Compartilhar via

Configurar o SAP Fiori para logon único com a ID do Microsoft Entra

Neste artigo, você aprenderá a integrar o SAP Fiori à ID do Microsoft Entra. Ao integrar o SAP Fiori ao Microsoft Entra ID, você poderá:

  • Controlar quem tem acesso ao SAP Fiori no Microsoft Entra ID.
  • Permitir que os usuários entrem automaticamente no SAP Fiori com as respectivas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

  • Assinatura do SAP Fiori habilitada para SSO (logon único).

Descrição do cenário

Neste artigo, você configurará e testará o SSO do Microsoft Entra em um ambiente de teste.

  • O SAP Fiori dá suporte ao SSO iniciado por SP

Observação

Para a Autenticação de iFrame iniciada pelo SAP Fiori, é recomendável usar o parâmetro IsPassive no AuthnRequest SAML para autenticação silenciosa. Para obter mais detalhes sobre o parâmetro IsPassive, consulte as informações sobre o Logon único de SAML do Microsoft Entra.

Para configurar a integração do SAP Fiori ao Microsoft Entra ID, você precisará adicioná-lo à lista de aplicativos SaaS gerenciados por meio da galeria.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativos de Nuvem.
  2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar da por meio da galeria, digite SAP Fiori na caixa de pesquisa.
  4. Selecione SAP Fiori no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Empresariais. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o SAP Fiori

Configure e teste o SSO do Microsoft Entra com o SAP Fiori com um usuário de teste chamado B. Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do SAP Fiori.

Para configurar e testar o SSO do Microsoft Entra com o SAP Fiori, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra – para permitir que os usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra, para testar o login único do Microsoft Entra com B.Simon.
    2. Designar o usuário de teste do Microsoft Entra para permitir que B.Simon use o login único do Microsoft Entra.
  2. Configurar o SSO do SAP Fiori – para definir as configurações de logon único no lado do aplicativo.
    1. Crie um usuário de teste no SAP Fiori para ter um equivalente de B.Simon no SAP Fiori que esteja vinculado à representação do usuário do Microsoft Entra.
  3. Teste SSO para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Abra uma nova janela do navegador da Web e entre em seu site de empresa do SAP Fiori como administrador.

  2. Certifique-se de que os serviços http e https estão ativos e as portas relevantes são atribuídas ao código de transação SMICM.

  3. Entre no cliente do SAP Business para o sistema SAP T01, em que o logon único é necessário. Em seguida, ative o gerenciamento de Sessão de Segurança HTTP.

    1. Vá para o código de transação SICF_SESSIONS. Todos os parâmetros de perfil relevantes com os valores atuais são exibidos. A aparência deles é similar à do exemplo a seguir:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Observação

      Ajuste os parâmetros com base nos requisitos da sua organização. Os parâmetros anteriores são fornecidos apenas como um exemplo.

    2. Se necessário, ajuste os parâmetros no perfil/padrão da instância do sistema SAP e reinicie esse sistema.

    3. Selecione duas vezes o cliente relevante para habilitar uma sessão de segurança HTTP.

      Os valores atuais da página Parâmetros de Perfil Relevantes são exibidos

    4. Ative os seguintes serviços SICF:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Vá para o código de transação SAML2 no cliente de negócios do sistema SAP [T01/122]. A interface do usuário de configuração é aberta em uma nova janela do navegador. Neste exemplo, usamos o Cliente Business para o sistema SAP 122.

    A página de entrada do Cliente Business do SAP Fiori

  5. Insira seu nome de usuário e senha e selecione Fazer logon.

    A página de Configuração de SAML 2.0 do sistema ABAP T01/122 no SAP

  6. Na caixa Nome do Provedor , substitua T01122http://T01122por e, em seguida, selecione Salvar.

    Observação

    Por padrão, o nome do provedor está no formato <sid><cliente>. O Microsoft Entra ID espera o nome no formato <protocolo>://<nome>. Recomendamos que você mantenha o nome do provedor como https://<sid><cliente> para que você possa configurar vários mecanismos de ABAP do SAP Fiori no Microsoft Entra ID.

