ตั้งค่า Microsoft Entra ID, การจัดการ Azure API และ SAP สำหรับ SSO จากตัวเชื่อมต่อ SAP OData

คุณสามารถตั้งค่าตัวเชื่อมต่อ SAP OData สำหรับ Power Platform เพื่อใช้ข้อมูลประจำตัว Microsoft Entra ID สำหรับการลงชื่อเข้าระบบครั้งเดียว (SSO) กับ SAP ซึ่งให้ผู้ใช้ของคุณสามารถเข้าถึงข้อมูล SAP ในโซลูชัน Power Platform ได้โดยไม่ต้องลงชื่อเข้าใช้หลายบริการหลายครั้งในขณะที่ยังยึดตามการอนุญาตและบทบาทที่ได้รับมอบหมายใน SAP

บทความนี้จะแนะนำคุณตลอดกระบวนการ รวมถึงการตั้งค่าความน่าเชื่อถือระหว่าง SAP และ Microsoft Entra ID และการกำหนดค่าการจัดการ Azure API เพื่อแปลงโทเค็น OAuth ของ Microsoft Entra ID เป็นโทเค็น SAML ที่ใช้ในการเรียก OData ไปยัง SAP

คุณยังสามารถรับข้อมูลเชิงลึกและบริบทเพิ่มเติมเกี่ยวกับขั้นตอนการตั้งค่าในบล็อกโพสต์ ไชโย! ตอนนี้ ตัวเชื่อมต่อ SAP OData รองรับ OAuth2 และ SAP Principal Propagation

ข้อกำหนดเบื้องต้น

• อินสแตนซ์ SAP
• ทรัพยากรการจัดการ Azure API

ดาวน์โหลดข้อมูลเมตา SAML ของผู้ให้บริการในพื้นที่จาก SAP

หากต้องการตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่าง SAP กับ Microsoft Entra ID โดยใช้ SAML 2.0 ก่อนอื่นให้ดาวน์โหลดไฟล์ xml ข้อมูลเมตาจาก SAP

ทำตามขั้นตอนเหล่านี้ในฐานะผู้ดูแลระบบ SAP Basis ใน SAP GUI

1. ใน SAP GUI ให้เรียกใช้ธุรกรรม SAML2 เพื่อเปิดตัวช่วยสร้างที่ขึ้นกับไคลเอ็นต์ SAP ที่เกี่ยวข้อง และเลือกแท็บ ผู้ให้บริการในพื้นที่

2. เลือก เมตาดาต้า แล้วเลือก ดาวน์โหลดเมตาดาต้า คุณจะอัปโหลดเมตาดาต้า SAP SAML ไปยัง Microsoft Entra ID ในขั้นตอนถัดไป

3. จด ชื่อผู้ให้บริการ ที่สอดคล้องกับ URI

หมายเหตุ

Microsoft Entra ID กำหนดให้ค่านี้สอดคล้องกับ URI หาก ชื่อผู้ให้บริการ ถูกตั้งค่าไว้แล้วและไม่สอดคล้องกับ URI อย่าเปลี่ยนโดยไม่ปรึกษาทีม SAP Basis ของคุณก่อน การเปลี่ยน ชื่อผู้ให้บริการ อาจทำให้การกำหนดค่า SAML ที่มีอยู่เสียหายได้ ขั้นตอนในการเปลี่ยนแปลงอยู่นอกเหนือขอบเขตของบทความนี้ ตรวจสอบกับทีม SAML Basis เพื่อขอคำแนะนำ

