Compartilhar via

Tutorial: integração do SSO do Microsoft Entra à SAP Business Technology Platform

  • Artigo

Neste tutorial, você aprenderá a integrar o SAP Business Technology Platform ao Microsoft Entra ID. Ao integrar a SAP Business Technology Platform ao Microsoft Entra ID, você pode:

  • Controlar, no Microsoft Entra ID, quem tem acesso à SAP Business Technology Platform.
  • Permitir que os usuários sejam conectados automaticamente à SAP Business Technology Platform com as contas do Microsoft Entra deles.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Assinatura habilitada para SSO (logon único) da SAP Business Technology Platform.

Importante

Você precisa implantar seu próprio aplicativo ou assinar um aplicativo em sua conta da SAP Business Technology Platform para testar o logon único. Neste tutorial, um aplicativo é implantado na conta.

Descrição do cenário

Neste tutorial, configure e teste o logon único do Microsoft Entra em um ambiente de teste.

  • A SAP Business Technology Platform suporta SSO iniciado por SP.

Para configurar a integração da SAP Business Technology Platform ao Microsoft Entra ID, você precisa adicionar a SAP Business Technology Platform à lista de aplicativos SaaS gerenciados por meio da galeria.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite SAP Business Technology Platform na caixa de pesquisa.
  4. Escolha SAP Business Technology Platform no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para a SAP Business Technology Platform

Configure e teste o SSO do Microsoft Entra com a SAP Business Technology Platform usando um usuário de teste chamado B. Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado da SAP Business Technology Platform.

Para configurar e testar o SSO do Microsoft Entra com a SAP Business Technology Platform, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra – Para permitir que os usuários usem esse recurso.
    1. Criar um usuário de teste no Microsoft Entra: para testar o logon único do Microsoft Entra com Britta Simon.
    2. Atribua o usuário de teste do Microsoft Entra - para permitir que Brenda Silva use o logon único do Microsoft Entra.
  2. Configurar o SSO da SAP Business Technology Platform – para definir as configurações de Logon Único no lado do aplicativo.
    1. Criar um usuário de teste da SAP Business Technology Platform – para ter um equivalente de Brenda Fernandes na SAP Business Technology Platform que esteja vinculado à representação de usuário do Microsoft Entra.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>SAP Business Technology Platform>Logon único.

  3. Na página Selecionar um método de logon único, escolha SAML.

  4. Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.

    Edit Basic SAML Configuration

  5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

    a. Na caixa de texto Identificador que você irá fornecer à sua SAP Business Technology Platform digite uma URL usando um dos seguintes padrões:

    Identificador
    https://hanatrial.ondemand.com/<instancename>
    https://hana.ondemand.com/<instancename>
    https://us1.hana.ondemand.com/<instancename>
    https://ap1.hana.ondemand.com/<instancename>

    b. Na caixa de texto URL de Resposta , digite uma URL nos seguintes padrões:

    URL de Resposta
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>
    https://<subdomain>.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

    c. Na caixa de texto URL de Logon, digite a URL usada pelos usuários para entrar no aplicativo SAP Business Technology Platform. Esta é a URL específica da conta de um recurso protegido em seu aplicativo SAP Business Technology Platform. A URL é baseada no seguinte padrão: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

    Observação

    Esta é a URL em seu aplicativo SAP Business Technology Platform que exige que o usuário seja autenticado.

    URL de Logon
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>

    Observação

    Esses valores não são reais. Atualize esses valores com o Identificador, a URL de Resposta e a URL de Logon reais. Entre em contato com equipe de suporte do cliente da SAP Business Technology Platform para obter a URL de logon e o Identificador. A URL de resposta você pode obter da seção de gerenciamento de confiança que é explicada no tutorial posteriormente.

  6. Na página Configurar Logon Único com SAML, na seção Certificado de Autenticação SAML, clique em Baixar para baixar o XML de Metadados de Federação usando as opções fornecidas de acordo com seus requisitos e salve-o no computador.

    The Certificate download link

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B. Fernandes use o logon único, concedendo acesso ao SAP Business Technology Platform.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>SAP Business Technology Platform.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
    1. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO da SAP Business Technology Platform

  1. Em uma janela diferente do navegador, inicie uma sessão na ferramenta cockpit da SAP Business Technology Platform em https://account.<landscape host>.ondemand.com/cockpit(por exemplo: https://account.hanatrial.ondemand.com/cockpit.

  2. Clique na guia Confiar .

    Trust

  3. Na seção Gerenciamento de confiança, em Provedor de serviços local, execute as seguintes etapas:

    Screenshot that shows the

    a. Clique em Editar.

    b. Para Tipo de Configuração, selecione Personalizado.

    c. Para Nome do Provedor Local, deixe o valor padrão. Copie esse valor e cole-o no campo Identificador na configuração do Microsoft Entra para a SAP Business Technology Platform.

    d. Para gerar um par de chaves Chave de Assinatura e um Certificado de Assinatura, clique em Gerar Par de Chaves.

    e. Para Propagação de Entidade, selecione Desabilitado.

    f. Para Forçar Autenticação, selecione Desabilitado.

    g. Clique em Save (Salvar).