    O nome do provedor atualizado na página de Configuração de SAML 2.0 do sistema ABAP T01/122 no SAP

  7. Selecione a guia Provedor Local>Metadados.

  8. Na caixa de diálogo Metadados do SAML 2.0 , baixe o arquivo XML de metadados gerado e salve-o em seu computador.

    O link Baixar Metadados na caixa de diálogo de metadados do SAP SAML 2.0

  9. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativos de Nuvem.

  10. Navegue até Entra ID>Aplicativos corporativos>SAP Fiori>Autenticação única.

  11. Na página Selecionar um método de logon único, escolha SAML.

  12. Na página Configurar login único com SAML, selecione o ícone de lápis da Configuração Básica do SAML e edite as configurações.

    Editar configuração básica do SAML

  13. Na seção Configuração básica do SAML, se você tiver um arquivo de metadados do provedor de serviços, execute as seguintes etapas:

    1. Selecione Carregar arquivo de metadados.

      Carregar arquivo de metadados

    2. Selecione logotipo da pasta para selecionar o arquivo de metadados e selecione Carregar.

      Escolha o arquivo de metadados

    3. Quando o arquivo de metadados é carregado com êxito, os valores de Identificador e URL de Resposta são preenchidos automaticamente no painel Configuração Básica de SAML. Na caixa URL de Entrada, digite uma URL com o seguinte padrão: https://<your company instance of SAP Fiori>.

      Observação

      Alguns clientes encontraram um erro de uma URL de Resposta incorreta configurada para as respectivas instâncias. Se você receber qualquer erro desse tipo, use estes comandos do PowerShell. Primeiro, atualize as URLs de Resposta no objeto do aplicativo com a URL de Resposta e, depois, atualize a entidade de serviço. Use Get-MgServicePrincipal para obter o valor da ID da entidade de serviço.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. O aplicativo SAP Fiori espera que as declarações SAML estejam em um formato específico. Configure as declarações a seguir para este aplicativo. Para gerenciar esses valores de atributo, no painel Configurar o Logon Único com o SAML, selecione Editar.

    O painel Atributos de usuário

  15. No painel Atributos e Declarações do Usuário , configure os atributos de token SAML, conforme mostrado na imagem anterior. Em seguida, conclua as seguintes etapas:

    1. Selecione Editar para abrir o painel Gerenciar declarações do usuário .

    2. Na lista Transformação , selecione ExtractMailPrefix().

    3. Na lista Parâmetro 1, selecione user.userprincipalname.

    4. Clique em Salvar.

      O painel Gerenciar declarações de usuário

      A seção Transformação no painel Gerenciar declarações de usuário

  16. Na página Configurar login único com SAML, na seção Certificado de Assinatura SAML, localize o XML de Metadados de Federação e clique em Baixar para baixar o certificado e salvá-lo em seu computador.

    O link para download do certificado

  17. Na seção Configurar o SAP Fiori, copie as URLs apropriadas de acordo com suas necessidades.

    Copiar URLs de configuração

Criar e atribuir um usuário de teste do Microsoft Entra

Siga as diretrizes no início rápido de criação e atribuição de uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o SSO do SAP Fiori

  1. Entre no sistema SAP e acesse o código de transação SAML2. Uma nova janela do navegador é aberta com a página de configuração do SAML.

  2. Para configurar endereços para um provedor de identidade confiável (Microsoft Entra ID), selecione a guia Provedores Confiáveis.