ศึกษาคู่มือทางการของ SAP สำหรับข้อมูลเพิ่มเติม

นำเข้าข้อมูลเมตาของ SAP ลงในแอปพลิเคชันระดับองค์กร Microsoft Entra ID

ทำตามขั้นตอนเหล่านี้ในฐานะผู้ดูแลระบบ Microsoft Entra ID ใน พอร์ทัล Azure

1. เลือก Microsoft Entra ID>แอปพลิเคชัน Enterprise

2. เลือก แอปพลิเคชันใหม่

3. ค้นหา SAP Netweaver

4. ตั้งชื่อแอปพลิเคชันองค์กร จากนั้นเลือกปุ่มสร้าง

5. ไปที่ ลงชื่อเข้าระบบครั้งเดียว และเลือก SAML

6. เลือก อัปโหลดไฟล์เมตาดาต้า และเลือกไฟล์เมตาดาต้าที่คุณดาวน์โหลดจาก SAP

7. เลือก เพิ่ม

8. เปลี่ยน URL ตอบกลับ (URL บริการยืนยันการให้บริการ) เป็นตำแหน่งข้อมูลโทเค็น SAP OAuth URL อยู่ในรูปแบบ https://<SAP server>:<port>/sap/bc/sec/oauth2/token

9. เปลี่ยน URL ลงชื่อเข้าใช้ เป็นค่าที่สอดคล้องกับ URI พารามิเตอร์นี้ไม่ได้ใช้และสามารถตั้งค่าเป็นค่าใดๆ ที่สอดคล้องกับ URI

10. เลือก บันทึก

11. ภายใต้ แอตทริบิวต์และการอ้างสิทธิ์ ให้เลือก แก้ไข

12. ยืนยันว่า รหัสผู้ใช้เฉพาะของชื่อการอ้างสิทธิ์ (ID ชื่อ) ถูกตั้งค่าเป็น user.userprincipalname [nameid=format:emailAddress]

13. ภายใต้ ใบรับรอง SAML ให้เลือก ดาวน์โหลด สำหรับ ใบรับรอง (Base64) และ XML เมตาดาต้าการติดต่อกับภายนอก

กำหนดค่า Microsoft Entra ID เป็นผู้ให้บริการข้อมูลประจำตัวที่เชื่อถือได้สำหรับ OAuth 2.0 ใน SAP

1. ทำตามขั้นตอนที่ระบุไว้ใน คู่มือ Microsoft Entra ID สำหรับ SAP NetWeaver และส่วน OAuth2

2. กลับมาที่บทความนี้เมื่อสร้างไคลเอ็นต์ OAuth2 ใน SAP

ดูที่ คู่มืออย่างเป็นทางการของ SAP เกี่ยวกับ SAP NETWEAVER สำหรับรายละเอียดเพิ่มเติม หมายเหตุ คุณต้องเป็นผู้ดูแลระบบ SAP เพื่อเข้าถึงข้อมูล

สร้างแอปพลิเคชัน Microsoft Entra ID ที่แสดงถึงทรัพยากรการจัดการ API Azure

ตั้งค่าแอปพลิเคชัน Microsoft Entra ID ที่ให้สิทธิ์การเข้าถึงตัวเชื่อมต่อ SAP OData ใน Microsoft Power Platform แอปพลิเคชันนี้อนุญาตให้ทรัพยากรการจัดการ API Azure แปลงโทเค็น OAuth เป็น SAML

