Tutorial: integração do logon único (SSO) do Microsoft Entra ao SAP Fiori

  • Artigo

Nesse tutorial, você aprenderá a integrar o SAP Fiori ao Microsoft Entra ID. Ao integrar o SAP Fiori ao Microsoft Entra ID, você poderá:

  • Controlar quem tem acesso ao SAP Fiori no Microsoft Entra ID.
  • Permitir que os usuários entrem automaticamente no SAP Fiori com as respectivas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Assinatura do SAP Fiori habilitada para SSO (logon único).

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

  • O SAP Fiori dá suporte ao SSO iniciado por SP

Observação

Para a Autenticação de iFrame iniciada pelo SAP Fiori, é recomendável usar o parâmetro IsPassive no AuthnRequest SAML para autenticação silenciosa. Para obter mais detalhes sobre o parâmetro IsPassive, consulte as informações sobre o Logon único de SAML do Microsoft Entra.

Para configurar a integração do SAP Fiori ao Microsoft Entra ID, você precisará adicioná-lo à lista de aplicativos SaaS gerenciados por meio da galeria.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar da por meio da galeria, digite SAP Fiori na caixa de pesquisa.
  4. Selecione SAP Fiori no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o SAP Fiori

Configure e teste o SSO do Microsoft Entra com o SAP Fiori com um usuário de teste chamado B. Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do SAP Fiori.

Para configurar e testar o SSO do Microsoft Entra com o SAP Fiori, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra – para permitir que os usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Silva.
    2. Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o logon único do Microsoft Entra.
  2. Configurar o SSO do SAP Fiori – para definir as configurações de logon único no lado do aplicativo.
    1. Criar um usuário de teste do SAP Fiori - para ter um equivalente de B. Fernandes no SAP Fiori que esteja vinculado à representação de usuário do Microsoft Entra.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Abra uma nova janela do navegador da Web e entre em seu site de empresa do SAP Fiori como administrador.

  2. Certifique-se de que os serviços http e https estão ativos e as portas relevantes são atribuídas ao código de transação SMICM.

  3. Entre no cliente do SAP Business para o sistema SAP T01, em que o logon único é necessário. Em seguida, ative o gerenciamento de Sessão de Segurança HTTP.

    1. Vá para o código de transação SICF_SESSIONS. Todos os parâmetros de perfil relevantes com os valores atuais são exibidos. A aparência deles é similar à do exemplo a seguir:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Observação

      Ajuste os parâmetros com base nos requisitos da sua organização. Os parâmetros anteriores são fornecidos apenas como um exemplo.

    2. Se necessário, ajuste os parâmetros no perfil/padrão da instância do sistema SAP e reinicie esse sistema.

    3. Clique duas vezes no cliente relevante para habilitar uma sessão de segurança HTTP.

      The Current Values of Relevant Profile Parameters page in SAP

    4. Ative os seguintes serviços SICF:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Vá para o código de transação SAML2 no cliente de negócios do sistema SAP [T01/122]. A interface do usuário de configuração é aberta em uma nova janela do navegador. Neste exemplo, usamos o Cliente Business para o sistema SAP 122.

    The SAP Fiori Business Client sign-in page

  5. Insira seu nome de usuário e senha e selecione Fazer logon.

    The SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  6. Na caixa Nome do Provedor, substitua T01122 por http://T01122 e selecione Salvar.

    Observação

    Por padrão, o nome do provedor está no formato <sid><cliente>. O Microsoft Entra ID espera o nome no formato <protocolo>://<nome>. Recomendamos que você mantenha o nome do provedor como https://<sid><cliente> para que você possa configurar vários mecanismos de ABAP do SAP Fiori no Microsoft Entra ID.

    The updated provider name in the SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  7. Selecione a guia Provedor Local>Metadados.

  8. Na caixa de diálogo Metadados do SAML 2.0, baixe o arquivo XML de metadados gerado e salve-o em seu computador.

    The Download Metadata link in the SAP SAML 2.0 Metadata dialog box

  9. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  10. Navegue até Identidade>Aplicativos>Aplicativos empresariais>SAP Fiori>Logon único.

  11. Na página Selecionar um método de logon único, escolha SAML.

  12. Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.

    Edit Basic SAML Configuration

  13. Na seção Configuração básica do SAML, se você tiver um arquivo de metadados do provedor de serviços, execute as seguintes etapas:

    1. Clique em Carregar arquivo de metadados.

      Upload metadata file

    2. Clique no logotipo da pasta para selecionar o arquivo de metadados e depois em Carregar.

      choose metadata file

    3. Depois que o arquivo de metadados for carregado com êxito, os valores de Identificador e URL de Resposta serão populados automaticamente no painel Configuração Básica do SAML. Na caixa URL de Entrada, digite uma URL com o seguinte padrão: https://<your company instance of SAP Fiori>.

      Observação

      Alguns clientes encontraram um erro de uma URL de Resposta incorreta configurada para as respectivas instâncias. Se você receber qualquer erro desse tipo, use estes comandos do PowerShell. Primeiro, atualize as URLs de Resposta no objeto do aplicativo com a URL de Resposta e, depois, atualize a entidade de serviço. Use Get-MgServicePrincipal para obter o valor da ID da entidade de serviço.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. O aplicativo SAP Fiori espera que as declarações SAML estejam em um formato específico. Configure as declarações a seguir para este aplicativo. Para gerenciar esses valores de atributo, no painel Configurar o Logon Único com o SAML, selecione Editar.

