Руководство по интеграции единого входа Microsoft Entra с SAP Business ByDesign

В этом руководстве вы узнаете, как интегрировать SAP Business ByDesign с идентификатором Microsoft Entra ID. Интеграция SAP Business ByDesign с идентификатором Microsoft Entra позволяет:

• Контроль доступа к SAP Business ByDesign с помощью идентификатора Microsoft Entra ID.
• Включите автоматический вход пользователей в SAP Business ByDesign с помощью учетных записей Microsoft Entra.
• Управление учетными записями в одном центральном расположении.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

• Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
• подписка SAP Business ByDesign с поддержкой единого входа (SSO).

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• SAP Business ByDesign поддерживает единый вход, инициируемый поставщиком услуг.

Добавление SAP Business ByDesign из коллекции

Чтобы настроить интеграцию SAP Business ByDesign с идентификатором Microsoft Entra ID, необходимо добавить SAP Business ByDesign из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
3. В разделе Добавление из коллекции в поле поиска введите SAP Business ByDesign.
4. Выберите SAP Business ByDesign в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и настроить конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra

Настройте и проверьте единый вход Microsoft Entra в SAP Business ByDesign с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в SAP Business ByDesign.

Чтобы настроить и проверить единый вход Microsoft Entra в SAP Business ByDesign, выполните следующие действия:

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
2. Настройте единый вход SAP Business ByDesign, чтобы настроить параметры единого входа на стороне приложения.
   1. Создайте тестового пользователя SAP Business ByDesign, чтобы в SAP Business ByDesign был создан пользователь Britta Simon, связанный с представлением пользователя Microsoft Entra.
3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к> приложениям>Identity Applications>Enterprise SAP Business ByDesign>с единым входом.

3. На странице Выбрать метод единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

   

5. В разделе Базовая конфигурация SAML выполните приведенные ниже действия.

   a. В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://<servername>.sapbydesign.com

   b. В текстовое поле Идентификатор (идентификатор сущности) введите URL-адрес в следующем формате: https://<servername>.sapbydesign.com.

   Примечание.

   Эти значения приведены для примера. Необходимо обновить эти значения действующим URL-адресом для входа и идентификатором. Чтобы получить эти значения, обратитесь в службу поддержки клиентов SAP Business ByDesign. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

6. Приложение SAP Business ByDesign ожидает утверждения SAML в определенном формате. Настройте следующие утверждения для этого приложения. Управлять значениями этих атрибутов можно в разделе Атрибуты пользователя на странице интеграции приложения. На странице Настройка единого входа с помощью SAML нажмите кнопку Изменить, чтобы открыть диалоговое окно Атрибуты пользователя.

   

7. Щелкните значок Изменить, чтобы изменить параметр Значение идентификатора имени.

   

8. В разделе Управление утверждениями пользователя выполните следующие действия.

   

   a. Выберите значение Преобразование для параметра Источник.

   b. Из раскрывающегося списка Преобразование выберите ExtractMailPrefix().

   Примечание.

   По умолчанию SAP Business ByDesign использует формат NameID, не указанный для сопоставления пользователей. Это приложение сопоставляет NameID утверждений SAML на псевдониме пользователя SAP Business ByDesign. Кроме того, это приложение поддерживает формат emailAddress в формате идентификатора имени. В этом случае приложение сопоставляет NameID утверждения SAML на адрес электронной почты пользователя SAP Business ByDesign для контактных данных сотрудника SAP Business ByDesign. Дополнительные сведения см. в статье "Единый вход" в SAP Business ByDesign.

9. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML щелкните Скачать, чтобы скачать нужный вам XML-файл метаданных федерации, и сохраните его на компьютере.

   

10. В разделе "Настройка SAP Business ByDesign" скопируйте соответствующие URL-адреса, как это необходимо для приложения.

    

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
3. Выберите "Создать пользователя>" в верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
   4. Выберите Review + create (Просмотреть и создать).
5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к SAP Business ByDesign.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям>Identity>Application>Enterprise SAP Business ByDesign.

3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.

4. Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.

5. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.

6. Если приложение поддерживает назначение пользователям разных ролей, можно выбрать роль в раскрывающемся списке "Выбор роли ". Если для этого приложения нет ролей, вы увидите выбранную роль "Доступ по умолчанию".

7. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа в SAP Business ByDesign

1. Войдите на портал SAP Business ByDesign с правами администратора.

2. Перейдите к элементу Application and User Management Common Task (Общие задачи управления приложением и пользователем) и откройте вкладку Identity Provider (Поставщик удостоверений).

3. Щелкните новый поставщик удостоверений и выберите скачанный XML-файл метаданных. После импорта метаданных приложение автоматически отправляет необходимый сертификат подписи и сертификат шифрования.

   

4. Чтобы включить URL-адрес службы обработчика утверждений в запрос SAML, выберите Include Assertion Consumer Service URL (Включить URL-адрес службы обработчика утверждений).

5. Щелкните Activate Single Sign-On(Активировать единый вход).

6. Сохранение изменений.

7. Перейдите на вкладку My System (Моя система).

   

8. В текстовое поле URL-адреса входа в Microsoft Entra ID вставьте значение URL-адреса входа, скопированное ранее.

   

9. Укажите, сможет ли сотрудник вручную переключаться между входом с помощью учетных данных (идентификатора пользователя и пароля) и единым входом, выбрав Manual Identity Provider Selection(Выбор поставщика удостоверений вручную).

10. В разделе URL-адреса единого входа укажите URL-адрес, который должен использоваться сотрудником для входа в приложение. В раскрывающемся списке URL Sent to Employee (URL-адрес для отправки сотруднику) можно выбрать следующие параметры.

    Non-SSO URL

    Система отправит сотруднику обычный URL-адрес системы. Сотрудник не может войти с помощью единого входа и вместо этого использовать пароль или сертификат.

    SSO URL

    Система отправит сотруднику URL-адрес единого входа. Сотрудник может войти с помощью единого входа. Запрос на проверку подлинности перенаправляется через поставщик удостоверений.

    Automatic Selection

    Если единый вход не активен, система отправляет обычный системный URL-адрес сотруднику. Если функция единого входа активна, система проверит, есть ли у сотрудника пароль. При наличии пароля сотруднику будет отправлен URL-адрес единого входа и URL-адрес другого метода входа. Если пароля нет, сотруднику будет отправлен только URL-адрес единого входа.

11. Сохранение изменений.

Создание тестового пользователя SAP Business ByDesign

В этом разделе мы создадим пользователя Britta Simon в приложении SAP Business ByDesign. Чтобы добавить пользователей в SAP Business ByDesign обратитесь в службу поддержки клиентов SAP Business ByDesign.

Примечание.

Значение идентификатора имени должно совпадать с полем имени пользователя на платформе SAP Business ByDesign.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

1. Щелкните "Тестировать это приложение", которое перенаправит веб-браузер на URL-адрес входа SAP Business ByDesign, где можно инициировать поток входа.

2. Перейдите по URL-адресу для входа в SAP Business ByDesign и инициируйте поток входа.

3. Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку SAP Business ByDesign в Мои приложения, веб-браузер перенаправляется по URL-адресу для входа SAP Business ByDesign. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Следующие шаги

• После настройки единого входа SAP Business ByDesign для единого входа вы можете применить функцию управления сеансами, которая предотвращает кражу конфиденциальных данных вашей организации и несанкционированный доступ к ним в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.