Kurz: Integrace jednotného přihlašování Microsoft Entra s platformou SAP Business Technology Platform

V tomto kurzu se dozvíte, jak integrovat SAP Business Technology Platform s Microsoft Entra ID. Když integrujete platformu SAP Business Technology Platform s Microsoft Entra ID, můžete:

• Řízení v Microsoft Entra ID, který má přístup k platformě SAP Business Technology Platform.
• Povolte uživatelům, aby se pomocí svých účtů Microsoft Entra automaticky přihlásili k platformě SAP Business Technology Platform.
• Spravujte účty v jednom centrálním umístění.

Požadavky

Abyste mohli začít, potřebujete následující položky:

• Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
• Předplatné s povoleným jednotným přihlašováním (SSO) platformy SAP Business Technology Platform

Důležitý

K otestování jednotného přihlašování musíte nasadit vlastní aplikaci nebo přihlásit se k odběru aplikace na účtu PLATFORMY SAP Business Technology Platform. V tomto kurzu se v účtu nasadí aplikace.

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

• SAP Business Technology Platform podporuje jednotné přihlašování (SSO) iniciované SP.

Přidat platformu SAP Business Technology Platform z galerie

Pokud chcete nakonfigurovat integraci platformy SAP Business Technology Platform do Microsoft Entra ID, musíte do svého seznamu spravovaných aplikací SaaS přidat platformu SAP Business Technology Platform z galerie.

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce cloudových aplikací.
2. Přejděte na Identita>Aplikace>Podnikové aplikace>Nová aplikace.
3. V části Přidat z galerie zadejte SAP Business Technology Platform do vyhledávacího pole.
4. Na panelu výsledků vyberte SAP Business Technology Platform a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít průvodce konfigurací podnikové aplikace . V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Další informace o průvodcích Microsoft 365

Konfigurace a testování jednotného přihlašování Microsoft Entra pro platformu SAP Business Technology Platform

Konfigurace a otestování jednotného přihlašování Microsoft Entra s platformou SAP Business Technology Platform pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem na platformě SAP Business Technology Platform.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s platformou SAP Business Technology Platform, proveďte následující kroky:

1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
   1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí Britta Simon.
   2. Přiřaďte testovacího uživatele Microsoft Entra – aby britta Simon mohl používat jednotné přihlašování Microsoft Entra.
2. Nastavení jednotného přihlašování na platformě SAP Business Technology Platform - konfigurace nastavení Single Sign-On na straně aplikace.
   1. Vytvořit testovacího uživatele pro SAP Business Technology Platform - aby existoval protějšek Britty Simon v SAP Business Technology Platform, který je propojen s reprezentací uživatele Microsoft Entra.
3. Test SSO – ověřit, zda konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Postupujte podle těchto kroků, aby jste povolili jednotné přihlašování (SSO) Microsoft Entra.

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce cloudových aplikací.

2. Přejděte na Identity>Aplikace>Podnikové aplikace>SAP Business Technology Platform>Jednotné přihlašování.

3. Na stránce Vyberte metodu jednotného přihlašování vyberte SAML .

4. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro Základní konfigurace SAML a upravte nastavení.

   

5. V části Základní konfigurace SAML zadejte hodnoty následujících polí:

   a. Do textového pole Identifikátor zadáte adresu URL platformy SAP Business Technology Platform pomocí jednoho z následujících vzorů:

   identifikátor
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí jednoho z následujících vzorů:

   Odpovědní URL adresa
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. Do textového pole Přihlašovací adresa URL zadejte adresu URL, kterou uživatelé používají k přihlášení k aplikaci SAP Business Technology Platform. Jedná se o URL adresu chráněného zdroje specifického pro účet ve vaší aplikaci SAP Business Technology Platform. Adresa URL je založená na následujícím vzoru: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Poznámka

   Toto je adresa URL v aplikaci SAP Business Technology Platform, která vyžaduje, aby se uživatel ověřil.

