Nastavení Microsoft Entra ID, Azure API Management a SAP pro jednotné přihlašování z konektoru SAP OData

Konektor OData Power Platform SAP můžete nastavit tak, aby používal přihlašovací údaje Microsoft Entra ID pro jednotné přihlašování (SSO) do SAP. To umožňuje vašim uživatelům přístup k datům SAP v řešeních Power Platform, aniž by se museli vícekrát přihlašovat k více službám a zároveň respektovat jejich autorizace a přiřazené role v SAP.

Tento článek vás provede celým procesem, včetně nastavení vztahu důvěry mezi SAP a Microsoft Entra ID a konfigurace Azure API Management pro převod tokenu OAuth Microsoft Entra ID na token SAML, který se používá k volání OData do SAP.

Další přehledy a kontext k procesu nastavení můžete získat také v příspěvku na blogu Hurá! Konektor SAP OData nyní podporuje OAuth2 a SAP Principal Propagation.

Předpoklady

• Instance SAP
• Prostředek Azure API Management

Stažení metadat SAML místního poskytovatele ze SAP

Pokud chcete nastavit vztah důvěryhodnosti mezi SAP a Microsoft Entra ID pomocí SAML 2.0, nejprve si stáhněte soubor XML metadat ze SAP.

Proveďte tyto kroky jako správce SAP Basis v SAP GUI.

1. V uživatelském rozhraní SAP spusťte transakci SAML2 a otevřete příslušného průvodce závislého na klientovi SAP a zvolte kartu Místní poskytovatel.

2. Zvolte Metadata a potom vyberte Stáhnout metadata. Metadata SAP SAML nahrajete do Microsoft Entra ID v pozdějším kroku.

3. Poznamenejte si Název poskytovatele kompatibilního sidentifikátorem URI.

Poznámka:

Microsoft Entra ID vyžaduje, aby tato hodnota byla kompatibilní s identifikátorem URI. Pokud je název poskytovatele už nastavený a není kompatibilní s identifikátorem URI, neměňte ho, aniž byste se nejprve poradili s týmem SAP Basis. Změna názvu poskytovatele může narušit stávající konfigurace SAML. Kroky pro jeho změnu jsou nad rámec tohoto článku. Obraťte se na svůj tým SAML Basis, který vám poradí.

Další informace najdete v oficiální dokumentaci SAP.

Import metadat SAP do Microsoft Entra podnikové aplikace ID

Proveďte tyto kroky jako správce Microsoft Entra ID na Azure Portal.

1. Vyberte Microsoft Entra ID>Podnikové aplikace.

2. Vyberte volbu Nová aplikace.

3. Vyhledejte SAP Netweaver.

4. Pojmenujte podnikovou aplikaci a potom vyberte Vytvořit.

5. Přejděte na Jednotné přihlašování a vyberte SAML.

6. Vyberte Nahrát soubor metadat a vyberte soubor metadat, který jste stáhli ze SAP.

7. Vyberte Přidat.

8. Změňte adresu URL odpovědi (adresa URL služby Assertion Consumer Service) na koncový bod tokenu OAuth SAP. Adresa URL je ve formátu https://<SAP server>:<port>/sap/bc/sec/oauth2/token.

9. Změňte přihlašovací adresu URL na hodnotu odpovídající identifikátoru URI. Tento parametr se nepoužívá a dá se nastavit na libovolnou hodnotu, která je kompatibilní s identifikátorem URI.

10. Zvolte Uložit.

11. V části Atributy a deklarace identity vyberte Upravit.

12. Ověřte, že Jedinečný identifikátor uživatele (ID názvu) názvu deklarace identity je nastavený na user.userprincipalname [nameid=format:emailAddress].

13. V části Certifikáty SAML vyberte Stáhnout pro Certifikát (Base64) a XML federačních metadat.

Konfigurace Microsoft Entra ID jako důvěryhodného zprostředkovatele identity pro OAuth 2.0 v SAP

1. Postupujte podle kroků uvedených v Microsoft Entra části dokumentace k ID pro SAP NetWeaver a OAuth2.

2. Po vytvoření klienta OAuth2 v SAP se vraťte k tomuto článku.

Další podrobnosti najdete v oficiální dokumentaci společnosti SAP k řešení SAP NETWEAVER. Pozor, pro přístup k informacím musíte být správcem SAP.

Vytvoření aplikace Microsoft Entra ID, která představuje prostředek Azure API Management

Nastavte aplikaci Microsoft Entra ID, která uděluje přístup ke konektoru Microsoft Power Platform SAP OData. Tato aplikace umožňuje prostředku Azure API Management převést tokeny OAuth na tokeny SAML.

Proveďte tyto kroky jako správce Microsoft Entra ID v Azure Portal.

