SAP OData bağlayıcısından SSO için Microsoft Entra ID, Azure API Management ve SAP ayarlama

SAP'ye tek oturum açma (SSO) için Microsoft Entra ID kimlik bilgilerini kullanmak üzere Power Platform için SAP OData bağlayıcısını ayarlayabilirsiniz. Bu, kullanıcılarınızın SAP'deki yetkilerini ve atanmış rollerini korurken birden fazla hizmete birden fazla kez giriş yapmak zorunda kalmadan Power Platform çözümdeki SAP verilerine erişmesini sağlar.

Bu makale, SAP ile Microsoft Entra ID arasında güven oluşturma ve Azure API Management'ın Microsoft Entra ID OAuth belirtecini SAP'ye OData çağrıları yapmak için kullanılan bir SAML belirtecine dönüştürmesini yapılandırma dahil olmak üzere süreci adım adım açıklamaktadır.

Ayrıca, Yaşasın! SAP OData bağlayıcısı artık OAuth2 ve SAP Principal Propagation'ı destekliyor blog yazısında kurulum süreci hakkında ek bilgiler ve bağlam elde edebilirsiniz.

Önkoşullar

• SAP örneği
• Azure API Yönetim kaynağı

SAP'den yerel sağlayıcı SAML meta verilerini indirin

SAML 2.0 kullanarak SAP ile Microsoft Entra ID arasında bir güven ilişkisi kurmak için önce SAP'den meta veri xml dosyasını indirin.

SAP GUI'da SAP Basis yöneticisi olarak bu adımları gerçekleştirin.

1. SAP GUI'de, ilgili SAP istemcisine bağlı sihirbazı açmak için SAML2 işlemini çalıştırın ve Yerel Sağlayıcı sekmesini seçin.

2. Meta Veri'yi seçin ve ardından Meta Veriyi İndir'i seçin. Sonraki bir adımda SAP SAML meta verilerini Microsoft Entra ID'ye yükleyeceksiniz.

3. URI uyumlu Sağlayıcı Adı'nı not edin.

Not

Microsoft Entra ID, bu değerin URI uyumlu olmasını gerektirir. Sağlayıcı Adı zaten ayarlanmışsa ve URI uyumlu değilse önce SAP Basis ekibinize danışmadan değiştirmeyin. Sağlayıcı Adı'nın değiştirilmesi mevcut SAML yapılandırmalarını bozabilir. Bunu değiştirme adımları bu makalenin kapsamı dışındadır. Yardım için SAML Basis ekibinize danışın.

SAP'nin resmi belgelerine daha fazla bilgi için bakın.

SAP meta verilerini Microsoft Entra ID kurumsal uygulamasına içeri aktarma

Bu adımları Azure portalında Microsoft Entra ID yöneticisi olarak gerçekleştirin.

1. Microsoft Entra ID>Enterprise uygulamalarını seçin.

2. Yeni uygulama'yı seçin.

3. Sap Netweaver'i arayın.

4. Kurumsal uygulamaya bir ad verin ve ardından Oluştur'u seçin.

5. Tek oturum açma'ya gidin ve SAML'yi seçin.

6. Meta veri dosyasını karşıya yükle'yi seçin ve SAP'den indirdiğiniz meta veri dosyasını seçin.

7. Ekle'yi seçin.

8. Yanıt URL'sini (Onaylama İşlemi Tüketici Hizmeti URL'si) SAP OAuth belirteç uç noktası olarak değiştirin. URL https://<SAP server>:<port>/sap/bc/sec/oauth2/token biçimindedir.

9. Oturum açma URL'sini URI uyumlu bir değerle değiştirin. Bu parametre kullanılmaz ve URI uyumlu herhangi bir değere ayarlanabilir.

10. Kaydet'i seçin.

11. Öznitelikler ve İddialar altında, Düzenle'yi seçin.

12. Talep adı Benzersiz Kullanıcı Tanımlayıcısı'nın (Ad Kimliği)user.userprincipalname [nameid=format:emailAddress] olarak ayarlandığını onaylayın.