   Přihlašovací URL adresa
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Poznámka

   Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem, adresou URL pro odpovědi a adresou URL pro přihlášení. Obraťte se na tým podpory klientů platformy SAP Business Technology Platform, pokud chcete získat Sign-On adresu URL a identifikátor. Adresa URL odpovědi, kterou můžete získat z oddílu správy důvěryhodnosti, který je vysvětlen později v tomto kurzu.

6. Na stránce Nastavit jeden Sign-On se službou SAML v části Podpisový certifikát SAML kliknutím na Stáhnout stáhněte XML federačních metadat z uvedených možností podle vašeho požadavku a uložte ho do počítače.

   

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce uživatelů.
2. Přejděte na Identity>Uživatelé>Všichni uživatelé.
3. Vyberte Nový uživatel>Vytvořit nového uživatele, v horní části obrazovky.
4. Ve vlastnostech User postupujte takto:
   1. Do pole Zobrazovaný název zadejte B.Simon.
   2. Do pole Hlavní název uživatele zadejte username@companydomain.extension. Například B.Simon@contoso.com.
   3. Zaškrtněte políčko Zobrazit heslo a poznamenejte si hodnotu zobrazenou v poli Heslo.
   4. Vyberte položku Zkontrolujte a vytvořte.
5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k platformě SAP Business Technology Platform.

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce cloudových aplikací.
2. Přejděte na Identity>Aplikace>Podnikové aplikace>SAP Business Technology Platform.
3. Na stránce s přehledem aplikace zvolte Uživatelé a skupiny.
4. Vyberte Přidat uživatele nebo skupiny, pak v dialogu Přidat přiřazení vyberte Uživatelé a skupiny.
   1. V dialogovém okně Uživatelé a skupiny vyberte v seznamu Uživatelé B.Simon a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
   2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli. Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
   3. V dialogovém okně Přidat úkol klikněte na tlačítko Přiřadit.

Konfigurujte SSO na platformě SAP Business Technology Platform

1. V jiném okně webového prohlížeče se přihlaste ke SAP Business Technology Platform kokpitu na https://account.<landscape host>.ondemand.com/cockpit(například: https://account.hanatrial.ondemand.com/cockpit).

2. Klikněte na kartu Důvěryhodnost.

   důvěryhodnosti

3. V části Správa důvěryhodnosti, pod Místní poskytovatel služeb, proveďte následující kroky:

   Správa důvěry

   a. Klikněte na Upravit.

   b. Jako typ konfiguracevyberte vlastní.

   c. Jako název místního zprostředkovateleponechte výchozí hodnotu. Zkopírujte tuto hodnotu a vložte ji do pole Identifikátor v konfiguraci Microsoft Entra pro platformu SAP Business Technology Platform.

   d. Chcete-li vygenerovat podpisového klíče a pár klíčů podpisového certifikátu, klikněte na Vygenerovat pár klíčů.

   e. Jako šíření identifikacevyberte Zakázáno.

   f. Jako Nucené ověřenívyberte možnost Zakázáno.

   g. Klikněte na Uložit.

4. Po uložení nastavení místního poskytovatele služeb získejte adresu URL odpovědi následujícím postupem:

   

   a. Stáhněte soubor metadat SAP Business Technology Platform kliknutím na Získat metadata.

   b. Otevřete stažený soubor XML metadat platformy SAP Business Technology Platform a vyhledejte značku ns3:AssertionConsumerService.

   c. Zkopírujte hodnotu atributu Location a vložte ji do pole Adresa URL odpovědi v konfiguraci Microsoft Entra pro platformu SAP Business Technology Platform.

5. Klikněte na kartu Důvěryhodný zprostředkovatel identity a potom klikněte na Přidat důvěryhodného zprostředkovatele identity.

   

   Poznámka

   Pokud chcete spravovat seznam důvěryhodných zprostředkovatelů identity, musíte v části Místní poskytovatel služeb zvolit vlastní typ konfigurace. Pro výchozí typ konfigurace máte neupravitelný a implicitní vztah důvěryhodnosti ke službě SAP ID. Pro žádné nemáte nastavení důvěryhodnosti.

