Dela via

Självstudie: Microsoft Entra SSO-integrering med SAP Business Technology Platform

  • Artikel

I den här självstudien får du lära dig hur du integrerar SAP Business Technology Platform med Microsoft Entra ID. När du integrerar SAP Business Technology Platform med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till SAP Business Technology Platform.
  • Gör så att dina användare automatiskt loggas in på SAP Business Technology Platform med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Förutsättningar

För att komma igång behöver du följande:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • SAP Business Technology Platform-prenumeration med enkel inloggning (SSO) aktiverat.

Viktigt!

Du måste distribuera ditt eget program eller prenumerera på ett program på ditt SAP Business Technology Platform-konto för att testa enkel inloggning. I den här självstudien distribueras ett program i kontot.

Beskrivning av scenario

I den här självstudien konfigurerar och testar du enkel inloggning med Microsoft Entra i en testmiljö.

  • SAP Business Technology Platform stöder SP-initierad enkel inloggning.

För att konfigurera integreringen av SAP Business Technology Platform i Microsoft Entra-ID måste du lägga till SAP Business Technology Platform från galleriet till din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du SAP Business Technology Platform i sökrutan.
  4. Välj SAP Business Technology Platform i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för SAP Business Technology Platform

Konfigurera och testa Microsoft Entra SSO med SAP Business Technology Platform med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i SAP Business Technology Platform.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med SAP Business Technology Platform:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med Britta Simon.
    2. Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för Britta Simon att använda enkel inloggning med Microsoft Entra.
  2. Konfigurera SAP Business Technology Platform SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa SAP Business Technology Platform-testanvändare – för att ha en motsvarighet för Britta Simon i SAP Business Technology Platform som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>>SAP Business Technology Platform>Enkel inloggning.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Edit Basic SAML Configuration

  5. I avsnittet Grundläggande SAML-konfiguration anger du värdena för följande fält:

    a. I textrutan Identifierare anger du din SAP Business Technology Platform-typ av en URL med något av följande mönster:

    Identifierare
    https://hanatrial.ondemand.com/<instancename>
    https://hana.ondemand.com/<instancename>
    https://us1.hana.ondemand.com/<instancename>
    https://ap1.hana.ondemand.com/<instancename>

    b. I textrutan Svars-URL skriver du en URL med något av följande mönster:

    Svarswebbadress
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>
    https://<subdomain>.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

    c. I textrutan Inloggnings-URL skriver du den URL som användarna använder för att logga in på ditt SAP Business Technology Platform-program . Det här är den kontospecifika URL:en för en skyddad resurs i ditt SAP Business Technology Platform-program. URL:en är baserad på följande mönster: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

    Kommentar

    Det här är URL:en i ditt SAP Business Technology Platform-program som kräver att användaren autentiserar.

    Inloggnings-URL
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>

    Kommentar

    Dessa värden är inte verkliga. Uppdatera dessa värden med den faktiska identifieraren, svars-URL:en och inloggnings-URL: en. Kontakta supportteamet för SAP Business Technology Platform-klienten för att få inloggnings-URL och identifierare. Svars-URL:en kan du hämta från förtroendehanteringsavsnittet som beskrivs senare i självstudien.

  6. På sidan Set up Single Sign-On with SAML (Konfigurera enkel inloggning med SAML) går du till avsnittet SAML Signing Certificate (SAML-signeringscertifikat), klickar på Ladda ned för att ladda ned Federation Metadata-XML från de angivna alternativen enligt dina behov och spara den på datorn.

    The Certificate download link

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Bläddra till Identitetsanvändare>>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Till exempel B.Simon@contoso.com.
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till SAP Business Technology Platform.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>SAP Business Technology Platform.
  3. På appens översiktssida väljer du Användare och grupper.
  4. Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
    1. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
    2. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
    3. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera enkel inloggning för SAP Business Technology Platform

  1. I ett annat webbläsarfönster loggar du in på SAP Business Technology Platform Cockpit på https://account.<landscape host>.ondemand.com/cockpit(till exempel: https://account.hanatrial.ondemand.com/cockpit).

  2. Klicka på Förtroende-fliken.

    Trust

  3. I avsnittet förtroendehantering under Lokal tjänstleverantör, utför du följande steg:

    Screenshot that shows the

    a. Klicka på Redigera.

    b. Som Konfigurationstyp, väljer du Anpassad.

    c. Som Namn på lokal leverantör, lämna standardvärdet. Kopiera det här värdet och klistra in det i fältet Identifierare i Microsoft Entra-konfigurationen för SAP Business Technology Platform.

    d. Generera en Signeringsnyckel och ett Signeringscertifikat-nyckelpar genom att klicka på Generera nyckelpar.

    e. Som Huvudsaklig spridning så väljer du Inaktiverad.

    f. Som Tvinga autentisering så väljer du Inaktiverad.

    g. Klicka på Spara.

