>, ale Microsoft Entra ID oczekuje nazwy w formacie <protocol>://<name>. Zaleca się zachowanie nazwy dostawcy w formacie https://<sid><client>, aby umożliwić skonfigurowanie wielu aparatów programu SAP NetWeaver ABAP w usłudze Microsoft Entra ID.

   

7. Generowanie metadanych dostawcy usług: — po zakończeniu konfigurowania ustawień dostawcy lokalnego i zaufanych dostawców w interfejsie użytkownika SAML 2.0 następnym krokiem będzie wygenerowanie pliku metadanych dostawcy usług (który będzie zawierał wszystkie ustawienia, konteksty uwierzytelniania i inne konfiguracje w oprogramowaniu SAP). Po wygenerowaniu tego pliku przekaż ten plik do identyfikatora Entra firmy Microsoft.

   

   1. Przejdź do zakładki Lokalny Dostawca.

   2. Wybierz Metadane.

   3. Zapisz wygenerowany plik XML metadanych na komputerze i przekaż go w sekcji Podstawowa konfiguracja protokołu SAML , aby automatycznie wypełniać wartości Identyfikator i Adres URL odpowiedzi w witrynie Azure Portal.

Aby włączyć Microsoft Entra SSO, wykonaj następujące kroki.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do Entra ID>aplikacji korporacyjnych>, na stronie integracji aplikacji SAP NetWeaver, znajdź sekcję Zarządzanie i wybierz pozycję Jednokrotne logowanie.

3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

4. Na stronie Konfigurowanie pojedynczego Sign-On przy użyciu SAML wybierz ikonę ołówka obok opcji Podstawowa konfiguracja SAML, aby edytować ustawienia.

   

5. Jeśli chcesz skonfigurować aplikację w trybie inicjowany przez dostawcę tożsamości, w sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujący krok:

   1. Wybierz pozycję Przekaż plik metadanych , aby przekazać plik metadanych dostawcy usług, który został uzyskany wcześniej.

   2. Wybierz logo folderu , aby wybrać plik metadanych, a następnie wybierz pozycję Przekaż.

   3. Po pomyślnym przekazaniu pliku metadanych wartości Identyfikator i Adres URL odpowiedzi zostaną wypełnione automatycznie w polu tekstowym Podstawowa konfiguracja protokołu SAML , jak pokazano poniżej:

   4. W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<your company instance of SAP NetWeaver>

   Uwaga

   Niektórzy klienci napotkali błąd nieprawidłowo skonfigurowanego adresu URL odpowiedzi dla ich instancji. Jeśli wystąpi taki błąd, użyj tych poleceń programu PowerShell. Najpierw zaktualizuj adresy URL odpowiedzi w obiekcie aplikacji, a następnie zaktualizuj główny element usługi. Użyj polecenia Get-MgServicePrincipal , aby uzyskać wartość identyfikatora jednostki usługi.

   $params = @{
      web = @{
         redirectUris = "<Your Correct Reply URL>"
      }
   }
   Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
   Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
   

6. Aplikacja SAP NetWeaver oczekuje asercji SAML w określonym formacie, co wymaga dodania niestandardowego mapowania atrybutów do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych. Wybierz ikonę Edytuj , aby otworzyć okno dialogowe Atrybuty użytkownika.

   

7. W sekcji Oświadczenia użytkownika w oknie dialogowym Atrybuty użytkownika skonfiguruj atrybut tokenu SAML, jak pokazano na powyższej ilustracji i wykonaj następujące kroki:

   1. Wybierz ikonę Edytuj , aby otworzyć okno dialogowe Zarządzanie oświadczeniami użytkowników .

      

      

   2. Z listy Transformacja wybierz ExtractMailPrefix().

   3. Z listy Parametr 1 wybierz pozycję user.userprincipalname.

   4. Wybierz pozycję Zapisz.

8. Na stronie Konfigurowanie pojedynczego Sign-On przy użyciu języka SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz , aby pobrać certyfikat i zapisać go na komputerze.

   

9. W sekcji Konfigurowanie oprogramowania SAP NetWeaver skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

   

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku "Szybki start: tworzenie i przypisywanie konta użytkownika" , aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfigurowanie oprogramowania SAP NetWeaver przy użyciu języka SAML

1. Zaloguj się do systemu SAP i przejdź do kodu transakcji SAML2. Spowoduje to otwarcie nowego okna przeglądarki z ekranem konfiguracji protokołu SAML.

2. Aby skonfigurować punkty końcowe dla zaufanego dostawcy tożsamości (Microsoft Entra ID), przejdź do karty Zaufani dostawcy .

