Tutorial: Integração do Microsoft Entra SSO com o SAP Business Technology Platform

Neste tutorial, você aprenderá como integrar o SAP Business Technology Platform ao Microsoft Entra ID. Ao integrar o SAP Business Technology Platform com o Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso ao SAP Business Technology Platform.
• Permita que seus usuários façam login automaticamente no SAP Business Technology Platform com suas contas Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

• Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
• Assinatura habilitada para logon único (SSO) do SAP Business Technology Platform.

Importante

Você precisa implantar seu próprio aplicativo ou assinar um aplicativo em sua conta do SAP Business Technology Platform para testar o logon único. Neste tutorial, um aplicativo é implantado na conta.

Descrição do cenário

Neste tutorial, você configura e testa o logon único do Microsoft Entra em um ambiente de teste.

• O SAP Business Technology Platform suporta SSO iniciado por SP .

Adicionar SAP Business Technology Platform da galeria

Para configurar a integração do SAP Business Technology Platform no Microsoft Entra ID, você precisa adicionar o SAP Business Technology Platform da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
3. Na seção Adicionar da galeria, digite SAP Business Technology Platform na caixa de pesquisa.
4. Selecione SAP Business Technology Platform no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO for SAP Business Technology Platform

Configure e teste o Microsoft Entra SSO com o SAP Business Technology Platform usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no SAP Business Technology Platform.

Para configurar e testar o Microsoft Entra SSO com o SAP Business Technology Platform, execute as seguintes etapas:

1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
   1. Criar um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com Brenda Fernandes.
   2. Atribua o usuário de teste do Microsoft Entra - para permitir que Brenda Fernandes use o logon único do Microsoft Entra.
2. Configure o SAP Business Technology Platform SSO - para configurar as configurações de Single Sign-On no lado do aplicativo.
   1. Criar usuário de teste do SAP Business Technology Platform - para ter um homólogo de Britta Simon no SAP Business Technology Platform que esteja vinculado à representação do usuário do Microsoft Entra.
3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications>SAP Business Technology Platform>Single sign-on.

3. Na página Selecione um método de logon único, selecione SAML.

4. Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.

   

5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

   a. Na caixa de texto Identificador, você fornecerá uma URL do tipo SAP Business Technology Platform usando um dos seguintes padrões:

   Identificador
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. Na caixa de texto URL de resposta, digite uma URL usando um dos seguintes padrões:

   URL de resposta
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. Na caixa de texto URL de logon, digite a URL usada pelos usuários para fazer login no aplicativo SAP Business Technology Platform . Este é o URL específico da conta de um recurso protegido em seu aplicativo SAP Business Technology Platform. O URL baseia-se no seguinte padrão: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Nota

   Este é o URL em seu aplicativo SAP Business Technology Platform que requer a autenticação do usuário.

   URL de início de sessão
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Nota

   Estes valores não são reais. Atualize esses valores com o identificador real, URL de resposta e URL de logon. Entre em contato com a equipe de suporte ao cliente do SAP Business Technology Platform para obter o URL e o identificador de login. URL de resposta que você pode obter na seção de gerenciamento de confiança, que é explicada mais adiante no tutorial.

6. Na página Configurar Logon Único com SAML, na seção Certificado de Assinatura SAML, clique em Download para baixar o XML de Metadados de Federação das opções fornecidas de acordo com sua necessidade e salvá-lo em seu computador.

   

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
2. Navegue até Identidade>de usuários Todos os usuários.>
3. Selecione Novo usuário Criar novo usuário>, na parte superior da tela.
4. Nas propriedades do usuário , siga estas etapas:
   1. No campo Nome para exibição , digite B.Simon.
   2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
   4. Selecione Rever + criar.
5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Simon use o logon único concedendo acesso ao SAP Business Technology Platform.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Identity>Applications>Enterprise applications>SAP Business Technology Platform.
3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
4. Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
   1. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
   2. Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
   3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do SAP Business Technology Platform

1. Em uma janela diferente do navegador da Web, faça logon no SAP Business Technology Platform Cockpit em https://account.<landscape host>.ondemand.com/cockpit(por exemplo: https://account.hanatrial.ondemand.com/cockpit).

2. Clique na guia Confiança .

   

3. Na seção Gerenciamento de Confiança, em Provedor de Serviços Local, execute as seguintes etapas:

   

   a. Clique em Editar.

   b. Como Tipo de configuração, selecione Personalizado.

   c. Como Nome do Provedor Local, deixe o valor padrão. Copie esse valor e cole-o no campo Identificador na configuração do Microsoft Entra para SAP Business Technology Platform.

   d. Para gerar um par de chaves de Chave de Assinatura e um par de chaves de Certificado de Assinatura, clique em Gerar Par de Chaves.

   e. Como Propagação Principal, selecione Desativado.

   f. Como Forçar Autenticação, selecione Desativado.

   g. Clique em Guardar.

