教學課程:Microsoft Entra 單一登入 (SSO) 與 SAP Fiori 整合

  • 發行項

在本教學課程中,您將瞭解如何整合 SAP Fiori 與 Microsoft Entra ID。 在整合 SAP Fiori 與 Microsoft Entra ID 時,您可以.

  • 在 Microsoft Entra 識別碼中控制可存取 SAP Fiori 的人員。
  • 讓使用者使用其 Microsoft Entra 帳戶自動登入 SAP Fiori。
  • 在一個中央位置管理您的帳戶。

必要條件

若要開始使用,您需要下列專案:

  • Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶
  • 已啟用 SAP Fiori 單一登入 (SSO) 的訂用帳戶。

案例描述

在本教學課程中,您會在測試環境中設定及測試 Microsoft Entra SSO。

  • SAP Fiori 支援 由SP 起始的 SSO

注意

針對 SAP Fiori 起始的 iFrame 驗證,我們建議在 SAML AuthnRequest 中使用 IsPassive 參數進行無訊息驗證。 如需IsPassive 參數的詳細資訊請參閱 Microsoft Entra SAML 單一登錄資訊。

若要設定將 SAP Fiori 整合到 Microsoft Entra ID 中,您需要從資源庫將 SAP Fiori 新增到受控 SaaS 應用程式清單。

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [身分>識別應用程式>企業應用程式>] [新增應用程式]。
  3. 在 [ 從資源庫 新增] 區段的搜尋方塊中輸入 SAP Fiori
  4. 從結果面板中選取 [SAP Fiori ],然後新增應用程式。 將應用程式新增至您的租使用者時,請稍候幾秒鐘。

或者,您也可以使用企業 應用程式組態 精靈。 在此精靈中,您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式、指派角色,以及逐步解說 SSO 設定。 深入瞭解 Microsoft 365 精靈。

設定及測試適用於 SAP Fiori 的 Microsoft Entra SSO

以名為 B.Simon 的測試用戶,設定及測試與 SAP Fiori 搭配運作的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 SAP Fiori 中相關使用者之間的連結關聯性。

若要設定及測試與 SAP Fiori 搭配運作的 Microsoft Entra SSO,請執行下列步驟:

  1. 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
    1. 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登錄。
    2. 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 能夠使用 Microsoft Entra 單一登錄。
  2. 設定 SAP Fiori SSO - 在應用程式端設定單一登入設定。
    1. 建立 SAP Fiori 測試使用者 - 使 SAP Fiori 中對應的 B.Simon 連結到該使用者在 Microsoft Entra 中的代表專案。
  3. 測試 SSO - 確認組態是否正常運作。

設定 Microsoft Entra SSO

請遵循下列步驟來啟用 Microsoft Entra SSO。

  1. 開啟新的網頁瀏覽器視窗,並以系統管理員身分登入您的 SAP Fiori 公司網站。

  2. 請確定 HTTP 和 HTTPs 服務為作用中,並將相關的埠指派給交易程式碼 SMICM

  3. 登入 SAP Business Client for SAP 系統 T01,其中需要單一登錄。 接著,啟動 HTTP 安全性工作階段管理。

    1. 移至交易程式代碼 SICF_SESSIONS。 會顯示具有目前值的所有相關配置文件參數。 它們看起來像下列範例:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      注意

      根據您的組織需求調整參數。 上述參數只會以範例的形式提供。

    2. 如有必要,請調整 SAP 系統實例 (預設) 設定檔中的參數,然後重新啟動 SAP 系統。

    3. 按兩下相關的客戶端以啟用 HTTP 安全性工作階段。

      The Current Values of Relevant Profile Parameters page in SAP

    4. 啟用下列 SICF 服務:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. 移至商務用戶端中 SAP 系統 [T01/122] 中的交易程式碼 SAML2 設定 UI 會在新的瀏覽器視窗中開啟。 在此範例中,我們會使用 Business Client for SAP 系統 122。

    The SAP Fiori Business Client sign-in page

  5. 輸入您的使用者名稱和密碼,然後選取 [登入]

    The SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  6. 在 [提供者名稱] 方塊中,將 T01122 取代為 http://T01122,然後選取 [儲存]

    注意

    根據預設,提供者名稱的格式 <為 sid><用戶端>。 Microsoft Entra ID 預期名稱的格式為 <protocol>://<name>。 我們建議您將提供者名稱維護為 https://< sid><用戶端> ,以便您可以在 Microsoft Entra ID 中設定多個 SAP Fiori ABAP 引擎。

