Öğretici: SAP Cloud Identity Services ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi

Bu öğreticide SAP Cloud Identity Services'ı Microsoft Entra Id ile tümleştirmeyi öğreneceksiniz. SAP Cloud Identity Services'ı Microsoft Entra ID ile tümleştirdiğinizde şunları yapabilirsiniz:

  • SAP Cloud Identity Services'a kimlerin erişimi olduğunu Microsoft Entra Id'de denetleyin.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla SAP Cloud Identity Services'da otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

Bahşiş

Kurulumu kullanıma hazır hale getirmek için "SAP platformlarına ve uygulamalarına erişimi güvenli hale getirmek için Microsoft Entra Id kullanma" önerilerini ve en iyi uygulama kılavuzunu izleyin.

Ön koşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

  • Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
  • SAP Cloud Identity Services çoklu oturum açma (SSO) özellikli abonelik.

Senaryo açıklaması

Bu öğreticide, bir test ortamında Microsoft Entra çoklu oturum açmayı yapılandırıp test edin.

  • SAP Cloud Identity Services, SP ve IDP tarafından başlatılan SSO'ları destekler.
  • SAP Cloud Identity Services, Otomatik kullanıcı sağlamayı destekler.

Teknik ayrıntıları incelemeden önce, bakacağınız kavramları anlamak çok önemlidir. SAP Cloud Identity Services ve Active Directory Federasyon Hizmetleri (AD FS), SAP Cloud Identity Services tarafından korunan SAP uygulamaları ve hizmetleriyle Microsoft Entra Id (IdP olarak) ile korunan uygulamalar veya hizmetler arasında SSO uygulamanıza olanak tanır.

Şu anda SAP Cloud Identity Services, SAP uygulamaları için bir Proxy Kimlik Sağlayıcısı olarak görev yapmaktadır. Buna karşılık Microsoft Entra Id, bu kurulumda önde gelen Kimlik Sağlayıcısı görevi görür.

Aşağıdaki diyagramda bu ilişki gösterilmektedir:

Creating a Microsoft Entra test user

Bu kurulumla SAP Cloud Identity Services kiracınız Microsoft Entra Id'de güvenilir bir uygulama olarak yapılandırılır.

Bu şekilde korumak istediğiniz tüm SAP uygulamaları ve hizmetleri daha sonra SAP Cloud Identity Services yönetim konsolunda yapılandırılır.

Bu nedenle SAP uygulamalarına ve hizmetlerine erişim izni verme yetkilendirmesinin SAP Cloud Identity Services'da (Microsoft Entra Id yerine) gerçekleştirilmiş olması gerekir.

SAP Cloud Identity Services'ı Microsoft Entra Market aracılığıyla bir uygulama olarak yapılandırarak tek tek beyanları veya SAML onaylarını yapılandırmanız gerekmez.

Dekont

Şu anda yalnızca Web SSO her iki taraf tarafından test edilmiştir. Uygulamadan API'ye veya API'ye iletişim için gerekli olan akışlar çalışmalıdır ancak henüz test edilmemiştir. Sonraki etkinlikler sırasında test edileceklerdir.

SAP Cloud Identity Services'ın Microsoft Entra ID ile tümleştirilmesini yapılandırmak için galerideki SAP Cloud Identity Services'i yönetilen SaaS uygulamaları listenize eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna SAP Cloud Identity Services yazın.
  4. Sonuçlar panelinden SAP Cloud Identity Services'i seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

SAP Cloud Identity Services için Microsoft Entra SSO yapılandırma ve test

B.Simon adlı bir test kullanıcısını kullanarak SAP Cloud Identity Services ile Microsoft Entra SSO'yi yapılandırın ve test edin. SSO'nun çalışması için Bir Microsoft Entra kullanıcısı ile SAP Cloud Identity Services'daki ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

SAP Cloud Identity Services ile Microsoft Entra SSO'yı yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.
    1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
  2. UYGULAMA tarafında çoklu oturum açma ayarlarını yapılandırmak için SAP Cloud Identity Services SSO'sunu yapılandırın.
    1. SAP Cloud Identity Services test kullanıcısı oluşturma - KULLANıCıNıN Microsoft Entra gösterimine bağlı SAP Cloud Identity Services'da B.Simon'ın bir karşılığına sahip olmak için.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP Cloud Identity Services>Çoklu oturum açma'ya göz atın.