   

3. Naciśnij pozycję Dodaj i wybierz pozycję Przekaż plik metadanych z menu kontekstowego.

   

4. Przekaż pobrany plik metadanych.

   

5. Na następnym ekranie wpisz nazwę aliasu. Na przykład wpisz aadsts, a następnie naciśnij przycisk Dalej , aby kontynuować.

   

6. Upewnij się, że algorytm skrótu powinien mieć wartość SHA-256 i nie wymaga żadnych zmian i naciśnij przycisk Dalej.

   

7. W przypadku pojedynczych punktów końcowych Sign-On użyj protokołu HTTP POST i wybierz przycisk Dalej , aby kontynuować.

   

8. W obszarze Punkty końcowe jednokrotnego wylogowania wybierz HTTPRedirect i naciśnij Dalej, aby kontynuować.

   

9. Na punktach końcowych Artefaktu, naciśnij Dalej, aby kontynuować.

   

10. W obszarze Wymagania dotyczące uwierzytelniania wybierz pozycję Zakończ.

    

11. Przejdź do karty Zaufany Dostawca>Federacja Tożsamości (od dołu ekranu). Wybierz pozycję Edytuj.

    

12. Wybierz pozycję Dodaj na karcie Federacja tożsamości (dolne okno).

    

13. W oknie podręcznym wybierz pozycję Nieokreślone z listy obsługiwanych formatów NameID i wybierz przycisk OK.

    

14. Nadaj wartość Źródło identyfikatora użytkownika jako atrybut asercji, wartość trybu mapowania identyfikatora użytkownika jako Adres e-mail i Nazwa atrybutu asercji jako http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    

15. Należy pamiętać, że wartości Źródła identyfikatora użytkownika i trybu mapowania Identyfikatora użytkownika określają połączenie między użytkownikiem SAP a oświadczeniem Microsoft Entra.

Scenariusz: mapowanie użytkownika SAP na użytkownika Microsoft Entra.

1. Zrzut ekranu przedstawiający szczegóły NameID w systemie SAP.

   

2. Zrzut ekranu przedstawiający wymagane oświadczenia z identyfikatora Entra firmy Microsoft.

   

   Scenariusz: wybierz Identyfikator użytkownika SAP na podstawie skonfigurowanego adresu e-mail w SU01. W takim przypadku identyfikator e-mail powinien być skonfigurowany w su01 dla każdego użytkownika, który wymaga logowania jednokrotnego.

   1. Zrzut ekranu przedstawiający szczegóły NameID w systemie SAP.

      

   2. Zrzut ekranu przedstawiający wymagane oświadczenia z identyfikatora Entra firmy Microsoft.

   

3. Wybierz pozycję Zapisz , a następnie wybierz pozycję Włącz , aby włączyć dostawcę tożsamości.

   

4. Po wyświetleniu monitu wybierz przycisk OK .

   

Tworzenie użytkownika testowego oprogramowania SAP NetWeaver

W tej sekcji utworzysz użytkownika o nazwie B.simon w oprogramowaniu SAP NetWeaver. Aby dodać użytkowników na platformie SAP NetWeaver, skontaktuj się z wewnętrznym zespołem ekspertów SAP w swojej organizacji lub skorzystaj z pomocy partnera SAP twojej organizacji.

Testowanie SSO

1. Po aktywowaniu dostawcy tożsamości Microsoft Entra ID spróbuj uzyskać dostęp do poniższego adresu URL, aby sprawdzić logowanie jednokrotne (SSO), upewniając się, że nie pojawi się żądanie podania nazwy użytkownika i hasła.

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   (lub) użyj poniższego adresu URL

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   Uwaga

   Zastąp sapurl faktyczną nazwą hosta systemu SAP.

2. Powyższy adres URL powinien przenieść Cię na pokazany poniżej ekran. Jeśli możesz uzyskać dostęp do poniższej strony, konfiguracja logowania jednokrotnego SSO Microsoft Entra jest zakończona pomyślnie.

   

3. Jeśli wystąpi monit o podanie nazwy użytkownika i hasła, możesz zdiagnozować problem, włączając śledzenie przy użyciu adresu URL:

   https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Konfigurowanie oprogramowania SAP NetWeaver dla protokołu OAuth

1. Proces udokumentowany przez oprogramowanie SAP jest dostępny w lokalizacji: Włączanie usługi bramy NetWeaver i tworzenie zakresu OAuth 2.0

2. Przejdź do obszaru SPRO i znajdź Aktywuj i utrzymuj usługi.

   

3. W tym przykładzie chcemy połączyć usługę OData: DAAG_MNGGRP przy użyciu protokołu OAuth z usługą Microsoft Entra SSO. Użyj wyszukiwania nazwy usługi technicznej dla usługi DAAG_MNGGRP i aktywuj ją, jeśli jeszcze nie jest aktywna (sprawdź stan green na karcie Węzły ICF). Upewnij się, że alias systemu (połączony system zaplecza, w którym usługa jest rzeczywiście uruchomiona) jest poprawny.