    The updated provider name in the SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  7. 選取 [本機提供者] 索引標籤>[元數據]。

  8. 在 [SAML 2.0 中繼資料] 對話方塊中,下載產生的中繼資料 XML 檔案,並將其儲存在您的電腦上。

    The Download Metadata link in the SAP SAML 2.0 Metadata dialog box

  9. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  10. 流覽至 Identity>Applications Enterprise 應用程式>>SAP Fiori>單一登錄。

  11. 在 [ 選取單一登錄方法] 頁面上,選取 [SAML]。

  12. 在 [使用 SAML 設定單一登錄] 頁面上,按兩下 [基本 SAML 組態] 的鉛筆圖示以編輯設定。

    Edit Basic SAML Configuration

  13. 在 [ 基本 SAML 組態 ] 區段上,如果您有 服務提供者元數據檔案,請執行下列步驟:

    1. 按兩下 [ 上傳元數據檔案]。

      Upload metadata file

    2. 按兩下 資料夾標誌 以選取元資料檔案,然後按兩下 [ 上傳]。

      choose metadata file

    3. 成功上傳中繼資料檔案後,就會在 [基本 SAML 設定] 窗格中自動填入 [識別碼] 和 [回覆 URL] 值。 在 [ 登入 URL ] 方塊中,輸入具有下列模式的 URL: https://<your company instance of SAP Fiori>

      注意

      某些客戶遇到針對其實例設定不正確回復 URL 的錯誤。 如果您收到任何這類錯誤,請使用這些 PowerShell 命令。 請先使用回復 URL 更新應用程式物件中的回復 URL,然後更新服務主體。 使用 Get-MgServicePrincipal 取得服務主體標識碼值。

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. SAP Fiori 應用程式需要特定格式的 SAML 判斷提示。 設定此應用程式的下列宣告。 若要管理這些屬性值,請在 [ 使用 SAML 設定單一登錄] 窗格中,選取 [ 編輯]。

    The User attributes pane

  15. 在 [ 用戶屬性和宣告 ] 窗格中,設定 SAML 令牌屬性,如上圖所示。 然後完成下列步驟:

    1. 選取 [編輯] 以開啟 [管理使用者宣告] 窗格。

    2. 在 [轉換] 清單中,選取 [ExtractMailPrefix()]

    3. 在 [ 參數 1] 列表中,選取 user.userprincipalname

    4. 選取 [儲存]。

      The Manage user claims pane

      The Transformation section in the Manage user claims pane

  16. 在 [ 使用 SAML 設定單一登錄] 頁面上的 [SAML 簽署憑證 ] 區段中,尋找 [同盟元數據 XML ],然後選取 [下載 ] 以下載憑證,並將它儲存在您的計算機上。

    The Certificate download link

  17. 在 [ 設定 SAP Fiori ] 區段上,根據您的需求複製適當的 URL。

    Copy configuration URLs

建立 Microsoft Entra 測試使用者

在本節中,您將建立名為 B.Simon 的測試使用者。

  1. 以至少使用者 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
  3. 選取畫面頂端的 [新增使用者>建立新使用者]。
  4. 在 [ 用戶 屬性] 中,遵循下列步驟:
    1. 在 [ 顯示名稱] 欄位中, 輸入 B.Simon
    2. 在 [ 使用者主體名稱] 欄位中, 輸入 username@companydomain.extension。 例如: B.Simon@contoso.com
    3. 選取 [顯示密碼] 複選框,然後記下 [密碼] 方塊中顯示的值。
    4. 選取 [檢閱 + 建立]。
  5. 選取 建立

指派 Microsoft Entra 測試使用者

在本節中,您會將 SAP Fiori 的存取權授與 B.Simon,讓其能夠使用單一登錄。

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [身分>識別應用程式企業應用程式>>SAP Fiori]。
  3. 在應用程式的 [概觀] 頁面中,選取 [ 使用者和群組]。
  4. 選取 [新增使用者/群組],然後在 [新增指派] 對話框中選取 [使用者和群組]。
    1. 在 [ 使用者和群組] 對話框中,從 [使用者] 列表中選取 B.Simon ,然後按兩下畫面底部的 [ 選取 ] 按鈕。
    2. 如果您預期將角色指派給使用者,您可以從 [選取角色] 下拉式清單中選取該 角色 。 如果未為此應用程式設定任何角色,您會看到已選取 [預設存取] 角色。
    3. 在 [新增指派] 對話框中,按兩下 [指派] 按鈕。