  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  4. SAML ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.

    Edit Basic SAML Configuration

  5. Temel SAML Yapılandırması bölümünde, IDP tarafından başlatılan modda yapılandırmak istiyorsanız aşağıdaki adımları gerçekleştirin:

    a. Tanımlayıcı metin kutusuna aşağıdaki deseni kullanarak bir değer yazın:<IAS-tenant-id>.accounts.ondemand.com

    b. Yanıt URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<IAS-tenant-id>.accounts.ondemand.com/saml2/idp/acs/<IAS-tenant-id>.accounts.ondemand.com

    Dekont

    Bu değerler gerçek değildir. Bu değerleri gerçek Tanımlayıcı ve Yanıt URL'si ile güncelleştirin. Bu değerleri almak için SAP Cloud Identity Services İstemcisi destek ekibine başvurun. Tanımlayıcı değerini anlamıyorsanız Kiracı SAML 2.0 yapılandırması hakkında SAP Cloud Identity Services belgelerini okuyun.

  6. Ek URL'leri ayarla'ya tıklayın ve uygulamayı SP ile başlatılan modda yapılandırmak istiyorsanız aşağıdaki adımı gerçekleştirin:

    SAP Cloud Identity Services Domain and URLs single sign-on information

    Oturum açma URL'si metin kutusuna aşağıdaki deseni kullanarak bir değer yazın:{YOUR BUSINESS APPLICATION URL}

    Dekont

    Bu değer gerçek değildir. Bu değeri gerçek oturum açma URL'si ile güncelleştirin. Lütfen belirli iş uygulamanızın Oturum Açma URL'sini kullanın. Şüpheniz varsa SAP Cloud Identity Services İstemcisi destek ekibine başvurun.

  7. SAP Cloud Identity Services uygulaması SAML onaylarını belirli bir biçimde bekler ve bu da SAML belirteci öznitelikleri yapılandırmanıza özel öznitelik eşlemeleri eklemenizi gerektirir. Aşağıdaki ekran görüntüsünde varsayılan özniteliklerin listesi gösterilmektedir.

    image

  8. Yukarıdakilere ek olarak, SAP Cloud Identity Services uygulaması aşağıda gösterilen SAML yanıtında birkaç özniteliğin daha geçirilmesini bekler. Bu öznitelikler de önceden doldurulmuş olsa da gereksinimlerinize göre bunları gözden geçirebilirsiniz.

    Ad Kaynak Özniteliği
    firstName user.givenname
  9. SAML ile Çoklu Oturum Açmayı Ayarla sayfasındaki SAML İmzalama Sertifikası bölümünde İndir'e tıklayarakistediğiniz seçeneklerden Meta Veri XML'sini indirin ve bilgisayarınıza kaydedin.

    The Certificate download link

  10. SAP Cloud Identity Services'ı ayarlama bölümünde, gereksinimlerinize uygun URL'leri kopyalayın.

    Copy configuration URLs

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcıları Tüm kullanıcılar'a> göz atın.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur seçeneğini belirleyin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, SAP Cloud Identity Services'e erişim vererek B.Simon'un çoklu oturum açma özelliğini kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP Cloud Identity Services'a göz atın.

  3. Uygulamanın genel bakış sayfasında Yönet bölümünü bulun ve Kullanıcılar ve gruplar'ı seçin.

  4. Kullanıcı ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ıseçin.

  5. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın.

  6. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.