   

   • Następnie wybierz pozycję Pushbutton OAuth na górnym pasku przycisków i przypisz scope (zachowaj domyślną nazwę jako oferowaną).

4. W naszym przykładzie zakresem jest DAAG_MNGGRP_001. Jest ona generowana na podstawie nazwy usługi przez automatyczne dodawanie liczby. Raport /IWFND/R_OAUTH_SCOPES może posłużyć do zmiany nazwy zakresu lub do utworzenia go ręcznie.

   

   Uwaga

   Komunikat soft state status isn't supported — można zignorować, ponieważ nie ma problemu.

Tworzenie użytkownika usługi dla klienta OAuth 2.0

1. Protokół OAuth2 używa elementu , service ID aby uzyskać token dostępu dla użytkownika końcowego w jego imieniu. Ważne ograniczenie projektu protokołu OAuth: OAuth 2.0 Client ID musi być identyczny z username używanym przez klienta OAuth 2.0 do logowania przy żądaniu tokenu dostępu. W związku z tym w naszym przykładzie zarejestrujemy klienta OAuth 2.0 o nazwie CLIENT1. W ramach wymagań wstępnych w systemie SAP musi istnieć użytkownik o tej samej nazwie (CLIENT1). Tego użytkownika skonfigurujemy do użycia przez wskazaną aplikację.

2. Podczas rejestrowania klienta OAuth używamy elementu SAML Bearer Grant type.

   Uwaga

   Aby uzyskać więcej informacji, zobacz Rejestracja klienta protokołu OAuth 2.0 dla typu przyznawania elementu nośnego SAML tutaj.

3. Wykonaj kod T-Code SU01, aby utworzyć użytkownika CLIENT1 jako System type i przypisać hasło. Zapisz hasło, ponieważ musisz przekazać poświadczenia programiście interfejsu API, który powinien zapisać je z nazwą użytkownika w kodzie wywołującym. Nie należy przypisywać żadnego profilu ani roli.

Zarejestruj nowy identyfikator klienta OAuth 2.0 za pomocą kreatora tworzenia

1. Aby zarejestrować nowego klienta OAuth 2.0, uruchom transakcję SOAUTH2. Transakcja wyświetli przegląd klientów OAuth 2.0, które zostały już zarejestrowane. Wybierz pozycję Utwórz , aby uruchomić kreatora dla nowego klienta OAuth o nazwie CLIENT1 w tym przykładzie.

2. Przejdź do pozycji T-Code: SOAUTH2 i podaj opis, a następnie wybierz Dalej.

   

   

3. Wybierz już dodany identyfikator SAML2 IdP — Microsoft Entra ID z listy rozwijanej i zapisz.

   

   

   

4. Wybierz pozycję Dodaj w obszarze przypisania zakresu, aby dodać wcześniej utworzony zakres: DAAG_MNGGRP_001

   

   

5. Wybierz pozycję Zakończ.

Żądanie tokenu dostępu z Microsoft Entra ID

Aby zażądać tokenu dostępu z systemu SAP przy użyciu Microsoft Entra ID (dawniej Azure AD) jako dostawcy tożsamości (IdP), wykonaj następujące kroki:

Krok 1. Rejestrowanie aplikacji w identyfikatorze Entra firmy Microsoft

1. Zaloguj się do witryny Azure Portal: przejdź do witryny Azure Portal pod adresem portal.azure.com.
2. Zarejestruj nową aplikację:
   • Przejdź do "Microsoft Entra ID".
   • Wybierz pozycję "Rejestracje aplikacji" > "Nowa rejestracja".
   • Wprowadź dane aplikacji, takie jak nazwa, identyfikator URI przekierowania itp.
   • Wybierz pozycję "Zarejestruj".
3. Konfigurowanie uprawnień interfejsu API:
   • Po rejestracji przejdź do pozycji "Uprawnienia interfejsu API".
   • Wybierz pozycję "Dodaj uprawnienie" i wybierz pozycję "Interfejsy API używane przez moją organizację".
   • Wyszukaj system SAP lub odpowiedni interfejs API i dodaj niezbędne uprawnienia.
   • Udziel zgody administratora na uprawnienia.