    A guia Provedores confiáveis no SAP

  3. Selecione Adicionar e selecione Carregar Arquivo de Metadados no menu de contexto.

    As opções Adicionar e Carregar Arquivo de Metadados no SAP

  4. Carregue o arquivo de metadados baixado. Selecione Próximo.

    Selecionar o arquivo de metadados a carregar no SAP

  5. Na página seguinte, na caixa Alias, digite o nome do alias. Por exemplo, aadsts. Selecione Próximo.

    A caixa de Alias no SAP

  6. Verifique se o valor na caixa Algoritmo Digest é SHA-256. Selecione Próximo.

    Verifique o valor do Algoritmo Digest no SAP

  7. Em Pontos de Extremidade de Logon Único, selecione HTTP POST e, em seguida, selecione Avançar.

    Opções de pontos de extremidade de logon único no SAP

  8. Em Pontos de Extremidade de Logoff Único, selecione Redirecionamento HTTP e, em seguida, selecione Avançar.

    Opções de pontos de extremidade de logoff único no SAP

  9. Em Pontos de Extremidade de Artefato, selecione Avançar para continuar.

    Opções de Pontos de Extremidade de Artefato no SAP

  10. Em Requisitos de Autenticação, selecione Concluir.

    Opções de Requisitos de Autenticação e a opção de Término no SAP

  11. Selecione Provedor Confiável>Federação de Identidades (na parte inferior da página). Selecione Editar.

    As guias Provedor Confiável e Federação de Identidade no SAP

  12. Selecione Adicionar.

    A opção Adicionar na guia de Federação de Identidade

  13. Na caixa de diálogo Formatos de NameID compatíveis, selecione Não especificado. Selecione OK.

    A caixa de diálogo Formatos de NameID compatíveis e opções no SAP

    Os valores da Origem da ID do Usuário e do Modo de Mapeamento de ID de Usuário determinam o vínculo entre o usuário SAP e a alegação do Microsoft Entra.

    Cenário 1: mapeamento de usuário SAP para usuário do Microsoft Entra

    1. No SAP, em Detalhes do Formato de NameID "Não especificado" , observe os detalhes:

      Captura de tela que mostra a caixa de diálogo 'Detalhes do Formato de NameID

    2. No portal do Azure, em Atributos de Usuário & Declarações, observe as declarações necessárias do Microsoft Entra ID.

      Captura de tela que mostra a caixa de diálogo

    Cenário 2: Selecione a ID de usuário do SAP com base no endereço de email configurado no SU01. Nesse caso, a ID de email deve ser configurada no SU01 para cada usuário que precisar do SSO.

    1. No SAP, em Detalhes do Formato de NameID "Não especificado" , observe os detalhes:

      A caixa de diálogo Detalhes do Formato de NameID

    2. No portal do Azure, em Atributos de Usuário & Declarações, observe as declarações necessárias do Microsoft Entra ID.

      A caixa de diálogo Atributos e Declarações do Usuário no portal do Azure

  14. Selecione Salvar e, em seguida, selecione Habilitar para habilitar o provedor de identidade.

    As opções Salvar e Habilitar no SAP

  15. Quando solicitado, selecione OK.

    A opção OK na caixa de diálogo de configuração do SAML 2.0 no SAP

Criar um usuário de teste do SAP Fiori

Nesta seção, você criará um usuário chamado Brenda Fernandes no SAP Fiori. Trabalhe com sua equipe interna de especialistas SAP ou com o parceiro SAP de sua organização para adicionar os usuários à plataforma SAP Fiori.

Teste de SSO

  1. Depois que o provedor de identidade do Microsoft Entra ID for ativado no SAP Fiori, tente acessar uma das seguintes URLs para testar o logon único (não deverá ser solicitado um nome de usuário e senha):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Observação

    Substitua <sap-url> pelo nome do host real do SAP.

  2. A URL de teste deve levar à página de aplicativo de teste a seguir no SAP. Se a página abrir, o logon único do Microsoft Entra terá sido configurado com êxito.

    A página de aplicativo de teste padrão no SAP

  3. Se você receber uma solicitação de nome de usuário e senha, habilite o rastreamento para ajudar a diagnosticar o problema. Use a seguinte URL para o rastreamento:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Conteúdo relacionado

Depois de configurar o SAP Fiori, você poderá impor um controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da organização em tempo real. O controle da sessão se estende a partir do Acesso Condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.