1. Vyberte Microsoft Entra ID>Registrace aplikací>Nová registrace.

2. Zadejte Název a vyberte Zaregistrovat.

3. Vyberte možnost Certifikáty a tajné klíče>Nový tajný klíč klienta.

4. Zadejte Popis a poté vyberte možnost Přidat.

5. Zkopírujte a uložte tento tajný kód na bezpečné místo.

6. Vyberte Oprávnění rozhraní API>Přidat oprávnění.

7. Vyberte Microsoft Graph>Delegovaná oprávnění.

8. Vyhledejte a vyberte openid.

9. Vyberte Přidat oprávnění.

10. Vyberte Ověřování>Přidat web>Platforma.

11. Nastavte Adresa URI přesměrování na https://localhost:44326/signin-oidc.

12. Vyberte Přístupové tokeny a tokeny ID a pak vyberte Konfigurovat.

13. Vyberte Vystavte API.

14. Vedle URI ID aplikace pro Přidat.

15. Přijměte výchozí hodnotu a vyberte Uložit.

16. Vyberte Přidat rozsah.

17. Nastavte Název oboru na user_impersonation.

18. Nastavte Kdo může souhlasit? na Správci a uživatelé.

19. Vyberte Přidat rozsah.

20. Zkopírujte ID aplikace (klienta).

Autorizujte prostředek Azure API Management pro přístup k SAP Netweaver pomocí podnikové aplikace Microsoft Entra ID

1. Když se vytvoří podniková aplikace Microsoft Entra ID, vytvoří se odpovídající registrace aplikace. Vyhledejte registraci aplikace, která odpovídá podnikové aplikaci Microsoft Entra ID, kterou jste vytvořili pro SAP NetWeaver.

2. Vyberte Vystavit rozhraní API>Přidat klientskou aplikaci.

3. Vložte ID aplikace (klienta) registrace aplikace Microsoft Entra ID vaší instance Azure API Management do ID klienta.

4. Vyberte obor user_impersonation a pak vyberte Přidat aplikaci.

Autorizace Microsoft Power Platform konektoru SAP OData pro přístup k rozhraním API vystaveným službou Azure API Management

1. Microsoft Entra V registraci aplikace ID Azure API Management vyberte Zveřejnit rozhraní API> . Přidejte ID Power Platform klienta konektoru SAP OData v 6bee4d13-fd19-43de-b82c-4b6401d174c3 části Autorizované klientské aplikace.

2. Vyberte rozsah user_impersonation a potom vyberte Uložit.

Konfigurace SAPOAuth

Vytvořte klienta OAuth 2.0 v SAP, který umožňuje Azure API Management získávat tokeny jménem uživatelů.

Podrobnosti najdete v oficiální dokumentaci SAP.

Proveďte tyto kroky jako správce SAP Basis v SAP GUI.

1. Spusťte transakci SOAUTH2.

2. Vyberte Vytvořit.

3. Na stránce ID klienta:

   • V části ID klienta OAuth 2.0 vyberte uživatele systému SAP.
   • Zadejte Popis a potom vyberte Další.

4. Na stránce Ověřování klienta zvolte Další.

5. Na stránce Nastavení typu udělení oprávnění:

   • V části Důvěryhodný IdP OAuth 2.0 vyberte záznam Microsoft Entra ID.
   • Vyberte Obnovení povoleno a pak vyberte Další.

6. Na stránce Přiřazení oboru vyberte Přidat, vyberte služby OData, které Azure API Management používá (např. ZAPI_BUSINESS_PARTNER_0001), a pak vyberte Další.

7. Vyberte Dokončit.

Konfigurace Azure API Management

Importujte metadata SAP OData XML do instance Azure API Management. Pak použijte zásadu Azure API Management pro převod tokenů.

1. Otevřete instanci Azure API Management a postupujte podle pokynů k vytvoření rozhraní SAP OData API.

2. V části Rozhraní API vyberte Pojmenované hodnoty.

3. Přidejte následující páry klíč/hodnota:

Key	Hodnota
AADSAPResource	Identifikátor URI místního poskytovatele SAP
AADTenantId	GUID tenanta
APIMAADRegisteredAppClientId	GUID aplikace Microsoft Entra ID
APIMAADRegisteredAppClientSecret	Tajný klíč klienta z předchozího kroku
SAPOAuthClientID	Systémový uživatel SAP
SAPOAuthClientSecret	Heslo uživatele systému SAP
SAPOAuthRefreshExpiry	Vypršení platnosti obnovení tokenu
SAPOAuthScope	Obory OData zvolené během konfigurace OAuth SAP
SAPOAuthServerAddressForTokenEndpoint	Koncový bod SAP pro Azure API Management pro volání k provedení získání tokenu

Poznámka:

Mějte na paměti, že nastavení pro SAP SuccessFactors se mírně liší. Další informace najdete v zásadách Azure API Management pro SAP SuccessFactors.

Použití zásad tokenu Azure API Management

Pomocí Azure API Management zásad převeďte token vystavený Microsoft Entra ID na token, který SAP NetWeaver přijímá. To se provádí pomocí toku OAuth2SAMLBearer. Další informace najdete v oficiální dokumentaci společnosti SAP.

1. Zkopírujte zásady Azure API Management z Microsoft oficiální stránky GitHubu.

2. Otevřete Azure Portal.

3. Přejděte na prostředek Azure API Management.

4. Vyberte Rozhraní API a poté vyberte rozhraní API OData, které jste vytvořili.

5. Vyberte Všechny operace.

6. V části Příchozí zpracování vyberte Zásady </>.

7. Odstraňte existující zásadu a vložte zásadu, kterou jste zkopírovali.

8. Zvolte Uložit.

Související obsah

• Konektor SAP OData
• Konektor OData SAP teď podporuje a šíření objektů zabezpečení OAuth2 a SAP | Komunitní blog Power Automate
• Azure Zásady API Management pro SAP SuccessFactors | GitHub (anglicky)
• Konektor SAP OData pro SAP SuccessFactors | Blog komunity SAP
• SAP Business Accelerator Hub také nabízí obsah související se zásadami sady SAP Integration Suite pro SuccessFactors a NetWeaver. Pro přístup k tomuto obsahu musíte mít účet SAP.