Tutorial: Integração do logon único (SSO) do Microsoft Entra com o SAP Cloud Identity Services

Neste tutorial, você aprenderá como integrar o SAP Cloud Identity Services ao Microsoft Entra ID. Ao integrar o SAP Cloud Identity Services ao Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso ao SAP Cloud Identity Services.
• Permita que seus usuários façam login automaticamente no SAP Cloud Identity Services com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Gorjeta

Siga as recomendações e o guia de práticas recomendadas "Usando o Microsoft Entra ID para proteger o acesso a plataformas e aplicativos SAP" para operacionalizar a configuração.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

• Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
• Assinatura habilitada para logon único (SSO) do SAP Cloud Identity Services.

Descrição do cenário

Neste tutorial, você configura e testa o logon único do Microsoft Entra em um ambiente de teste.

• O SAP Cloud Identity Services suporta SSO iniciado por SP e IDP .
• O SAP Cloud Identity Services suporta o provisionamento automatizado de usuários.

Antes de mergulhar nos detalhes técnicos, é vital entender os conceitos que você vai analisar. Os SAP Cloud Identity Services e os Serviços de Federação do Ative Directory permitem implementar o SSO em aplicativos ou serviços protegidos pelo Microsoft Entra ID (como um IdP) com aplicativos e serviços SAP protegidos pelo SAP Cloud Identity Services.

Atualmente, o SAP Cloud Identity Services atua como um provedor de identidade proxy para aplicativos SAP. O Microsoft Entra ID, por sua vez, atua como o provedor de identidade líder nessa configuração.

O diagrama a seguir ilustra essa relação:

Com essa configuração, seu locatário do SAP Cloud Identity Services é configurado como um aplicativo confiável no Microsoft Entra ID.

Todos os aplicativos e serviços SAP que você deseja proteger dessa forma são configurados subsequentemente no console de gerenciamento do SAP Cloud Identity Services.

Portanto, a autorização para conceder acesso a aplicativos e serviços SAP precisa ocorrer no SAP Cloud Identity Services (em oposição ao Microsoft Entra ID).

Ao configurar o SAP Cloud Identity Services como um aplicativo por meio do Microsoft Entra Marketplace, você não precisa configurar declarações individuais ou asserções SAML.

Nota

Atualmente, apenas o SSO da Web foi testado por ambas as partes. Os fluxos necessários para a comunicação App-to-API ou API-to-API devem funcionar, mas ainda não foram testados. Eles serão testados durante as atividades subsequentes.

Adicionando o SAP Cloud Identity Services da galeria

Para configurar a integração do SAP Cloud Identity Services ao Microsoft Entra ID, você precisa adicionar o SAP Cloud Identity Services da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
3. Na seção Adicionar da galeria, digite SAP Cloud Identity Services na caixa de pesquisa.
4. Selecione SAP Cloud Identity Services no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para SAP Cloud Identity Services

Configure e teste o Microsoft Entra SSO com o SAP Cloud Identity Services usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no SAP Cloud Identity Services.

Para configurar e testar o Microsoft Entra SSO com o SAP Cloud Identity Services, execute as seguintes etapas:

1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
   1. Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
   2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
2. Configure o SAP Cloud Identity Services SSO - para configurar as configurações de logon único no lado do aplicativo.
   1. Criar usuário de teste do SAP Cloud Identity Services - para ter um equivalente de B.Simon no SAP Cloud Identity Services vinculado à representação do usuário do Microsoft Entra.
3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications>SAP Cloud Identity Services>Single sign-on.

3. Na página Selecione um método de logon único, selecione SAML.

4. Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.

   

5. Na seção Configuração Básica do SAML, se você tiver o arquivo de metadados do Provedor de Serviços e desejar configurar no modo iniciado pelo IDP, execute as seguintes etapas:

   a. Clique em Carregar arquivo de metadados.

   b. Clique no logotipo da pasta para selecionar o arquivo de metadados que você baixou do SAP e clique em Carregar.

   

   c. Depois que o arquivo de metadados é carregado com êxito, os valores de URL de Identificador e Resposta são preenchidos automaticamente na seção Configuração Básica de SAML.

   

   Nota

   Se os valores Identificador e URL de resposta não forem preenchidos automaticamente, preencha os valores manualmente de acordo com sua necessidade.

6. Se você deseja configurar o aplicativo no modo iniciado pelo SP :

   Na caixa de texto URL de logon (opcional), digite uma URL usando o seguinte padrão: {YOUR BUSINESS APPLICATION URL}

   Nota

   Este valor não é real. Atualize esse valor com a URL de logon real. Utilize o URL de início de sessão da sua aplicação empresarial específica. Entre em contato com a equipe de suporte ao cliente do SAP Cloud Identity Services se tiver alguma dúvida.

7. O aplicativo SAP Cloud Identity Services espera as asserções SAML em um formato específico, o que requer que você adicione mapeamentos de atributos personalizados à sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

   

8. Além disso, o aplicativo SAP Cloud Identity Services espera que mais alguns atributos sejam passados de volta na resposta SAML, que são mostrados abaixo. Esses atributos também são pré-preenchidos, mas você pode revisá-los de acordo com suas necessidades.

