Tutorial: Integração do logon único (SSO) do Microsoft Entra com o SAP Fiori

  • Artigo

Neste tutorial, você aprenderá a integrar o SAP Fiori ao Microsoft Entra ID. Ao integrar o SAP Fiori ao Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso ao SAP Fiori.
  • Permita que seus usuários façam login automaticamente no SAP Fiori com suas contas Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
  • Assinatura habilitada para logon único (SSO) do SAP Fiori.

Descrição do cenário

Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • O SAP Fiori suporta SSO iniciado por SP

Nota

Para a autenticação iFrame iniciada pelo SAP Fiori, recomendamos o uso do parâmetro IsPassive no SAML AuthnRequest para autenticação silenciosa. Para obter mais detalhes sobre o parâmetro IsPassive consulte Informações de logon único do Microsoft Entra SAML.

Para configurar a integração do SAP Fiori no Microsoft Entra ID, você precisa adicionar o SAP Fiori da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite SAP Fiori na caixa de pesquisa.
  4. Selecione SAP Fiori no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para SAP Fiori

Configure e teste o Microsoft Entra SSO com o SAP Fiori usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no SAP Fiori.

Para configurar e testar o Microsoft Entra SSO com o SAP Fiori, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
    2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
  2. Configure o SAP Fiori SSO - para configurar as configurações de logon único no lado do aplicativo.
    1. Criar usuário de teste do SAP Fiori - para ter um equivalente de B.Simon no SAP Fiori que esteja vinculado à representação do usuário do Microsoft Entra.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Abra uma nova janela do navegador da Web e faça login no site da empresa SAP Fiori como administrador.

  2. Certifique-se de que os serviços http e https estão ativos e que as portas relevantes estão atribuídas ao código de transação SMICM.

  3. Faça login no SAP Business Client para SAP system T01, onde o logon único é necessário. Em seguida, ative o Gerenciamento de Sessão de Segurança HTTP.

    1. Vá para o código de transação SICF_SESSIONS. Todos os parâmetros de perfil relevantes com valores atuais são mostrados. Eles se parecem com o seguinte exemplo:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Nota

      Ajuste os parâmetros com base nos requisitos da sua organização. Os parâmetros anteriores são dados apenas como exemplo.

    2. Se necessário, ajuste os parâmetros no perfil da instância (padrão) do sistema SAP e reinicie o sistema SAP.

    3. Clique duas vezes no cliente relevante para habilitar uma sessão de segurança HTTP.

      The Current Values of Relevant Profile Parameters page in SAP

    4. Ative os seguintes serviços SICF:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Vá para o código de transação SAML2 no sistema Business Client for SAP [T01/122]. A interface do usuário de configuração é aberta em uma nova janela do navegador. Neste exemplo, usamos o sistema Business Client for SAP 122.

    The SAP Fiori Business Client sign-in page

  5. Introduza o seu nome de utilizador e palavra-passe e, em seguida, selecione Iniciar sessão.

    The SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  6. Na caixa Nome do Provedor, substitua T01122 por http://T01122e selecione Salvar.

    Nota

    Por padrão, o nome do provedor está no formato <sid><client>. Microsoft Entra ID espera o nome no formato <protocol>://<name>. Recomendamos que você mantenha o nome do provedor como cliente> https://< sid><para que possa configurar vários mecanismos SAP Fiori ABAP no Microsoft Entra ID.

    The updated provider name in the SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  7. Selecione Metadados da guia> Provedor Local.

  8. Na caixa de diálogo Metadados SAML 2.0, baixe o arquivo XML de metadados gerado e salve-o em seu computador.

    The Download Metadata link in the SAP SAML 2.0 Metadata dialog box

  9. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  10. Navegue até Identity>Applications>Enterprise applications>SAP Fiori>Single sign-on.

  11. Na página Selecione um método de logon único, selecione SAML.

  12. Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.

    Edit Basic SAML Configuration

  13. Na seção Configuração Básica do SAML, se você tiver o arquivo de metadados do Provedor de Serviços, execute as seguintes etapas:

    1. Clique em Carregar arquivo de metadados.

      Upload metadata file

    2. Clique no logotipo da pasta para selecionar o arquivo de metadados e clique em Carregar.

      choose metadata file

    3. Quando o arquivo de metadados é carregado com êxito, os valores de URL de Identificador e Resposta são preenchidos automaticamente no painel Configuração Básica do SAML. Na caixa URL de início de sessão, introduza um URL com o seguinte padrão: https://<your company instance of SAP Fiori>.

      Nota

      Alguns clientes encontraram um erro de uma URL de resposta incorreta configurada para sua instância. Se você receber esse erro, use esses comandos do PowerShell. Primeiro, atualize as URLs de resposta no objeto de aplicativo com a URL de resposta e, em seguida, atualize a entidade de serviço. Use o Get-MgServicePrincipal para obter o valor da ID da entidade de serviço.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. O aplicativo SAP Fiori espera que as asserções SAML estejam em um formato específico. Configure as seguintes declarações para este aplicativo. Para gerenciar esses valores de atributo, no painel Configurar Logon Único com SAML , selecione Editar.

