Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med SAP Fiori

  • Artikel

I den här självstudien får du lära dig hur du integrerar SAP Fiori med Microsoft Entra-ID. När du integrerar SAP Fiori med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till SAP Fiori.
  • Gör så att dina användare automatiskt loggas in på SAP Fiori med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Förutsättningar

För att komma igång behöver du följande:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • SAP Fiori-prenumeration med enkel inloggning (SSO) aktiverat.

Beskrivning av scenario

I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

  • SAP Fiori stöder SP-initierad enkel inloggning

Kommentar

För SAP Fiori-initierad iFrame-autentisering rekommenderar vi att du använder parametern IsPassive i SAML AuthnRequest för tyst autentisering. Mer information om ispassive-parametern finns i information om enkel inloggning med Microsoft Entra SAML.

För att konfigurera integreringen av SAP Fiori i Microsoft Entra-ID måste du lägga till SAP Fiori från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du SAP Fiori i sökrutan.
  4. Välj SAP Fiori i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för SAP Fiori

Konfigurera och testa Microsoft Entra SSO med SAP Fiori med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i SAP Fiori.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med SAP Fiori:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med B.Simon.
    2. Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för B.Simon att använda enkel inloggning med Microsoft Entra.
  2. Konfigurera SAP Fiori SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa SAP Fiori-testanvändare – för att ha en motsvarighet för B.Simon i SAP Fiori som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Öppna ett nytt webbläsarfönster och logga in på din SAP Fiori-företagswebbplats som administratör.

  2. Kontrollera att http- och https-tjänsterna är aktiva och att relevanta portar har tilldelats till transaktionskoden SMICM.

  3. Logga in på SAP Business Client för SAP-system T01, där enkel inloggning krävs. Aktivera sedan HANTERING av HTTP-säkerhetssessioner.

    1. Gå till transaktionskod SICF_SESSIONS. Alla relevanta profilparametrar med aktuella värden visas. De ser ut som i följande exempel:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Kommentar

      Justera parametrarna baserat på organisationens krav. De föregående parametrarna anges endast som ett exempel.

    2. Om det behövs justerar du parametrarna i sap-systemets instansprofil (standard) och startar om SAP-systemet.

    3. Dubbelklicka på den relevanta klienten för att aktivera en HTTP-säkerhetssession.

      The Current Values of Relevant Profile Parameters page in SAP

    4. Aktivera följande SICF-tjänster:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Gå till transaktionskoden SAML2 i Business Client för SAP-systemet [T01/122]. Konfigurationsgränssnittet öppnas i ett nytt webbläsarfönster. I det här exemplet använder vi Business Client för SAP-system 122.

    The SAP Fiori Business Client sign-in page

  5. Ange ditt användarnamn och lösenord och välj sedan Logga in.

    The SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  6. I rutan Providernamn ersätter du T01122 med http://T01122och väljer sedan Spara.

    Kommentar

    Som standard är providernamnet i formatet <sid-klient><>. Microsoft Entra ID förväntar sig namnet i formatet <protocol>://<name>. Vi rekommenderar att du underhåller providernamnet som https://< sid-klient><> så att du kan konfigurera flera SAP Fiori ABAP-motorer i Microsoft Entra-ID.

    The updated provider name in the SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  7. Välj Fliken Metadata för den lokala providern>.

  8. I dialogrutan SAML 2.0-metadata laddar du ned den genererade XML-filen för metadata och sparar den på datorn.

    The Download Metadata link in the SAP SAML 2.0 Metadata dialog box

  9. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  10. Bläddra till Identity>Applications Enterprise-program>> SAP Fiori>Enkel inloggning.

  11. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  12. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Edit Basic SAML Configuration

  13. I avsnittet Grundläggande SAML-konfiguration utför du följande steg om du har metadatafilen för tjänstleverantör:

    1. Klicka på Ladda upp metadatafil.

      Upload metadata file

    2. Klicka på mappikonen för att välja metadatafilen och klicka på Ladda upp.

      choose metadata file

    3. När metadatafilen har laddats upp fylls värdena för Identifierare och Svars-URL automatiskt i fönstret Grundläggande SAML-konfiguration . I rutan Inloggnings-URL anger du en URL som har följande mönster: https://<your company instance of SAP Fiori>.

      Kommentar

      Vissa kunder har påträffat ett fel i en felaktig svars-URL som konfigurerats för deras instans. Om du får ett sådant fel använder du dessa PowerShell-kommandon. Uppdatera först svars-URL:erna i programobjektet med svars-URL:en och uppdatera sedan tjänstens huvudnamn. Använd Get-MgServicePrincipal för att hämta ID-värdet för tjänstens huvudnamn.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. SAP Fiori-programmet förväntar sig att SAML-försäkran är i ett specifikt format. Konfigurera följande anspråk för det här programmet. Om du vill hantera dessa attributvärden går du till fönstret Konfigurera enkel inloggning med SAML och väljer Redigera.

