你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

为 Power Platform 启用 SAP 主体传播和 SSO

项目
08/22/2024

在低代码解决方案中使用 SAP 接口是客户常见的要求。

本文介绍通过 OData 和旧版 RFC/BAPI 接口与 SAP 系统交互所需的基础性配置和组件。

本文将重点介绍如何在 Power Platform 中和对 SAP 后端用户使用 Microsoft Entra 标识进行安全授权。此机制通常称为 SAP 主体传播。有关更多详细信息，请参阅此社区帖子。

重要

SAP 主体传播可确保用户映射到已获授权的命名 SAP 用户。有关任何 SAP 许可证相关问题，请联系 SAP 代表。

注意

本指导也适用于 Azure 逻辑应用、Azure Functions、Azure 容器应用和 Azure 应用服务。

Power Platform 中的 SAP ERP 连接器

SAP ERP 连接器 (RFC/BAPI) 的设计可支持多个用户同时访问和使用应用程序；因此不会共享连接。用户凭据在连接中提供，而连接到 SAP 系统所需的其他详细信息（如服务器详细信息和安全配置）则作为操作的一部分提供。

启用单一登录 (SSO) 可以轻松地从 SAP 刷新数据，同时遵守 SAP 中配置的用户级权限。您可以通过多种方式设置 SSO 以进行简化的身份和访问管理。

有关更多详细信息，请参阅 Power Platform 文档。

Power Platform 中的 SAP OData 连接器

借助 SAP OData 连接器，可以使用 SAP 生态系统中的任何 OData 服务。

启用 SAP 主体传播后，可以轻松地与数据交互，同时遵守 SAP 中配置的用户级权限。

要详细了解支持的身份验证类型，请参阅 Power Platform 文档。

SAP 主体传播指导

主体传播是 SAP 生态系统的成熟机制。 SAP OData 连接器通过使用客户端 ID 6bee4d13-fd19-43de-b82c-4b6401d174c3 和范围 user_impersonation 提供第一方 Entra ID 应用注册来支持此机制。使用字段 Microsoft Entra ID Resource URI (Application ID URI) 维护有权访问 SAP OData 服务的 Entra ID 应用注册的全局唯一资源 URI。

所述配置重点关注 Azure API 管理、SAP 网关、SAP OAuth 2.0 Server with AS ABAP 和 OData 源，但所用观念适用于任何基于 Web 的资源。

要详细了解本文，请访问 Power Platform 社区。

注意

需要使用企业应用注册在 SAP 后端和 Entra ID 之间建立现有的信任设置。配置需要支持 OAuth2SAMLBearer 流。有关初始步骤的详细信息，请参阅此 Microsoft Learn 文章和此 SAP 博客。