教學課程:Microsoft Entra 單一登入 (SSO) 與 SAP Fiori 整合
在本教學課程中,您會了解如何將 SAP Fiori 與 Microsoft Entra ID 整合。 將 SAP Fiori 與 Microsoft Entra ID 整合時,您可以:
- 在 Microsoft Entra ID 中控制可存取 SAP Fiori 的人員。
- 讓您的使用者以其 Microsoft Entra 帳戶自動登入 SAP Fiori。
- 在一個集中式位置管理您的帳戶。
必要條件
若要開始使用,您需要下列項目:
- Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶。
- 已啟用 SAP Fiori 單一登入 (SSO) 的訂用帳戶。
案例描述
在本教學課程中,您會在測試環境中設定及測試 Microsoft Entra SSO。
- SAP Fiori 支援由 SP 起始的 SSO
注意
針對 SAP Fiori 起始的 iFrame 驗證,建議您在 SAML AuthnRequest 中使用 IsPassive 參數來進行無訊息驗證。 如需 IsPassive 參數的詳細資訊,請參閱 Microsoft Entra SAML 單一登入 資訊。
從資源庫新增 SAP Fiori
若要進行將 SAP Fiori 整合到 Microsoft Entra ID 中的設定,您必須從資源庫將 SAP Fiori 新增至受控 SaaS 應用程式清單。
- 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [新增應用程式]。
- 在 [從資源庫新增] 區段的搜尋方塊中輸入 [SAP Fiori]。
- 從結果面板選取 [SAP Fiori],然後新增應用程式。 將應用程式新增至您的租用戶時,請稍候幾秒鐘。
或者,您也可以使用企業應用程式組態精靈。 在此精靈中,您可以將應用程式新增至租用戶、將使用者/群組新增至應用程式、指派角色,以及逐步進行 SSO 設定。 深入了解 Microsoft 365 精靈。
設定及測試適用於 SAP Fiori 的 Microsoft Entra SSO
以名為 B.Simon 的測試使用者,設定及測試使用 SAP Fiori 的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 SAP Fiori 中相關使用者之間的連結關聯性。
若要設定及測試使用 SAP Fiori 的 Microsoft Entra SSO,請執行下列步驟:
- 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
- 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登入。
- 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 使用 Microsoft Entra 單一登入。
- 設定 SAP Fiori SSO - 在應用程式端設定單一登入設定。
- 建立 SAP Fiori 測試使用者 - 使 SAP Fiori 中對應的 B.Simon 連結到該使用者在 Microsoft Entra 中的代表項目。
- 測試 SSO - 確認組態是否正常運作。
設定 Microsoft Entra SSO
遵循下列步驟來啟用 Microsoft Entra SSO。
開啟新的網頁瀏覽器視窗,並以系統管理員身分登入您的 SAP Fiori 公司網站。
確定 http 和 https 服務為作用中,且相關連接埠已指派給交易代碼 SMICM。
登入 SAP 系統 T01 的 SAP 商務用戶端,此為需要單一登入之處。 接著,啟動 HTTP 安全性工作階段管理。
移至交易代碼 SICF_SESSIONS。 此處會顯示所有的相關設定檔參數及其目前的值。 其內容如下範例所示:
login/create_sso2_ticket = 2 login/accept_sso2_ticket = 1 login/ticketcache_entries_max = 1000 login/ticketcache_off = 0 login/ticket_only_by_https = 0 icf/set_HTTPonly_flag_on_cookies = 3 icf/user_recheck = 0 http/security_session_timeout = 1800 http/security_context_cache_size = 2500 rdisp/plugin_auto_logout = 1800 rdisp/autothtime = 60注意
請根據您的組織需求調整這些參數。 上述參數僅供範例說明之用。
如有需要,請在 SAP 系統的執行個體 (預設) 設定檔中調整參數,並重新啟動 SAP 系統。
按兩下相關用戶端,以啟用 HTTP 安全性工作階段。
![SAP 中的 [相關設定檔參數] 頁面目前的值](media/sapfiori-tutorial/tutorial-sapnetweaver-profileparameter.png)
啟用下列 SICF 服務:
/sap/public/bc/sec/saml2 /sap/public/bc/sec/cdc_ext_service /sap/bc/webdynpro/sap/saml2 /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