  4. När du har sparat inställningarna för Lokal tjänstleverantör så utför du följande för att hämta svars-URL:en:

    Get Metadata

    a. Ladda ned metadatafilen för SAP Business Technology Platform genom att klicka på Hämta metadata.

    b. Öppna den nedladdade XML-filen för SAP Business Technology Platform-metadata och leta sedan upp taggen ns3:AssertionConsumerService .

    c. Kopiera värdet för attributet Plats och klistra sedan in det i fältet Svars-URL i Microsoft Entra-konfigurationen för SAP Business Technology Platform.

  5. Klicka på fliken Betrodd identitetsprovider och sedan på Lägg till betrodd identitetsprovider.

    Screenshot that shows the

    Kommentar

    Om du vill hantera listan med betrodda identitetsprovidrar så måste du ha valt typ av anpassad konfiguration i avsnittet lokal tjänstleverantör. Som standardkonfigurationstyp har du ett icke-redigerbart och implicit förtroende till SAP-ID-tjänsten. För Ingen så har du inga förtroendeinställningar.

  6. Klicka på Allmänt-fliken och sedan på Bläddra för att överföra den hämtade metadatafilen.

    Trust Management

    Kommentar

    När du har överfört metadatafilen så fylls värdena för URL för enkel inloggning, URL för enkel utloggning och Signeringscertifikat i automatiskt.

  7. Klicka på fliken Attribut.

  8. Attribut-fliken, utför du följande steg:

    Attributes

    a. Klicka på Lägg till försäkransbaserat attribut och lägg sedan till följande försäkransbaserade attribut:

    Försäkransattribut Huvudnamnsattribut
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname förnamn
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname efternamn
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress E-post

    Kommentar

    Konfigurationen av attributen beror på hur programmen på SCP utvecklas, det vill säga vilka attribut som de förväntar sig i SAML-svaret och under vilket namn (huvudnamnsattribut) de har åtkomst till det här attributet i koden.

    b. Standardattributet i skärmbilden är bara i illustrativt syfte. Det krävs inte för att få scenariot att fungera.

    c. Namnen och värdena för huvudnamnsattributet som visas i skärmbilden beror på hur programmet utvecklas. Det är möjligt att ditt program kräver olika mappningar.

Försäkransbaserade grupper

Som ett valfritt steg kan du konfigurera kontrollbaserade grupper för din Microsoft Entra-identitetsprovider.

Med hjälp av grupper på SAP Business Technology Platform kan du dynamiskt tilldela en eller flera användare till en eller flera roller i dina SAP Business Technology Platform-program, som bestäms av attributvärden i SAML 2.0-försäkran.

Om försäkran till exempel innehåller attributet ”contract=temporary” så kan du vilja att alla berörda användare läggs till i gruppen ”TEMPORARY”. Gruppen "TEMPORARY" kan innehålla en eller flera roller från ett eller flera program som distribueras i ditt SAP Business Technology Platform-konto.

Använd kontrollbaserade grupper när du samtidigt vill tilldela många användare till en eller flera programroller i ditt SAP Business Technology Platform-konto. Om du bara vill tilldela ett enskilt eller litet antal användare till specifika roller rekommenderar vi att du tilldelar dem direkt på fliken "Auktoriseringar" i SAP Business Technology Platform-cockpiten.

Skapa SAP Business Technology Platform-testanvändare

För att göra det möjligt för Microsoft Entra-användare att logga in på SAP Business Technology Platform måste du tilldela roller i SAP Business Technology Platform till dem.

Om du vill tilldela en roll till en användare så utför du följande steg:

  1. Logga in på din SAP Business Technology Platform-cockpit .

  2. Utför följande:

    Authorizations

    a. Klicka på Auktorisering.

    b. Klicka på den Användare-fliken.

    c. I textrutan Användare så skriver du in användarens e-postadress.

    d. Klicka på Tilldela för att tilldela användaren till en roll.

    e. Klicka på Spara.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

  • Klicka på Testa det här programmet, detta omdirigeras till SAP Business Technology Platform Inloggnings-URL där du kan initiera inloggningsflödet.

  • Gå till inloggnings-URL:en för SAP Business Technology Platform direkt och initiera inloggningsflödet därifrån.

  • Du kan använda Microsoft Mina appar. När du klickar på SAP Business Technology Platform-panelen i Mina appar bör du automatiskt loggas in på SAP Business Technology Platform som du har konfigurerat enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du har konfigurerat SAP Business Technology Platform kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.