13. SAML Sertifikaları'nın altında Sertifika (Base64) ve Federasyon Meta Verileri XML'i için İndir'i seçin.

SAP'de OAuth 2.0 için Microsoft Entra ID'yi güvenilir Kimlik Sağlayıcısı olarak yapılandırın

1. SAP NetWeaver ve OAuth2 bölümü için Microsoft Entra ID belgelerinde özetlenen adımları izleyin.

2. SAP'de OAuth2 istemcisi oluşturulduktan sonra bu makaleye geri dönün.

Ek ayrıntılar için SAP'nin SAP NETWEAVER hakkındaki resmi belgelerine bakın. Bilgilere erişmek için SAP yöneticisi olmanız gerektiğini unutmayın.

Azure API Management kaynağını temsil eden bir Microsoft Entra ID uygulaması oluşturun

Microsoft Power Platform SAP OData konektörüne erişim izni veren bir Microsoft Entra ID uygulaması kurun. Bu uygulama, bir Azure API Management kaynağının belirteçleri SAML OAuth belirteçlerine dönüştürmesine olanak tanır.

Azure portalında Microsoft Entra ID yöneticisi olarak bu adımları uygulayın.

1. Microsoft Entra ID>Uygulama kayıtları>Yeni Kayıt'ı seçin.

2. Bir Ad girin ve ardından Kaydol'u seçin.

3. Sertifikalar ve gizli anahtarlar>Yeni istemci gizli anahtarı'nı seçin.

4. Bir Açıklama girin ve Ekle'yi seçin.

5. Bu gizli diziyi kopyalayın ve güvenli bir yere kaydedin.

6. API İzinleri>İzin ekle'yi seçin.

7. Microsoft Graph>Atanan izinler'i seçin.

8. openid öğesini arayın ve seçin.

9. İzinler ekle'yi seçin.

10. Kimlik Doğrulaması>Platform ekle>Web'i seçin.

11. Yeniden yönlendirme URI'sini https://localhost:44326/signin-oidc olarak ayarlayın.

12. Erişim belirteçleri ve kimlik belirteçleri'ni ve ardından Yapılandır'ı seçin.

13. Bir API’yi kullanıma sunma'yı seçin.

14. Uygulama Kimliği URl'si yanındaki Ekle'yi seçin.

15. Varsayılan değeri kabul edin ve Kaydet'i seçin.

16. Yeni bir kapsam ekle'yi seçin.

17. Kapsam adı'nı user_impersonation olarak ayarlayın.

18. Kimler izin verebilir? ayarını Yöneticilere ve kullanıcılara ayarlayın.

19. Yeni bir kapsam ekle'yi seçin.

20. Uygulama (istemci) kimliği'ni kopyalayın.

Azure API Yönetimi kaynağının SAP Netweaver'a Microsoft Entra ID kurumsal uygulama kullanarak erişmesini yetkilendirin

1. Bir Microsoft Entra ID kurumsal uygulaması oluşturulduğunda, eşleşen bir uygulama kaydı oluşturur. Sap NetWeaver için oluşturduğunuz Microsoft Entra ID kurumsal uygulamasıyla eşleşen Uygulama kaydını bulun.

2. Bir API'yi Açığa Çıkarın>Bir istemci uygulaması ekleyin seçeneğini belirleyin.

3. Azure API Management örneğinizin Microsoft Entra ID uygulama kaydının Uygulama (istemci) Kimliğiniİstemci Kimliği'ne yapıştırın.

4. user_impersonation kapsamını seçin ve ardından Uygulama ekle'yi seçin.

Microsoft Power Platform SAP OData bağlayıcısını Azure API Management tarafından kullanıma sunulan API'lere erişmek için yetkilendirme

1. Azure API Yönetimi'nin Microsoft Entra ID uygulama kaydında, API'yi açığa çıkar> öğesini seçin. Yetkili istemci uygulamaları altında Power Platform SAP OData bağlayıcısının 6bee4d13-fd19-43de-b82c-4b6401d174c3 istemci kimliğini ekleyin.

2. user_impersonation kapsamını seçin ve ardından Kaydet'i seçin.