    The User attributes pane

  15. I fönstret Användarattribut och anspråk konfigurerar du SAML-tokenattributen enligt föregående bild. Utför sedan följande steg:

    1. Välj Redigera för att öppna fönstret Hantera användaranspråk .

    2. I listan Transformering väljer du ExtractMailPrefix().

    3. I listan Parameter 1 väljer du user.userprincipalname.

    4. Välj Spara.

      The Manage user claims pane

      The Transformation section in the Manage user claims pane

  16. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och letar upp XML för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

    The Certificate download link

  17. I avsnittet Konfigurera SAP Fiori kopierar du lämpliga URL:er baserat på dina behov.

    Copy configuration URLs

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Gå till Identitet>Användare>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till SAP Fiori.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>SAP Fiori.
  3. På appens översiktssida väljer du Användare och grupper.
  4. Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
    1. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
    2. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
    3. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera SAP Fiori SSO

  1. Logga in på SAP-systemet och gå till transaktionskoden SAML2. Ett nytt webbläsarfönster öppnas med SAML-konfigurationssidan.

  2. Om du vill konfigurera slutpunkter för en betrodd identitetsprovider (Microsoft Entra-ID) väljer du fliken Betrodda leverantörer .

    The Trusted Providers tab in SAP

  3. Välj Lägg till och välj sedan Ladda upp metadatafil på snabbmenyn.

    The Add and Upload Metadata File options in SAP

  4. Ladda upp metadatafilen som du laddade ned. Välj Nästa.

    Select the metadata file to upload in SAP

  5. På nästa sida i rutan Alias anger du aliasnamnet. Till exempel aadsts. Välj Nästa.

    The Alias box in SAP

  6. Kontrollera att värdet i rutan Sammanfattad algoritm är SHA-256. Välj Nästa.

    Verify the Digest Algorithm value in SAP

  7. Under Slutpunkter för enkel inloggning väljer du HTTP POST och sedan Nästa.

    Single Sign-On Endpoints options in SAP

  8. Under Slutpunkter för enkel utloggning väljer du HTTP-omdirigering och sedan Nästa.

    Single Logout Endpoints options in SAP

  9. Under Artefaktslutpunkter väljer du Nästa för att fortsätta.

    Artifact Endpoints options in SAP

  10. Under Autentiseringskrav väljer du Slutför.

    Authentication Requirements options and the Finish option in SAP

  11. Välj Betrodd provideridentitetsfederation> (längst ned på sidan). Välj Redigera.

    The Trusted Provider and Identity Federation tabs in SAP

  12. Markera Lägga till.

    The Add option on the Identity Federation tab

  13. I dialogrutan NameID-format som stöds väljer du Ospecificerad. Välj OK.

    The Supported NameID Formats dialog box and options in SAP

    Värdena för användar-ID-källa och mappningsläge för användar-ID avgör länken mellan SAP-användaren och Microsoft Entra-anspråket.

    Scenario 1: SAP-användare till Microsoft Entra-användarmappning

    1. I SAP, under Information om NameID-format "Ospecificerat", noterar du informationen:

      Screenshot that shows the 'Details of NameID Format

    2. I Azure-portalen, under Användarattribut och anspråk, noterar du de anspråk som krävs från Microsoft Entra-ID.

      Screenshot that shows the

    Scenario 2: Välj SAP-användar-ID baserat på den konfigurerade e-postadressen i SU01. I det här fallet ska e-post-ID:t konfigureras i SU01 för varje användare som behöver enkel inloggning.

    1. I SAP, under Information om NameID-format "Ospecificerat", noterar du informationen:

      The Details of NameID Format

    2. I Azure-portalen, under Användarattribut och anspråk, noterar du de anspråk som krävs från Microsoft Entra-ID.

      The User Attributes and Claims dialog box in the Azure portal

  14. Välj Spara och välj sedan Aktivera för att aktivera identitetsprovidern.

    The Save and Enable options in SAP

  15. Välj OK när du uppmanas att göra det.

    The OK option in SAML 2.0 Configuration dialog box in SAP

Skapa SAP Fiori-testanvändare

I det här avsnittet skapar du en användare med namnet Britta Simon i SAP Fiori. Arbeta med ditt interna SAP-team med experter eller din organisations SAP-partner för att lägga till användaren i SAP Fiori-plattformen.

Testa enkel inloggning

  1. När identitetsprovidern Microsoft Entra ID har aktiverats i SAP Fiori försöker du komma åt någon av följande URL:er för att testa enkel inloggning (du bör inte uppmanas att ange användarnamn och lösenord):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Kommentar

    Ersätt <sap-url> med det faktiska SAP-värdnamnet.

  2. Test-URL:en bör ta dig till följande testprogramsida i SAP. Om sidan öppnas har enkel inloggning med Microsoft Entra konfigurerats.

    The standard test application page in SAP

  3. Om du uppmanas att ange ett användarnamn och lösenord aktiverar du spårning för att diagnostisera problemet. Använd följande URL för spårningen:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Nästa steg

När du har konfigurerat SAP Fiori kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.