  4. Depois de salvar as configurações do Provedor de serviços Llocal, faça o seguinte para obter a URL de resposta:

    Get Metadata

    a. Baixe o arquivo de metadados da SAP Business Technology Platform, clicando em Obter metadados.

    b. Abra o arquivo XML de metadados da SAP Business Technology Platform baixado e localize a marca ns3:AssertionConsumerService .

    c. Copie o valor do atributo Location e cole-o no campoURL de Resposta na configuração do Microsoft Entra da SAP Business Technology Platform.

  5. Clique na guia Provedor de Identidade Confiável e em Adicionar Provedor de Identidade Confiável.

    Screenshot that shows the

    Observação

    Para gerenciar a lista de provedores de identidade confiáveis, será necessário ter escolhido o Tipo de configuração personalizado na seção Provedor de Serviço Local. Para o tipo de configuração Padrão, você terá uma confiança implícita e não editável para o Serviço de ID do SAP. Para Nenhum, não há configurações de confiança.

  6. Clique na guia Geral e em Procurar para carregar o arquivo de metadados baixado.

    Trust Management

    Observação

    Depois de carregar o arquivo de metadados, os valores de URL de Logon Único, URL de Logoff Único e o Certificado de Autenticação serão automaticamente populados.

  7. Clique na guia Atributos .

  8. Na guia Atributos, execute a seguinte etapa:

    Attributes

    a. Clique em Adicionar Atributo Baseado em Declaração e adicione os seguintes atributos baseados em declaração:

    Atributo de Asserção Atributo de Entidade
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname nome
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname sobrenome
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress email

    Observação

    A configuração dos Atributos depende de como os aplicativos na HCP são desenvolvidos, isto é, quais atributos eles esperam ter na resposta do SAML e por qual nome (Atributo de Entidade de Segurança) eles acessam esse atributo no código.

    b. O Atributo Padrão na captura de tela serve apenas para fins de ilustração. Ele não é necessário para que o cenário funcione.

    c. Os nomes e valores do Atributo de Entidade mostrados na captura de tela dependerão de como o aplicativo foi desenvolvido. É possível que o seu aplicativo precise de mapeamentos diferentes.

Grupos baseados em asserção

Como uma etapa opcional, você pode configurar grupos com base na asserção para seu Provedor de Identidade do Microsoft Entra.

Usar grupos na SAP Business Technology Platform permite que você atribua dinamicamente um ou mais usuários a uma ou mais funções em seus aplicativos da SAP Business Technology Platform, determinados pelos valores de atributos na asserção SAML 2.0.

Por exemplo, se a declaração contém o atributo "contract=temporary", talvez seja conveniente que todos os usuários afetados sejam adicionados ao grupo "TEMPORARY". O grupo “TEMPORARY” pode conter uma ou mais funções de um ou mais aplicativos implantados em sua conta da SAP Business Technology Platform.

Use os grupos baseados em declarações se desejar atribuir vários usuários simultaneamente a uma ou mais funções de aplicativos em sua conta da SAP Business Technology Platform. Se você quer atribuir apenas um único usuário ou alguns deles a funções específicas, recomendamos atribuí-los diretamente na guia "Autorizações" da ferramenta cockpit da SAP Business Technology Platform.

Criar um usuário de testa na SAP Business Technology Platform

Para permitir que os usuários do Microsoft Entra façam logon na SAP Business Technology Platform, atribua funções a eles na SAP Business Technology Platform.

Para atribuir uma função a um usuário, execute as seguintes etapas:

  1. Faça login no seu cockpit da SAP Business Technology Platform.

  2. Realize o que é descrito a seguir:

    Authorizations

    a. Clique em Autorização.

    b. Clique na guia Usuários .

    c. Na caixa de texto Usuário , digite o endereço de email do usuário.

    d. Clique em Atribuir para atribuir uma função ao usuário.

    e. Clique em Save (Salvar).

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

  • Clique em Testar esse aplicativo. Isso redirecionará você à URL de Logon do SAP Business Technology Platform, na qual você poderá iniciar o fluxo de logon.

  • Acesse a URL de logon da SAP Business Technology Platform diretamente e inicie o fluxo de logon de lá.

  • Você pode usar os Meus Aplicativos da Microsoft. Ao clicar no bloco da SAP Business Technology Platform em Meus Aplicativos, você deve ser conectado automaticamente ao aplicativo SAP Business Technology Platform para o qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Próximas etapas

Depois de configurar a SAP Business Technology Platform, você poderá impor um controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.