6. Klikněte na kartu Obecné a potom kliknutím na Procházet nahrajte stažený soubor metadat.

   

   Poznámka

   Po nahrání souboru metadat se automaticky vyplní hodnoty pro adresu URL jednotného přihlašování , adresu URL pro jednotné odhlášení a podpisový certifikát .

7. Klikněte na kartu Atributy.

8. Na kartě Atributy proveďte následující krok:

   

   a. Klikněte na Přidat Assertion-Based Atributa přidejte následující atributy založené na aserci:

   Atribut kontrolního výrazu	Hlavní atribut
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	křestní jméno
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	příjmení
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	E-mail

   Poznámka

   Konfigurace atributů závisí na tom, jak se aplikace na SCP vyvíjejí. To znamená, jaké atributy očekávají v odpovědi SAML a pod kterým názvem (hlavní atribut) přistupují k tomuto atributu v kódu.

   b. Výchozí atribut na snímku obrazovky je určený jenom pro ilustraci. Není nutné, aby scénář fungoval.

   c. Názvy a hodnoty pro Principal Attribute zobrazené na snímku obrazovky závisí na způsobu vývoje aplikace. Je možné, že vaše aplikace vyžaduje různá mapování.

Skupiny založené na tvrzeních

Jako volitelný krok můžete nakonfigurovat skupiny založené na tvrzeních pro zprostředkovatele identity Microsoft Entra.

Použití skupin na platformě SAP Business Technology Platform umožňuje dynamicky přiřadit jednoho nebo více uživatelů k jedné nebo více rolím v aplikacích PLATFORMY SAP Business Technology Platform určených hodnotami atributů v kontrolním výrazu SAML 2.0.

Pokud například kontrolní výraz obsahuje atribut "contract=temporary", můžete chtít, aby všichni ovlivnění uživatelé měli být přidáni do skupiny "TEMPORARY". SkupinaTEMPORARYmůže obsahovat jednu nebo více rolí z jedné nebo více aplikací nasazených v účtu platformy SAP Business Technology Platform.

Použijte asertivně založené skupiny, pokud chcete současně přiřadit mnoho uživatelů k jedné nebo více rolím v aplikacích ve vašem účtu na platformě SAP Business Technology Platform. Pokud chcete přiřadit pouze jednoho nebo malý počet uživatelů ke konkrétním rolím, doporučujeme je přiřadit přímo na kartě "Autorizace" v kokpitu SAP Business Technology Platform.

Vytvoření testovacího uživatele platformy SAP Business Technology Platform

Aby se uživatelé Microsoft Entra mohli přihlásit k platformě SAP Business Technology Platform, musíte jim přiřadit role v platformě SAP Business Technology Platform.

Přiřazení role uživateli proveďte následující kroky:

1. Přihlaste se do svého SAP Business Technology Platform kokpitu.

2. Proveďte následující:

   

   a. Klikněte na Autorizace.

   b. Klikněte na kartu Uživatelé.

   c. Do textového pole Uživatel zadejte e-mailovou adresu uživatele.

   d. Kliknutím na Přiřadit přiřadíte uživateli roli.

   e. Klikněte na Uložit.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

• Klikněte na Otestovat tuto aplikaci, budete přesměrováni na přihlašovací adresu URL platformy SAP Business Technology Platform, kde můžete zahájit proces přihlášení.

• Přejděte přímo na přihlašovací adresu URL platformy SAP Business Technology Platform a spusťte tok přihlášení odsud.

• Můžete použít Microsoft My Apps. Když kliknete na dlaždici SAP Business Technology Platform v části Moje aplikace, měli byste být automaticky přihlášení k platformě SAP Business Technology Platform, pro kterou jste nastavili jednotné přihlašování. Další informace o My Apps najdete v části Úvod doMoje aplikace.

Další kroky

• Jakmile nakonfigurujete platformu SAP Business Technology Platform, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Naučte se vynucovat řízení relací pomocí programu Microsoft Defender for Cloud Apps.
• Správa přístupu k aplikacím SAP BTP prostřednictvím skupin