Krok 2: Tworzenie sekretu klienta

1. Przejdź do zarejestrowanej aplikacji: przejdź do pozycji "Certyfikaty i wpisy tajne".
2. Utwórz nowy klucz tajny klienta:
   • Wybierz "Nowy sekret klienta".
   • Podaj opis i ustaw okres wygaśnięcia.
   • Wybierz "Dodaj" i zanotuj wartość tajnego kodu klienta, ponieważ jest ona wymagana do uwierzytelniania.

Krok 3. Konfigurowanie systemu SAP dla integracji identyfikatora entra firmy Microsoft

1. Dostęp do platformy SAP Cloud Platform: zaloguj się do kokpitu platformy SAP Cloud Platform.
2. Konfigurowanie konfiguracji zaufania:
   • Przejdź do pozycji "Zabezpieczenia" > "Konfiguracja zaufania".
   • Dodaj Microsoft Entra ID jako zaufanego dostawcę tożsamości, importując plik XML z metadanymi federacji z Microsoft Entra ID. Można to znaleźć w sekcji "Punkty końcowe" rejestracji aplikacji Microsoft Entra ID (w obszarze Dokument metadanych federacji).
3. Konfigurowanie klienta OAuth2:
   • W systemie SAP skonfiguruj klienta OAuth2 przy użyciu identyfikatora klienta i klucza tajnego klienta uzyskanego z identyfikatora Entra firmy Microsoft.
   • Ustaw punkt końcowy tokenu i inne odpowiednie parametry protokołu OAuth2.

Krok 4. Żądanie tokenu dostępu

Napiwek

Rozważ użycie Azure API Management, aby usprawnić proces propagacji podmiotu zabezpieczeń SAP dla wszystkich aplikacji klienckich w Azure, Power Platform, Microsoft 365 i innych, w jednym miejscu, obejmując inteligentne buforowanie tokenów, bezpieczną obsługę tokenów oraz opcje zarządzania, takie jak ograniczanie żądań. Dowiedz się więcej o propagacji SAP Principal za pomocą usługi Azure API Management. Jeśli preferowana jest platforma SAP Business Technology Platform, zobacz ten artykuł.

1. Przygotuj żądanie tokenu:

   • Skonstruuj żądanie tokenu przy użyciu następujących szczegółów:
     • Punkt końcowy tokenu: zazwyczaj jest to https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token.
     • Identyfikator klienta: Identyfikator aplikacji (klienta) z Microsoft Entra ID.
     • Klucz tajny klienta: wartość tajnego klucza klienta z Microsoft Entra ID.
     • Zakres: wymagane zakresy (np. https://your-sap-system.com/.default).
     • Typ grantu: Należy użyć client_credentials do uwierzytelniania serwer-serwer.

2. Utwórz żądanie tokenu:

   • Użyj narzędzia, takiego jak Postman lub skrypt, aby wysłać żądanie POST do punktu końcowego tokenu.
   • Przykładowe żądanie (w cURL):

     curl -X POST \
       https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token \
       -H 'Content-Type: application/x-www-form-urlencoded' \
       -d 'client_id={client_id}&scope=https://your-sap-system.com/.default&client_secret={client_secret}&grant_type=client_credentials'
     

3. Wyodrębnij token dostępu:

   • Odpowiedź będzie zawierać token dostępu, jeśli żądanie zakończy się pomyślnie. Użyj tego tokenu dostępu, aby uwierzytelnić żądania interfejsu API w systemie SAP.

Krok 5. Używanie tokenu dostępu dla żądań interfejsu API

1. Uwzględnij token dostępu w żądaniach interfejsu API:
   • Dla każdego żądania do systemu SAP dołącz token dostępu w nagłówku Authorization .
   • Przykładowy nagłówek:

     Authorization: Bearer {access_token}
     

Konfigurowanie aplikacji dla przedsiębiorstw dla oprogramowania SAP NetWeaver dla protokołu SAML2 i OAuth2 jednocześnie

W przypadku równoległego używania protokołu SAML2 na potrzeby logowania jednokrotnego i protokołu OAuth2 na potrzeby dostępu do interfejsu API można skonfigurować tę samą aplikację dla przedsiębiorstw w usłudze Microsoft Entra ID dla obu protokołów.

Typowa konfiguracja domyślnie wykorzystuje SAML2 dla logowania jednokrotnego i OAuth2 dla dostępu do API.

Powiązana zawartość

• Skonfiguruj program Microsoft Entra SAP NetWeaver, aby wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza dostęp warunkowy. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.
• Skonfiguruj propagację zasadniczą SAP (OAuth2) przy użyciu usługi Azure API Management, aby zarządzać i zabezpieczać dostęp do systemów SAP z aplikacji klienckich w Azure, Power Platform, Microsoft 365 i innych. Dowiedz się więcej o propagacji SAP Principal za pomocą usługi Azure API Management.