    The User attributes pane

  15. No painel Atributos e Declarações do Usuário, configure os atributos do token SAML, conforme mostrado na imagem anterior. Em seguida, conclua as seguintes etapas:

    1. Selecione Editar para abrir o painel Gerenciar declarações do usuário.

    2. Na lista Transformação, selecione ExtractMailPrefix() .

    3. Na lista Parâmetro 1, selecione user.userprincipalname.

    4. Selecione Salvar.

      The Manage user claims pane

      The Transformation section in the Manage user claims pane

  16. Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, localize XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo no computador.

    The Certificate download link

  17. Na seção Configurar o SAP Fiori, copie as URLs apropriadas de acordo com suas necessidades.

    Copy configuration URLs

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilitará B.Fernandes a usar o logon único permitindo acesso ao SAP Fiori.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>SAP Fiori.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
    1. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do SAP Fiori

  1. Entre no sistema SAP e acesse o código de transação SAML2. Uma nova janela do navegador é aberta com a página de configuração do SAML.

  2. Para configurar pontos de extremidade para um provedor de identidade confiável (Microsoft Entra ID), selecione a guia Provedores Confiáveis.

    The Trusted Providers tab in SAP

  3. Selecione Adicionar e selecione Carregar Arquivo de Metadados no menu de contexto.

    The Add and Upload Metadata File options in SAP

  4. Carregue o arquivo de metadados baixado. Selecione Avançar.

    Select the metadata file to upload in SAP

  5. Na página seguinte, na caixa Alias, digite o nome do alias. Por exemplo, aadsts. Selecione Avançar.

    The Alias box in SAP

  6. Verifique se o valor na caixa Algoritmo Digest é SHA-256. Selecione Avançar.

    Verify the Digest Algorithm value in SAP

  7. Em Pontos de Extremidade de Logon Único, selecione HTTP POST e, em seguida, selecione Avançar.

    Single Sign-On Endpoints options in SAP

  8. Em Pontos de Extremidade de Logoff Único, selecione Redirecionamento HTTP e, em seguida, selecione Avançar.

    Single Logout Endpoints options in SAP

  9. Em Pontos de Extremidade de Artefato, selecione Avançar para continuar.

    Artifact Endpoints options in SAP

  10. Em Requisitos de Autenticação, selecione Concluir.

    Authentication Requirements options and the Finish option in SAP

  11. Selecione Provedor Confiável>Federação de Identidades (na parte inferior da página). Selecione Editar.

    The Trusted Provider and Identity Federation tabs in SAP

  12. Selecione Adicionar.

    The Add option on the Identity Federation tab

  13. Na caixa de diálogo Formatos de NameID compatíveis, selecione Não especificado. Selecione OK.

    The Supported NameID Formats dialog box and options in SAP

    Os valores de Fonte de ID de usuário e Modo de Mapeamento de ID de Usuário determinam o vínculo entre o usuário do SAP e a declaração do Microsoft Entra.

    Cenário 1: mapeamento de usuário SAP para usuário do Microsoft Entra

    1. No SAP, em Detalhes do Formato de NameID "Não especificado" , observe os detalhes:

      Screenshot that shows the 'Details of NameID Format

    2. No portal do Azure, em Atributos do Usuário e Declarações, observe as declarações necessárias do Microsoft Entra ID.

      Screenshot that shows the

    Cenário 2: Selecione a ID de usuário do SAP com base no endereço de email configurado no SU01. Nesse caso, a ID de email deve ser configurada no SU01 para cada usuário que precisar do SSO.

    1. No SAP, em Detalhes do Formato de NameID "Não especificado" , observe os detalhes:

      The Details of NameID Format

    2. No portal do Azure, em Atributos do Usuário e Declarações, observe as declarações necessárias do Microsoft Entra ID.

      The User Attributes and Claims dialog box in the Azure portal

  14. Selecione Salvar e, em seguida, selecione Habilitar para habilitar o provedor de identidade.

    The Save and Enable options in SAP

  15. Quando solicitado, selecione OK.

    The OK option in SAML 2.0 Configuration dialog box in SAP

Criar um usuário de teste do SAP Fiori

Nesta seção, você criará um usuário chamado Brenda Fernandes no SAP Fiori. Trabalhe com sua equipe interna de especialistas SAP ou com o parceiro SAP de sua organização para adicionar os usuários à plataforma SAP Fiori.

Testar o SSO

  1. Depois que o provedor de identidade do Microsoft Entra ID for ativado no SAP Fiori, tente acessar uma das seguintes URLs para testar o logon único (não deverá ser solicitado um nome de usuário e senha):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Observação

    Substitua <sap-url> pelo nome do host real do SAP.

  2. A URL de teste deve levar à página de aplicativo de teste a seguir no SAP. Se a página abrir, o logon único do Microsoft Entra terá sido configurado com êxito.

    The standard test application page in SAP

  3. Se for solicitado que você forneça um nome de usuário e senha, habilite o rastreamento para ajudar a diagnosticar o problema. Use a seguinte URL para o rastreamento:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Próximas etapas

Depois de configurar o SAP Fiori, você poderá impor um controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.