SAP'yi yapılandırmaOAuth

SAP'de Azure API Management'ın kullanıcılar adına belirteçler almasına olanak tanıyan bir OAuth 2.0 istemcisi oluşturun.

Ayrıntılar için SAP'nin resmi belgelerine bakın.

SAP GUI'da SAP Basis yöneticisi olarak bu adımları gerçekleştirin.

1. SOAUTH2 işlemini çalıştırın.

2. Create'u seçin.

3. İstemci Kimliği sayfasında:

   • OAuth 2.0 İstemci Kimliği için bir SAP sistem kullanıcısı seçin.
   • Bir Açıklama girin ve Sonra'yı seçin.

4. İstemci Kimlik Doğrulaması sayfasında İleri'yi seçin.

5. Hibe Türü Ayarları sayfasında:

   • Güvenilir OAuth 2.0 Kimlik Sağlayıcısı için Microsoft Entra ID girişini seçin.
   • İzin Verilen Yenileme öğesini seçin ve ardından İleri'yi seçin.

6. Kapsam Ataması sayfasında Ekle'yi seçin, Azure API Management'ın kullandığı OData hizmetlerini seçin (örneğin, ZAPI_BUSINESS_PARTNER_0001) ve ardından İleri'yi seçin.

7. Son'u seçin.

Azure API Yönetimini yapılandırın

SAP OData XML meta verilerini Azure API Management örneğinize aktarın. Ardından, belirteçleri dönüştürmek için bir Azure API Management ilkesi uygulayın.

1. Azure API Management örneğinizi açın ve SAP OData API'si oluşturma adımlarını izleyin.

2. API'ler'in altında Adlandırılmış değerler'i seçin.

3. Aşağıdaki anahtar/değer çiftlerini ekleyin:

Tuş	Değer
AADSAPResource	SAP yerel sağlayıcı URI'si
AADTenantId	Kiracı GUID'niz
APIMAADRegisteredAppClientId	Microsoft Entra ID Uygulama GUID
APIMAADRegisteredAppClientSecret	Önceki adımdan istemci gizli anahtarı
SAPOAuthClientID	SAP sistem kullanıcısı
SAPOAuthClientSecret	SAP sistem kullanıcı parolası
SAPOAuthRefreshExpiry	Belirteç yenileme süre sonu
SAPOAuthScope	SAP OAuth yapılandırması sırasında seçilen OData kapsamları
SAPOAuthServerAddressForTokenEndpoint	Belirteç alımını gerçekleştirmek için çağrılacak Azure API Management için SAP uç noktası

Not

SAP SuccessFactors için ayarların biraz farklı olduğunu unutmayın. Daha fazla bilgi için bkz. SAP SuccessFactors için Azure API Management ilkesi.

Azure API Management belirteci ilkesini uygulama

Azure API Yönetimi politikalarını kullanarak Microsoft Entra ID verilen belirteci, SAP NetWeaver'ın kabul edebileceği bir belirtece dönüştürün. Bu, OAuth2SAMLBearer akışı kullanılarak yapılır. Daha fazla bilgi için SAP'nin resmi belgelerine bakın.

1. Microsoft'in resmi GitHub sayfasından Azure API Management ilkesini kopyalayın.

2. Azure portalını açın.

3. Azure API Yönetim kaynağına gidin.

4. API'ler'i seçin ve ardından oluşturduğunuz OData API'sini seçin.

5. Tüm işlemler'i seçin.

6. Gelen işleme altında , Politikalar </> seçin.

7. Mevcut ilkeyi silin ve kopyaladığınız ilkeyi yapıştırın.

8. Kaydet'i seçin.

İlgili içerik

• SAP OData bağlayıcı
• SAP OData bağlayıcısı artık OAuth2 ve SAP Principal Propagation'ı destekliyor | Power Automate topluluk blogu
• Azure SAP SuccessFactors için API Management politikası| GitHub (İngilizce)
• SAP SuccessFactors için SAP OData bağlayıcısı | SAP topluluk blogu
• SAP Business Accelerator Hub, SuccessFactors ve NetWeaver için SAP entegrasyon paketi ilkesiyle ilgili içerik de sunar. Bu içeriğe erişmek için bir SAP hesabınız olmalıdır.