教程:Microsoft Entra SSO 与 SAP Business Technology Platform 的集成

本教程介绍如何将 SAP Business Technology Platform 与 Microsoft Entra ID 相集成。 将 SAP Business Technology Platform 与 Microsoft Entra ID 集成后,可以:

  • 在 Microsoft Entra ID 中控制谁有权访问 SAP Business Technology Platform。
  • 让用户能够使用其 Microsoft Entra ID 帐户自动登录到 SAP Business Technology Platform。
  • 在中心位置管理帐户。

先决条件

若要开始操作,需备齐以下项目:

  • 一个 Microsoft Entra 订阅。 如果你没有订阅,可以获取一个免费帐户
  • 已启用 SAP Business Technology Platform 单一登录 (SSO) 的订阅。

重要

用户需要部署自己的应用程序或订阅 SAP Business Technology Platform 帐户上的应用程序来测试单一登录。 在本教程中,会在帐户中部署应用程序。

方案描述

在本教程中,你将在测试环境中配置并测试 Microsoft Entra 单一登录。

  • SAP Business Technology Platform 支持 SP 启动的 SSO。

若要配置 SAP Business Technology Platform 与 Microsoft Entra ID 的集成,需要从库中将 SAP Business Technology Platform 添加到托管 SaaS 应用程序列别。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览至“标识”>“应用程序”>“企业应用程序”>“新建应用程序”。
  3. 在“从库中添加”部分,在搜索框中键入“SAP Business Technology Platform”。
  4. 从结果面板中选择“SAP Business Technology Platform”,然后添加应用。 在该应用添加到租户时等待几秒钟。

或者,也可以使用企业应用配置向导。 在此向导中,可以将应用程序添加到租户、将用户/组添加到应用、分配角色,以及逐步完成 SSO 配置。 详细了解 Microsoft 365 向导。

配置和测试 SAP Business Technology Platform 的 Microsoft Entra SSO

使用名为“B.Simon”的测试用户通过 SAP Business Technology Platform 配置和测试 Microsoft Entra SSO。 若使 SSO 起作用,需要在 Microsoft Entra 用户与 SAP Business Technology Platform 中的相关用户之间建立链接关系。

若要配置并测试 SAP Business Technology Platform 的 Microsoft Entra SSO,请执行以下步骤:

  1. 配置 Microsoft Entra SSO - 使用户能够使用此功能。
    1. 创建 Microsoft Entra 测试用户 - 使用 Britta Simon 测试 Microsoft Entra 单一登录。
    2. 分配 Microsoft Entra 测试用户 - 使 Britta Simon 能够使用 Microsoft Entra 单一登录。
  2. 配置 SAP Business Technology Platform SSO - 以在应用程序端配置“单一登录”设置。
    1. 创建 SAP Business Technology Platform 测试用户 - 以在 SAP Business Technology Platform 中拥有 Britta Simon 的对应方,该对应方链接到用户的 Microsoft Entra 表示。
  3. 测试 SSO - 验证配置是否正常工作。

配置 Microsoft Entra SSO

按照以下步骤启用 Microsoft Entra SSO。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“SAP Business Technology Platform”>“单一登录”。

  3. 在“选择单一登录方法”页上选择“SAML” 。

  4. 在“设置 SAML 单一登录”页面上,单击“基本 SAML 配置”旁边的铅笔图标以编辑设置 。

    Edit Basic SAML Configuration

  5. 在“基本 SAML 配置”部分,输入以下字段的值:

    a. 在“标识符”文本框,将提供 SAP Cloud Platform 的 URL,使用以下一种模式键入 URL:

    Identifier
    https://hanatrial.ondemand.com/<instancename>
    https://hana.ondemand.com/<instancename>
    https://us1.hana.ondemand.com/<instancename>
    https://ap1.hana.ondemand.com/<instancename>

    b. 在“回复 URL”文本框中,使用以下一种模式键入 URL:

    回复 URL
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>
    https://<subdomain>.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

    c. 在“登录 URL”文本框中,键入用户用于登录 SAP Business Technology Platform 应用程序的 URL。 这是 SAP Business Technology Platform 应用程序中受保护资源的特定于帐户的 URL。 URL 基于以下模式:https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

    注意

    这是 SAP Business Technology Platform 应用程序中要求用户进行身份验证的 URL。

    登录 URL
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>

    注意

    这些不是实际值。 请使用实际的“标识符”、“回复 URL”和“登录 URL”更新这些值。 请联系 SAP Business Technology Platform 客户端支持团队获取登录 URL 和标识符。 可以从“信任管理”部分获取回复 URL,本教程稍后将会介绍。

  6. 在“使用 SAML 设置单一登录”页的“SAML 签名证书”部分,单击“下载”以根据要求下载从给定选项提供的“联合元数据 XML”并将其保存在计算机上 。

    The Certificate download link

创建 Microsoft Entra 测试用户

在本部分,你将创建名为 B.Simon 的测试用户。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“用户”>“所有用户”。
  3. 选择屏幕顶部的“新建用户”>“创建新用户”。
  4. 在“用户”属性中执行以下步骤
    1. 在“显示名称”字段中输入 B.Simon
    2. 在“用户主体名称”字段中,输入 username@companydomain.extension。 例如 B.Simon@contoso.com
    3. 选中“显示密码”复选框,然后记下“密码”框中显示的值。
    4. 选择“查看 + 创建”。
  5. 选择“创建”。