4. Depois de salvar as configurações do Provedor de Serviços Local, execute o seguinte para obter a URL de resposta:

   

   a. Faça download do arquivo de metadados do SAP Business Technology Platform clicando em Obter metadados.

   b. Abra o arquivo XML de metadados do SAP Business Technology Platform baixado e localize a tag ns3:AssertionConsumerService .

   c. Copie o valor do atributo Location e cole-o no campo URL de resposta na configuração do Microsoft Entra para SAP Business Technology Platform.

5. Clique na guia Provedor de Identidade Confiável e, em seguida, clique em Adicionar Provedor de Identidade Confiável.

   

   Nota

   Para gerenciar a lista de provedores de identidade confiáveis, você precisa ter escolhido o tipo de configuração Personalizada na seção Provedor de Serviços Local. Para o tipo de configuração Default, você tem uma confiança implícita e não editável para o SAP ID Service. Para Nenhum, você não tem nenhuma configuração de confiança.

6. Clique no separador Geral e, em seguida, clique em Procurar para carregar o ficheiro de metadados transferido.

   

   Nota

   Depois de carregar o arquivo de metadados, os valores de URL de Logon Único, URL de Logout Único e Certificado de Assinatura são preenchidos automaticamente.

7. Clique no separador Atributos.

8. Na guia Atributos, execute a seguinte etapa:

   

   a. Clique em Adicionar atributo baseado em asserção e, em seguida, adicione os seguintes atributos baseados em asserção:

   Atributo de asserção	Atributo Principal
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	nomepróprio
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	apelido
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	Correio eletrónico

   Nota

   A configuração dos Atributos depende de como o(s) aplicativo(s) no SCP são desenvolvidos, ou seja, quais atributos eles esperam na resposta SAML e sob qual nome (Atributo Principal) eles acessam esse atributo no código.

   b. O atributo padrão na captura de tela é apenas para fins de ilustração. Não é necessário fazer o cenário funcionar.

   c. Os nomes e valores para o Atributo Principal mostrados na captura de tela dependem de como o aplicativo é desenvolvido. É possível que seu aplicativo exija mapeamentos diferentes.

Grupos baseados em asserções

Como etapa opcional, você pode configurar grupos baseados em asserção para seu provedor de identidade do Microsoft Entra.

O uso de grupos no SAP Business Technology Platform permite atribuir dinamicamente um ou mais usuários a uma ou mais funções em seus aplicativos SAP Business Technology Platform, determinados por valores de atributos na asserção SAML 2.0.

Por exemplo, se a asserção contiver o atributo "contract=temporary", talvez você queira que todos os usuários afetados sejam adicionados ao grupo "TEMPORÁRIO". O grupo "TEMPORÁRIO" pode conter uma ou mais funções de um ou mais aplicativos implantados em sua conta do SAP Business Technology Platform.

Use grupos baseados em asserção quando quiser atribuir simultaneamente muitos usuários a uma ou mais funções de aplicativos em sua conta do SAP Business Technology Platform. Se você quiser atribuir apenas um ou um pequeno número de usuários a funções específicas, recomendamos atribuí-los diretamente na guia "Autorizações" do cockpit do SAP Business Technology Platform.

Criar usuário de teste do SAP Business Technology Platform

Para permitir que os usuários do Microsoft Entra façam login no SAP Business Technology Platform, você deve atribuir funções na SAP Business Technology Platform a eles.

Para atribuir uma função a um usuário, execute as seguintes etapas:

1. Faça login no cockpit do SAP Business Technology Platform .

2. Execute o seguinte:

   

   a. Clique em Autorização.

   b. Clique na guia Usuários .

   c. Na caixa de texto Usuário, digite o endereço de e-mail do usuário.

   d. Clique em Atribuir para atribuir o usuário a uma função.

   e. Clique em Guardar.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Clique em Testar este aplicativo, isso redirecionará para o URL de login do SAP Business Technology Platform onde você poderá iniciar o fluxo de login.

• Vá diretamente para o URL de logon do SAP Business Technology Platform e inicie o fluxo de login a partir daí.

• Você pode usar o Microsoft My Apps. Ao clicar no bloco SAP Business Technology Platform em Meus aplicativos, você deve estar automaticamente conectado à SAP Business Technology Platform para a qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Próximos passos

Depois de configurar o SAP Business Technology Platform, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.