在 SAP 系統 [T01/122] 的商務用戶端中,移至交易代碼 SAML2。 設定 UI 會在新的瀏覽器視窗中開啟。 在此範例中,我們使用 SAP 系統 122 的的商務用戶端。
輸入您的使用者名稱和密碼,然後選取 [登入]。
![SAP 中的 [ABAP 系統 T01/122] 頁面的 SAML 2.0 組態](media/sapfiori-tutorial/tutorial-sapnetweaver-userpwd.png)
在 [提供者名稱] 方塊中,將 T01122 取代為 http://T01122,然後選取 [儲存]。
注意
根據預設,提供者名稱會採用 <sid><client> 的格式。 Microsoft Entra ID 預期該名稱應採用 <protocol>://<name> 的格式。 建議您保留 https://<sid><client> 格式的提供者名稱,以便在 Microsoft Entra ID 中設定多個 SAP Fiori ABAP 引擎。
![SAP 中的 [ABAP 系統 T01/122] 頁面的 SAML 2.0 組態中已更新的提供者名稱](media/sapfiori-tutorial/tutorial-sapnetweaver-providername.png)
選取 [本機提供者] 索引標籤>[中繼資料]。
在 [SAML 2.0 中繼資料] 對話方塊中,下載產生的中繼資料 XML 檔案,並將其儲存在您的電腦上。
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[SAP Fiori]>[單一登入]。
在 [選取單一登入方法] 頁面上,選取 [SAML]。
在 [以 SAML 設定單一登入] 頁面上,按一下 [基本 SAML 設定] 的鉛筆圖示,以編輯設定。
如果您有服務提供者中繼資料檔案,請在 [基本 SAML 設定] 區段上執行下列步驟:
按一下 [上傳中繼資料檔案]。
按一下資料夾圖示以選取中繼資料檔案,然後按一下 [上傳]。
成功上傳中繼資料檔案後,就會在 [基本 SAML 設定] 窗格中自動填入 [識別碼] 和 [回覆 URL] 值。 在 [登入 URL] 方塊中,輸入具有下列模式的 URL:
https://<your company instance of SAP Fiori>。注意
某些客戶遇到錯誤,指出我們為其執行個體設定的回覆 URL 不正確。 如果您收到任何這類錯誤,請使用這些 PowerShell 命令。 請先使用回覆 URL 更新應用程式物件中的回覆 URL,然後更新服務主體。 使用 Get-MgServicePrincipal 來取得服務主體識別碼和值。
$params = @{ web = @{ redirectUris = "<Your Correct Reply URL>" } } Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
SAP Fiori 應用程式需要特定格式的 SAML 判斷提示。 設定此應用程式的下列宣告。 若要管理這些屬性值,請在 [以 SAML 設定單一登入] 窗格中選取 [編輯]。
![[使用者屬性] 窗格](common/edit-attribute.png)
在 [使用者屬性和宣告] 窗格中,依照上圖的說明設定 SAML 權杖屬性。 然後完成下列步驟:
選取 [編輯] 以開啟 [管理使用者宣告] 窗格。
在 [轉換] 清單中,選取 [ExtractMailPrefix()]。
從 [參數 1] 清單中,選取 [user.userprincipalname]。
選取 [儲存]。
![[管理使用者宣告] 窗格](media/sapfiori-tutorial/nameidattribute.png)
![在 [管理使用者宣告] 窗格中的 [轉換] 區段](media/sapfiori-tutorial/nameidattribute1.png)
在 [以 SAML 設定單一登入] 頁面上的 [SAML 簽署憑證] 區段中,尋找 [同盟中繼資料 XML],然後選取 [下載],以下載憑證並將其儲存在電腦上。
在 [設定 SAP Fiori] 區段上,根據您的需求複製適當的 URL。
建立 Microsoft Entra 測試使用者
在本節中,您將建立名為 B.Simon 的測試使用者。
- 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
- 在畫面頂端選取 [新增使用者]>[建立新使用者]。
- 在 [使用者] 屬性中,執行下列步驟:
- 在 [顯示名稱] 欄位中,輸入
B.Simon。 - 在 [使用者主體名稱] 欄位中,輸入 username@companydomain.extension。 例如:
B.Simon@contoso.com。 - 選取 [顯示密碼] 核取方塊,然後記下 [密碼] 方塊中顯示的值。
- 選取 [檢閱 + 建立]。
- 在 [顯示名稱] 欄位中,輸入
- 選取 建立。
指派 Microsoft Entra 測試使用者
在本節中,您會將 SAP Fiori 的存取權授與 B.Simon,讓其能夠使用單一登入。
- 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[SAP Fiori]。
- 在應用程式的概觀頁面中,選取 [使用者和群組]。
- 選取 [新增使用者/群組],然後在 [新增指派] 對話方塊中選取 [使用者和群組]。
- 在 [使用者和群組] 對話方塊中,從 [使用者] 列表中選取 [B.Simon],然後按一下畫面底部的 [選取] 按鈕。
- 如果您預期將角色指派給使用者,則可以從 [選取角色] 下拉式清單中選取該角色。 如果未為此應用程式設定任何角色,您會看到已選取 [預設存取權] 角色。