設定SAP Fiori SSO

  1. 登入 SAP 系統並移至交易程式代碼 SAML2。 在新瀏覽器視窗中開啟 SAML 設定頁面。

  2. 若要設定信任的識別提供者 (Microsoft Entra ID) 的端點,請選取 [信任的提供者] 索引標籤。

    The Trusted Providers tab in SAP

  3. 選取 [新增],然後從操作功能表中選取 [上傳中繼資料檔案]

    The Add and Upload Metadata File options in SAP

  4. 上傳您下載的元數據檔案。 選取 [下一步]。

    Select the metadata file to upload in SAP

  5. 在下一頁的 [別名] 方塊中,輸入別名名稱。 例如, aadsts。 選取 [下一步]。

    The Alias box in SAP

  6. 確定 [演算法] 方塊中的值為 SHA-256。 選取 [下一步]。

    Verify the Digest Algorithm value in SAP

  7. 在 [單一登錄端點],選取 [HTTP POST],然後選取 [下一步]。

    Single Sign-On Endpoints options in SAP

  8. 在 [單一註銷端點] 底下,選取 [HTTP 重新導向],然後選取 [下一步]。

    Single Logout Endpoints options in SAP

  9. 在 [成品端點]下,選取 [下一步] 以繼續。

    Artifact Endpoints options in SAP

  10. 在 [驗證需求] 底下,選取 [完成]。

    Authentication Requirements options and the Finish option in SAP

  11. 選取 [信任的提供者>識別同盟] (頁面底部)。 選取編輯

    The Trusted Provider and Identity Federation tabs in SAP

  12. 選取新增

    The Add option on the Identity Federation tab

  13. 在 [ 支援的 NameID 格式 ] 對話框中,選取 [未指定]。 選取 [確定]。

    The Supported NameID Formats dialog box and options in SAP

    [使用者識別碼來源] 和 [使用者識別碼對應模式] 的值會決定 SAP 使用者與 Microsoft Entra 宣告之間的連結。

    案例 1:SAP 使用者與 Microsoft Entra 用戶對應

    1. 在 SAP 中,在 [NameID 格式的詳細資料] 底下 「未指定」,記下詳細數據:

      Screenshot that shows the 'Details of NameID Format

    2. 在 Azure 入口網站 的 [用戶屬性和宣告] 下,記下 Microsoft Entra ID 的必要宣告。

      Screenshot that shows the

    案例 2:根據 SU01 中設定的電子郵件地址選取 SAP 用戶識別碼。 在此情況下,應針對每個需要 SSO 的使用者在 SU01 中設定電子郵件識別碼。

    1. 在 SAP 中,在 [NameID 格式的詳細資料] 底下 「未指定」,記下詳細數據:

      The Details of NameID Format

    2. 在 Azure 入口網站 的 [用戶屬性與宣告] 下,記下 Microsoft Entra ID 的必要宣告。

      The User Attributes and Claims dialog box in the Azure portal

  14. 選取 [ 儲存],然後選取 [ 啟用 ] 以啟用識別提供者。

    The Save and Enable options in SAP

  15. 提示時選取 [確定]

    The OK option in SAML 2.0 Configuration dialog box in SAP

建立 SAP Fiori 測試使用者

在本節中,您會在 SAP Fiori 中建立名為 Britta Simon 的使用者。 請與您的內部 SAP 專家或貴組織 SAP 合作夥伴合作,在 SAP Fiori 平臺中新增使用者。

測試 SSO

  1. 在 SAP Fiori 中啟用識別提供者 Microsoft Entra ID 之後,請嘗試存取下列其中一個 URL 來測試單一登錄(您不應該提示您輸入使用者名稱和密碼):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    注意

    將取代 <sap-url> 為實際的 SAP 主機名。

  2. 測試 URL 應該會帶您前往 SAP 中的下列測試應用程式頁面。 如果頁面開啟,已成功設定 Microsoft Entra 單一登錄。

    The standard test application page in SAP

  3. 如果系統提示您輸入使用者名稱和密碼,請啟用追蹤以協助診斷問題。 針對追蹤使用下列 URL:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

下一步

設定 SAP Fiori 後,您可以強制執行工作階段控件,以即時防止組織的敏感數據遭到外洩和滲透。 會話控件會從條件式存取延伸。 瞭解如何使用 適用於雲端的 Microsoft Defender Apps 強制執行會話控件。