分配 Microsoft Entra 测试用户

在本部分,你将通过授予 B. Simon 访问 SAP Business Technology Platform 的权限,使其能够使用单一登录。

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“SAP Business Technology Platform”。
  3. 在应用的概述页面中,选择“用户和组”。
  4. 选择“添加用户/组”,然后在“添加分配”对话框中选择“用户和组” 。
    1. 在“用户和组”对话框中,从“用户”列表中选择“B.Simon”,然后单击屏幕底部的“选择”按钮。
    2. 如果你希望将某角色分配给用户,可以从“选择角色”下拉列表中选择该角色。 如果尚未为此应用设置任何角色,你将看到选择了“默认访问权限”角色。
    3. 在“添加分配”对话框中,单击“分配”按钮。

配置 SAP Business Technology Platform SSO

  1. 在另一个 Web 浏览器窗口中,登录到 SAP Business Technology Platform Cockpit,网址为 https://account.<landscape host>.ondemand.com/cockpit(例如:https://account.hanatrial.ondemand.com/cockpit)。

  2. 单击“信任” 选项卡。

    Trust

  3. 在“信任管理”部分中的“本地服务提供程序”下,执行以下步骤:

    Screenshot that shows the

    a. 单击 “编辑”

    b. 对于“配置类型” ,选择“自定义” 。

    c. 对于“本地提供程序名称” ,保留默认值。 复制此值并将其粘贴到 SAP Business Technology Platform 的 Microsoft Entra 配置中的“标识符”字段中。

    d. 若要生成签名密钥签名证书密钥对,请单击“生成密钥对” 。

    e. 对于“主体传播” ,选择“禁用” 。

    f. 对于“强制身份验证” ,选择“禁用” 。

    g. 单击“保存” 。

  4. 保存“本地服务提供程序”设置后,执行以下步骤获取回复 URL:

    Get Metadata

    a. 单击“获取元数据”下载 SAP Business Technology Platform 元数据文件。

    b. 打开下载的 SAP Business Technology Platform 元数据 XML 文件,并找到 ns3:AssertionConsumerService 标记。

    c. 复制 Location 属性的值,并将其粘贴到 SAP Business Technology Platform 的 Microsoft Entra 配置中的“回复 URL”字段。

  5. 单击“受信任的标识提供者” 选项卡,并单击“添加受信任的标识提供者” 。

    Screenshot that shows the

    注意

    若要管理受信任的标识提供者的列表,需要已在本地服务提供程序部分中选择自定义配置类型。 如果选择“默认”配置类型,则对 SAP ID 服务有不可编辑的隐式信任。 如果选择“无”,则不具有任何信任设置。

  6. 单击“常规” 选项卡,并单击“浏览” 以上载已下载的元数据文件。

    Trust Management

    注意

    上传元数据文件后,会自动填充“单一登录 URL”、“单一注销 URL”和“签名证书”的值。

  7. 单击“属性”选项卡 。

  8. 在“属性” 选项卡中,执行以下步骤:

    Attributes

    a. 单击“添加基于断言的属性” ,并添加以下基于断言的属性:

    断言属性 主体属性
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 电子邮件

    注意

    属性的配置取决于如何开发 SCP 上的应用程序,即它们应在 SAML 响应中预期哪些属性,以及它们在哪个名称(主体属性)下通过代码访问此属性。

    b. 屏幕截图中的默认属性仅用于说明目的。 它并不是使方案正常工作所必需的。

    c. 屏幕截图中所示的主体属性的名称和值取决于如何开发应用程序。 很可能应用程序需要不同的映射。

基于断言的组

可选步骤是,可以为 Microsoft Entra 标识提供者配置基于断言的组。

使用 SAP Business Technology Platform 上的组,可以在 SAP Business Technology Platform 应用程序中动态地将一个或多个用户分配给一个或更多角色,这由 SAML 2.0 断言中的属性值决定。

例如,如果断言包含属性“contract=temporary”,你可能希望将所有受影响的用户添加到组“TEMPORARY” 。 组“TEMPORARY”可能包含 SAP Business Technology Platform 帐户中部署的一个或多个应用程序中的一个或多个角色。

若想要同时将多个用户分配到 SAP Business Technology Platform 帐户中应用程序的一个或多个角色,请使用基于断言的组。 如果只想将一个或少量用户分配给特定角色,建议在 AP Business Technology Platform 考核中心的“授权”选项卡中直接分配这些用户。

创建 SAP Business Technology Platform 测试用户

为了使 Microsoft Entra 用户能够登录到 SAP Business Technology Platform,必须为他们分配 SAP Business Technology Platform 中的角色。

若要向用户分配角色,请执行以下步骤:

  1. 登录 SAP Business Technology Platform 考核中心。

  2. 执行以下操作:

    Authorizations

    a. 单击“授权” 。

    b. 单击“用户” 选项卡。

    c. 在“用户” 文本框中,键入用户的电子邮件地址。

    d. 单击“分配” ,将用户分配到角色。

    e. 单击“ 保存”。

测试 SSO

在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。

  • 单击“测试此应用程序”,这会重定向到 SAP Business Technology Platform 登录 URL,可以从那里启动登录流。

  • 直接转到 SAP Business Technology Platform 登录 URL,并从那里启动登录流。

  • 你可使用 Microsoft 的“我的应用”。 单击“我的应用”中的 SAP Business Technology Platform 磁贴时,应该会自动登录到为其设置了 SSO 的 SAP Business Technology Platform。 有关“我的应用”的详细信息,请参阅“我的应用”简介

后续步骤

配置 SAP Business Technology Platform 后,可以强制实施会话控制,实时防止组织的敏感数据发生外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制