- 在 [新增指派] 對話方塊中,按一下 [指派] 按鈕。
設定 SAP Fiori SSO
登入 SAP 系統並移至交易代碼 SAML2。 在新瀏覽器視窗中開啟 SAML 設定頁面。
若要設定信任的識別提供者 (Microsoft Entra ID) 的端點,請選取 [信任的提供者] 索引標籤。
![SAP 中的 [信任的提供者] 索引標籤](media/sapfiori-tutorial/tutorial-sapnetweaver-samlconfig.png)
選取 [新增],然後從操作功能表中選取 [上傳中繼資料檔案]。
上傳您下載的中繼資料檔案。 選取 [下一步]。
在下一個頁面的 [別名] 方塊中,輸入別名名稱。 例如 aadsts。 選取 [下一步]。
![SAP 中的 [別名] 方塊](media/sapfiori-tutorial/tutorial-sapnetweaver-aliasname.png)
確定 [演算法] 方塊中的值為 SHA-256。 選取 [下一步]。
在 [單一登入端點] 下方選取 [HTTP POST],然後選取 [下一步]。
在 [單一登出端點] 下方選取 [HTTP 重新導向],然後選取 [下一步]。
在 [成品端點] 下方選取 [下一步],以繼續操作。
在 [驗證需求] 下方,選取 [完成]。
選取 [信任的提供者]>[身分識別同盟] (位於頁面底部)。 選取編輯。
![SAP 中的 [信任的提供者] 和 [身分識別同盟] 索引標籤](media/sapfiori-tutorial/tutorial-sapnetweaver-trustedprovider.png)
選取 [新增]。
![[身分識別同盟] 索引標籤上的新增選項](media/sapfiori-tutorial/tutorial-sapnetweaver-addidentityprovider.png)
在 [支援的 NameID 格式] 對話方塊中,選取 [未指定]。 選取 [確定]。
![SAP 中的 [支援的 NameID 格式] 對話方塊和選項](media/sapfiori-tutorial/tutorial-sapnetweaver-nameid.png)
[使用者識別碼來源] 和 [使用者識別碼對應模式] 的值會決定 SAP 使用者與 Microsoft Entra 宣告之間的連結。
案例 1:SAP 使用者 Microsoft Entra 使用者對應
在 SAP 中的 [NameID 格式「未指定」的詳細資料] 下方,記下詳細資料:
![螢幕擷取畫面:顯示 SAP 中 [「未指定」NameID 格式的詳細資料] 對話方塊。](media/sapfiori-tutorial/nameiddetails.png)
在 Azure 入口網站中的 [使用者屬性和宣告] 下方,記下 Microsoft Entra ID 中的必要宣告。
![螢幕擷取畫面:顯示 [使用者屬性和宣告] 對話方塊。](media/sapfiori-tutorial/claimsaad1.png)
案例 2:根據 SU01 中設定的電子郵件地址選取 SAP 使用者識別碼。 在此情況下,應針對每個需要 SSO 的使用者在 SU01 中設定電子郵件識別碼。
在 SAP 中的 [NameID 格式「未指定」的詳細資料] 下方,記下詳細資料:
![SAP 中的 [NameID 格式「未指定」的詳細資料] 對話方塊](media/sapfiori-tutorial/tutorial-sapnetweaver-nameiddetails1.png)
在 Azure 入口網站中的 [使用者屬性和宣告] 下方,記下 Microsoft Entra ID 中的必要宣告。
![Azure 入口網站中的 [使用者屬性與宣告] 對話方塊](media/sapfiori-tutorial/claimsaad2.png)
選取 [儲存],然後選取 [啟用] 以啟用識別提供者。
提示時選取 [確定]。
![SAP 中的 [SAML 2.0 組態] 對話方塊中的 [確定] 選項](media/sapfiori-tutorial/configuration2.png)
建立 SAP Fiori 測試使用者
在本節中,您會在 SAP Fiori 中建立名為 Britta Simon 的使用者。 請與您內部的 SAP 專家小組合作,或與組織的 SAP 夥伴合作,在 SAP Fiori 平台中新增使用者。
測試 SSO
在 SAP Fiori 中啟用識別提供者 Microsoft Entra ID 之後,請嘗試存取下列其中一個 URL,以測試單一登入 (系統應該不會提示您輸入使用者名稱和密碼):
https://<sap-url>/sap/bc/bsp/sap/it00/default.htmhttps://<sap-url>/sap/bc/bsp/sap/it00/default.htm
注意
請將
<sap-url>取代為實際的 SAP 主機名稱。測試 URL 應該會將您導向至 SAP 中的下列測試應用程式頁面。 如果此頁面開啟,表示 Microsoft Entra 單一登入已成功設定。
如果系統提示您輸入使用者名稱和密碼,請啟用追蹤以利診斷問題。 使用下列 URL 追蹤:
https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.
下一步
設定 SAP Fiori 後,您可以強制執行工作階段控制項,以即時防止組織的敏感資料遭到外洩和滲透。 工作階段控制項會從條件式存取延伸。 了解如何使用適用於雲端的 Microsoft Defender 應用程式來強制執行工作階段控制項。