   Nome	Atributo de origem
   nomePróprio	usuário.givenname

9. Na página Configurar Logon Único com SAML, na seção Certificado de Assinatura SAML, clique em Download para baixar o XML de metadados das opções fornecidas de acordo com sua exigência e salvá-lo em seu computador.

   

10. Na seção Configurar o SAP Cloud Identity Services , copie o(s) URL(s) apropriado(s) de acordo com sua necessidade.

    

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
4. Nas propriedades do usuário , siga estas etapas:
   1. No campo Nome para exibição , digite B.Simon.
   2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
   4. Selecione Rever + criar.
5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Simon use o logon único concedendo acesso ao SAP Cloud Identity Services.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications>SAP Cloud Identity Services.

3. Na página de visão geral do aplicativo, localize a seção Gerenciar e selecione Usuários e grupos.

4. Selecione Adicionar usuário e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .

5. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.

6. Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.

7. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do SAP Cloud Identity Services

1. Faça login no console de administração do SAP Cloud Identity Services. O URL tem o seguinte padrão: https://<tenant-id>.accounts.ondemand.com/admin.

2. Em Aplicativos e Recursos, escolha o bloco Configurações do Locatário .

   

3. Na guia Single Sign-On, vá para Configuração SAML 2.0, clique no botão Download Metadata File para baixar os metadados e usá-los posteriormente na configuração do lado do Entra.

   

4. Em Provedores de identidade, escolha o bloco Provedores de identidade corporativa.

5. Clique em + Criar para criar um provedor de identidade.

   

6. Execute as seguintes etapas na caixa de diálogo Criar provedor de identidade .

   

   a. Dê um nome válido em Nome para exibição.

   b. Selecione Microsoft ADFS/Entra ID (SAML 2.0) na lista suspensa.

   c. Clique em Criar.

7. Vá para Trust -> SAML 2.0 Configuration e clique em Browse para carregar o arquivo XML de metadados que você baixou da configuração do Entra.

   

8. Clique em Guardar.

9. Continue com o seguinte somente se quiser adicionar e habilitar o SSO para outro aplicativo SAP. Repita as etapas na seção Adicionar SAP Cloud Identity Services da galeria.

10. No lado do Entra, na página de integração de aplicativos do SAP Cloud Identity Services , selecione Logon vinculado.

    

11. Guardar a configuração.

12. Para obter mais informações, leia a documentação sobre o SAP Cloud Identity Services em Integração com o Microsoft Entra ID.

Nota

O novo aplicativo aproveita a configuração de logon único do aplicativo SAP anterior. Certifique-se de usar os mesmos provedores de identidade corporativa no console de administração do SAP Cloud Identity Services.

Criar usuário de teste do SAP Cloud Identity Services

Não é necessário criar um usuário no SAP Cloud Identity Services. Os usuários que estão no repositório de usuários do Microsoft Entra podem usar a funcionalidade SSO.

O SAP Cloud Identity Services suporta a opção Federação de identidades. Essa opção permite que o aplicativo verifique se os usuários autenticados pelo provedor de identidade corporativa existem no armazenamento do usuário do SAP Cloud Identity Services.

A opção Federação de Identidades está desativada por padrão. Se a Federação de Identidades estiver ativada, somente os usuários importados no SAP Cloud Identity Services poderão acessar o aplicativo.

Para obter mais informações sobre como habilitar ou desabilitar a Federação de Identidades com o SAP Cloud Identity Services, consulte "Habilitar a Federação de Identidades com o SAP Cloud Identity Services" em Configurar a Federação de Identidades com o Repositório de Usuários do SAP Cloud Identity Services.

Nota

O SAP Cloud Identity Services também suporta o provisionamento automático de usuários, você pode encontrar mais detalhes aqui sobre como configurar o provisionamento automático de usuários.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

SP iniciado:

• Clique em Testar este aplicativo, isso redirecionará para o URL de login do SAP Cloud Identity Services, onde você poderá iniciar o fluxo de login.

• Vá diretamente para o URL de logon do SAP Cloud Identity Services e inicie o fluxo de login a partir daí.

IDP iniciado:

• Clique em Testar este aplicativo e você deve estar automaticamente conectado ao SAP Cloud Identity Services para o qual configurou o SSO

Você também pode usar o Microsoft My Apps para testar o aplicativo em qualquer modo. Ao clicar no bloco SAP Cloud Identity Services em Meus aplicativos, se configurado no modo SP, você será redirecionado para a página de logon do aplicativo para iniciar o fluxo de login e, se configurado no modo IDP, deverá estar automaticamente conectado ao SAP Cloud Identity Services para o qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Próximos passos

Depois de configurar o SAP Cloud Identity Services, você pode aplicar controles de sessão, que protegem a exfiltração e a infiltração de dados confidenciais da sua organização em tempo real. Os controles de sessão se estendem do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.

Consulte as recomendações e o guia de práticas recomendadas para operacionalizar a configuração.