ทำตามขั้นตอนเหล่านี้ในฐานะผู้ดูแลระบบ Microsoft Entra ID ใน พอร์ทัล Azure

1. เลือก Microsoft Entra ID>การลงทะเบียนแอป>การลงทะเบียนใหม่

2. ป้อน ชื่อ แล้วเลือก ลงทะเบียน

3. เลือก ใบรับรองและข้อมูลลับ>ข้อมูลลับไคลเอ็นต์ใหม่

4. ป้อน คำอธิบาย แล้วเลือก เพิ่ม

5. คัดลอกและบันทึก ข้อมูลลับ นี้ไว้ในที่ปลอดภัย

6. เลือก สิทธิ์ API>เพิ่มสิทธิ์

7. เลือก Microsoft Graph>สิทธิ์ที่ได้รับมอบสิทธิ์

8. ค้นหาและเลือก openid

9. เลือก เพิ่มสิทธิ์

10. เลือก การรับรองความถูกต้อง>เพิ่มแพลตฟอร์ม>เว็บ

11. ตั้งค่า URI เปลี่ยนเส้นทาง เป็น https://localhost:44326/signin-oidc

12. เลือก โทเค็นการเข้าใช้ และ โทเค็น ID จากนั้นเลือก กำหนดค่า

13. เลือก เปิดเผย API

14. จากนั้นไปที่ URI ของ ID แอปพลิเคชัน เลือก เพิ่ม

15. ยอมรับ ค่าเริ่มต้น และเลือก บันทึก

16. เลือก เพิ่มขอบเขต

17. ตั้งค่า ชื่อขอบเขต เป็น user_impersonation

18. ตั้งค่า ใครสามารถยินยอมได้บ้าง เป็น ผู้ดูแลระบบและผู้ใช้

19. เลือก เพิ่มขอบเขต

20. คัดลอก รหัส (ไคลเอ็นต์) แอปพลิเคชัน

อนุญาตทรัพยากรการจัดการ Azure API เพื่อเข้าถึง SAP Netweaver โดยใช้แอปพลิเคชันระดับองค์กร Microsoft Entra ID

1. เมื่อสร้างแอปพลิเคชันองค์กร Microsoft Entra ID จะมีการสร้างการลงทะเบียนแอปที่ตรงกัน ค้นหา การลงทะเบียนแอป ที่ตรงกับแอปพลิเคชันระดับองค์กร Microsoft Entra ID ที่คุณสร้างขึ้นสำหรับ SAP NetWeaver

2. เลือก แสดง API>เพิ่มแอปพลิเคชันไคลเอ็นต์

3. วาง รหัสแอปพลิเคชัน (ไคลเอ็นต์) องการลงทะเบียนแอป Microsoft Entra ID ของอินสแตนซ์การจัดการ Azure API ของคุณลงใน รหัสไคลเอ็นต์

4. เลือกขอบเขต user_impersonation แล้วเลือก เพิ่มแอปพลิเคชัน

อนุญาตตัวเชื่อมต่อ SAP OData ใน Microsoft Power Platform เข้าถึง API ที่แสดงโดยการจัดการ Azure API

1. ในการลงทะเบียนแอป Microsoft Entra ID ของการจัดการ Azure API ให้เลือก เปิดเผย API> เพิ่มรหัสไคลเอ็นต์ของตัวเชื่อมต่อ SAP OData ใน Power Platform 6bee4d13-fd19-43de-b82c-4b6401d174c3 ภายใต้แอปพลิเคชันไคลเอ็นต์ที่ได้รับอนุญาต

2. เลือกขอบเขต user_impersonation แล้วเลือก บันทึก

กำหนดค่า SAPOAuth

สร้างไคลเอ็นต์ OAuth 2.0 ใน SAP ที่อนุญาตให้การจัดการ Azure API รับโทเค็นในนามของผู้ใช้

ดู คู่มืออย่างเป็นทางการของ SAP สำหรับรายละเอียด

ทำตามขั้นตอนเหล่านี้ในฐานะผู้ดูแลระบบ SAP Basis ใน SAP GUI

1. เรียกใช้ทรานแซคชัน SOAUTH2

2. เลือก สร้าง

3. บนหน้า รหัสไคลเอ็นต์:

   • สำหรับ รหัสไคลเอ็นต์ OAuth 2.0 ให้เลือกผู้ใช้ระบบ SAP
   • ป้อน คำอธิบาย แล้วเลือก ถัดไป

4. ในหน้า การรับรองความถูกต้องไคลเอ็นต์ เลือก ถัดไป

5. บนหน้า การตั้งค่าชนิดการให้สิทธิ์:

   • สำหรับ OAuth 2.0 IdP ที่เชื่อถือได้ ให้เลือกรายการ Microsoft Entra ID
   • เลือก อนุญาตการรีเฟรช แล้วเลือก ถัดไป