  7. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

SAP Cloud Identity Services SSO'sını yapılandırma

  1. Farklı bir web tarayıcısı penceresinde SAP Cloud Identity Services yönetim konsoluna gidin. URL şu desene sahiptir: https://<tenant-id>.accounts.ondemand.com/admin. Ardından Microsoft Entra Id ile Tümleştirme bölümünde SAP Cloud Identity Services hakkındaki belgeleri okuyun.

  2. Azure portalında Kaydet düğmesini seçin.

  3. Yalnızca başka bir SAP uygulaması için SSO eklemek ve etkinleştirmek istiyorsanız aşağıdakilerle devam edin. Galeriden SAP Cloud Identity Services ekleme bölümünün altındaki adımları yineleyin.

  4. Azure portalının SAP Cloud Identity Services uygulama tümleştirme sayfasında Bağlı Oturum Açma'yı seçin.

    Configure Linked Sign-On

  5. Yapılandırmayı kaydedin.

Dekont

Yeni uygulama, önceki SAP uygulamasının çoklu oturum açma yapılandırmasından yararlanıyor. SAP Cloud Identity Services yönetim konsolunda aynı Kurumsal Kimlik Sağlayıcılarını kullandığınızdan emin olun.

SAP Cloud Identity Services test kullanıcısı oluşturma

SAP Cloud Identity Services'da kullanıcı oluşturmanız gerekmez. Microsoft Entra kullanıcı deposundaki kullanıcılar SSO işlevini kullanabilir.

SAP Cloud Identity Services, Kimlik Federasyonu seçeneğini destekler. Bu seçenek, uygulamanın kurumsal kimlik sağlayıcısı tarafından kimliği doğrulanmış kullanıcıların SAP Cloud Identity Services kullanıcı deposunda bulunup bulunmadığını denetlemesine olanak tanır.

Kimlik Federasyonu seçeneği varsayılan olarak devre dışıdır. Kimlik Federasyonu etkinleştirildiyse, uygulamaya yalnızca SAP Cloud Identity Services'da içeri aktarılan kullanıcılar erişebilir.

SAP Cloud Identity Services ile Kimlik Federasyonu'nun nasıl etkinleştirileceği veya devre dışı bırakileceği hakkında daha fazla bilgi için SAP Cloud Identity Services Kullanıcı Deposu ile Kimlik Federasyonu'nun yapılandırılması konusundaki "SAP Cloud Identity Services ile Kimlik Federasyonu'nun etkinleştirilmesi" bölümüne bakın.

Dekont

SAP Cloud Identity Services otomatik kullanıcı sağlamayı da destekler. Burada otomatik kullanıcı sağlamayı yapılandırma hakkında daha fazla ayrıntı bulabilirsiniz.

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

SP başlatıldı:

  • Bu uygulamayı test et'e tıklayın; bu, oturum açma akışını başlatabileceğiniz SAP Cloud Identity Services Oturum Açma URL'sine yönlendirilir.

  • DOĞRUDAN SAP Cloud Identity Services Oturum Açma URL'sine gidin ve buradan oturum açma akışını başlatın.

IDP başlatıldı:

  • Bu uygulamayı test et'e tıkladığınızda SSO'nun ayarlandığı SAP Cloud Identity Services'da otomatik olarak oturum açmanız gerekir

Uygulamayı herhangi bir modda test etmek için Microsoft Uygulamalarım de kullanabilirsiniz. Uygulamalarım SAP Cloud Identity Services kutucuğuna tıkladığınızda SP modunda yapılandırıldıysa oturum açma akışını başlatmanız için uygulama oturum açma sayfasına yönlendirilirsiniz ve IDP modunda yapılandırıldıysanız, SSO'nun ayarlandığı SAP Cloud Identity Services'da otomatik olarak oturum açmanız gerekir. Uygulamalarım hakkında daha fazla bilgi için bkz. Uygulamalarım giriş.

Sonraki adımlar

SAP Cloud Identity Services'ı yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimlerini zorunlu kılabilirsiniz. Oturum denetimleri Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.

Kurulumu kullanıma hazır hale getirmek için önerilere ve en iyi uygulama kılavuzuna başvurun.