    The User attributes pane

  15. No painel Atributos do Usuário & Declarações , configure os atributos de token SAML conforme mostrado na imagem anterior. Em seguida, conclua as seguintes etapas:

    1. Selecione Editarpara abrir o painel Gerenciar declarações do usuário.

    2. Na lista Transformação, selecione ExtractMailPrefix().

    3. Na lista Parâmetro 1, selecione user.userprincipalname.

    4. Selecione Guardar.

      The Manage user claims pane

      The Transformation section in the Manage user claims pane

  16. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize XML de Metadados de Federação e selecione Download para baixar o certificado e salvá-lo em seu computador.

    The Certificate download link

  17. Na seção Configurar o SAP Fiori, copie o(s) URL(s) apropriado(s) com base em sua necessidade.

    Copy configuration URLs

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
  2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
  3. Selecione Novo usuário Criar novo usuário>, na parte superior da tela.
  4. Nas propriedades do usuário , siga estas etapas:
    1. No campo Nome para exibição , digite B.Simon.
    2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
    4. Selecione Rever + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Simon use o logon único concedendo acesso ao SAP Fiori.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>SAP Fiori.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
    1. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SAP Fiori SSO

  1. Entre no sistema SAP e vá para o código de transação SAML2. Uma nova janela do navegador é aberta com a página de configuração SAML.

  2. Para configurar pontos de extremidade para um provedor de identidade confiável (ID do Microsoft Entra), selecione a guia Provedores Confiáveis .

    The Trusted Providers tab in SAP

  3. Selecione Adicionar e, em seguida, selecione Carregar arquivo de metadados no menu de contexto.

    The Add and Upload Metadata File options in SAP

  4. Carregue o arquivo de metadados que você baixou. Selecione Seguinte.

    Select the metadata file to upload in SAP

  5. Na página seguinte, na caixa Alias , digite o nome do alias. Por exemplo, aadsts. Selecione Seguinte.

    The Alias box in SAP

  6. Certifique-se de que o valor na caixa Algoritmo Digest é SHA-256. Selecione Seguinte.

    Verify the Digest Algorithm value in SAP

  7. Em Pontos de extremidade de logon único, selecione HTTP POST e, em seguida, selecione Avançar.

    Single Sign-On Endpoints options in SAP

  8. Em Pontos de extremidade de logout único, selecione Redirecionamento HTTP e, em seguida, selecione Avançar.

    Single Logout Endpoints options in SAP

  9. Em Pontos de extremidade de artefato, selecione Avançar para continuar.

    Artifact Endpoints options in SAP

  10. Em Requisitos de autenticação, selecione Concluir.

    Authentication Requirements options and the Finish option in SAP

  11. Selecione Federação de Identidade de Provedor Confiável>(na parte inferior da página). Selecione Editar.

    The Trusted Provider and Identity Federation tabs in SAP

  12. Selecione Adicionar.

    The Add option on the Identity Federation tab

  13. Na caixa de diálogo Formatos de NameID Suportados , selecione Não especificado. Selecione OK.

    The Supported NameID Formats dialog box and options in SAP

    Os valores para User ID Source e User ID Mapping Mode determinam o vínculo entre o usuário SAP e a declaração Microsoft Entra.

    Cenário 1: Mapeamento de usuário SAP para usuário Microsoft Entra

    1. No SAP, em Detalhes do formato NameID "Não especificado", observe os detalhes:

      Screenshot that shows the 'Details of NameID Format

    2. No portal do Azure, em User Attributes & Claims, observe as declarações necessárias do Microsoft Entra ID.

      Screenshot that shows the

    Cenário 2: Selecione o ID de usuário SAP com base no endereço de e-mail configurado no SU01. Neste caso, o ID de e-mail deve ser configurado em SU01 para cada usuário que requer SSO.

    1. No SAP, em Detalhes do formato NameID "Não especificado", observe os detalhes:

      The Details of NameID Format

    2. No portal do Azure, em User Attributes & Claims, observe as declarações necessárias do Microsoft Entra ID.

      The User Attributes and Claims dialog box in the Azure portal

  14. Selecione Salvar e, em seguida, selecione Habilitar para habilitar o provedor de identidade.

    The Save and Enable options in SAP

  15. Selecione OK quando solicitado.

    The OK option in SAML 2.0 Configuration dialog box in SAP

Criar usuário de teste do SAP Fiori

Nesta seção, você cria um usuário chamado Brenda Fernandes no SAP Fiori. Trabalhe com sua equipe interna de especialistas SAP ou com seu parceiro SAP da organização para adicionar o usuário à plataforma SAP Fiori.

SSO de teste

  1. Depois que o provedor de identidade Microsoft Entra ID for ativado no SAP Fiori, tente acessar uma das seguintes URLs para testar o logon único (você não deve ser solicitado a fornecer um nome de usuário e senha):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Nota

    Substitua <sap-url> pelo nome real do host SAP.

  2. A URL de teste deve levá-lo para a seguinte página do aplicativo de teste no SAP. Se a página for aberta, o logon único do Microsoft Entra será configurado com êxito.

    The standard test application page in SAP

  3. Se for solicitado um nome de usuário e uma senha, habilite o rastreamento para ajudar a diagnosticar o problema. Use a seguinte URL para o rastreamento:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Próximos passos

Depois de configurar o SAP Fiori, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.