6. บนหน้า การกำหนดขอบเขต ให้เลือก เพิ่ม เลือกบริการ OData ที่การจัดการ Azure API ใช้ (เช่น ZAPI_BUSINESS_PARTNER_0001) แล้วเลือก ถัดไป

7. เลือก จบ

กำหนดค่าการจัดการ Azure API

นำเข้าข้อมูลเมตา SAP OData XML ลงในอินสแตนซ์การจัดการ Azure API ของคุณ จากนั้นใช้นโยบายการจัดการ Azure API เพื่อแปลงโทเค็น

1. เปิดอินสแตนซ์การจัดการ Azure API ของคุณและทำตาม ขั้นตอน ในการสร้าง SAP OData API

2. ภายใต้ API ให้เลือก ค่าที่มีชื่อ

3. เพิ่มคู่คีย์/ค่าต่อไปนี้:

Key	มูลค่า
AADSAPResource	URI ผู้ให้บริการภายในของ SAP
AADTenantId	GUID ผู้เช่าของคุณ
APIMAADRegisteredAppClientId	GUID แอปพลิเคชัน Microsoft Entra ID
APIMAADRegisteredAppClientSecret	ข้อมูลลับไคลเอ็นต์จากขั้นตอนก่อนหน้า
SAPOAuthClientID	ผู้ใช้ระบบ SAP
SAPOAuthClientSecret	รหัสผ่านของผู้ใช้ระบบ SAP
SAPOAuthRefreshExpiry	การหมดอายุของการรีเฟรชโทเค็น
SAPOAuthScope	ขอบเขต OData ที่เลือกระหว่างการกำหนดค่า SAP OAuth
SAPOAuthServerAddressForTokenEndpoint	ตำแหน่งข้อมูล SAP สำหรับการจัดการ Azure API เพื่อเรียกให้ดำเนินการรับโทเค็น

หมายเหตุ

โปรดทราบว่าการตั้งค่าแตกต่างกันเล็กน้อยสำหรับ SAP SuccessFactors สำหรับข้อมูลเพิ่มเติม โปรดดู นโยบายการจัดการ Azure API สำหรับ SAP SuccessFactors

ใช้นโยบายโทเค็นการจัดการ Azure API

ใช้นโยบายการจัดการ Azure API เพื่อแปลงโทเค็นที่ออกโดย Microsoft Entra ID เป็นโทเค็นที่ SAP NetWeaver ยอมรับ ซึ่งทำได้โดยใช้โฟลว์ OAuth2SAMLBearer ดูที่ คู่มือทางการ ของ SAP สำหรับข้อมูลเพิ่มเติม

1. คัดลอก นโยบายการจัดการ Azure API จากหน้า GitHub ที่เป็นทางการของ Microsoft

2. เปิด พอร์ทัล Azure

3. ไปที่ทรัพยากรการจัดการ Azure API ของคุณ

4. เลือก API แล้วเลือก OData API ที่คุณสร้างขึ้น

5. เลือก การดำเนินงานทั้งหมด

6. ภายใต้ การประมวลผลขาเข้า ให้เลือก นโยบาย </>

7. ลบ นโยบายที่มีอยู่ และวาง นโยบายที่คุณคัดลอก

8. เลือก บันทึก

เนื้อหาที่เกี่ยวข้อง

• ตัวเชื่อมต่อ SAP OData
• ตัวเชื่อมต่อ SAP OData รองรับ OAuth2 และการส่งต่อบัญชีผู้ใช้หลัก SAP แล้ว | บล็อกชุมชน Power Automate
• Azure นโยบายการจัดการ API สำหรับ SAP SuccessFactors | จีทฮับ
• ตัวเชื่อมต่อ SAP OData สำหรับ SAP SuccessFactors | บล็อกชุมชน SAP
• SAP Business Accelerator Hub ยังมีเนื้อหาที่เกี่ยวข้องกับนโยบายชุดการรวม SAP สำหรับ SuccessFactors และ NetWeaver ด้วย คุณต้องมีบัญชี SAP เพื่อเข้าถึงเนื้อหานี้