Sdílet prostřednictvím

Nastavení Microsoft Entra ID s Kerberos pro SSO

  • Článek

Konektor Power Platform SAP ERP můžete nastavit tak, aby používal přihlašovací údaje Microsoft Entra ID pro jednotné přihlašování (SSO) založené na protokolu Kerberos. Vaši uživatelé mají přístup k datům SAP a mohou spouštět vzdálená volání funkcí SAP (RFC) v řešeních Power Platform, aniž by se museli několikrát přihlašovat k více službám. Tento článek vás provede celým procesem, včetně konfigurace omezeného delegování Kerberos (KCD) na místní bráně dat pro zabezpečenou komunikaci.

Přečtěte si další informace o omezeném delegování Kerberos.

Tyto pokyny předpokládají, že začínáte od nuly. Většina zákazníků již některé kroky provedla. Určení, které kroky je potřeba pro váš scénář provést, je nad rámec tohoto článku. Pokud je váš systém SAP už nakonfigurovaný pro jednotné přihlašování založené na protokolu Kerberos, můžete například přeskočit část Vytvoření účtu služby SAP v Active Directory Domain Services.

Předpoklady

Vytvoření účtu služby SAP v AD DS

Jako správce domény nejprve vytvoříte účet služby a pak definujete hlavní název služby (SPN) a aktivujete ho pro šifrování Kerberos.

Poznámka:

Pokud správce SAP Basis potvrdí, že váš systém SAP je už nakonfigurovaný pro jednotné přihlašování založené na protokolu Kerberos, tuto část přeskočte.

Chcete-li nastavit účet služby, proveďte jako správce domény následující kroky:

  1. Na hostitelském počítači kontroleru otevřete konzolu Microsoft Management Console (MMC) a spusťte modul snap-in Uživatelé a počítače služby Active Directory.

  2. Ve své doméně klikněte pravým tlačítkem na Uživatelé a vyberte Nový>Uživatel.

  3. Zadejte Kerberos<ID> jako Celé jménoPřihlašovací jméno uživatele, kde <SID> je ID vašeho systému SAP, například A4H.

  4. Vyberte Další.

  5. Zadejte a potvrďte heslo pro nový účet služby.

  6. Vyberte možnost Uživatel nemůže změnit heslo a Platnost hesla nikdy nevyprší.

  7. Zvolte Další a pak vyberte Dokončit.

Po vytvoření účtu služby definujte jeho hlavní název služby (SPN) a aktivujte ho pro šifrování Kerberos.

  1. Otevřete modul snap-in ADSI Edit (adsiedit.msc) a připojte se ke své doméně.

  2. Vyberte CN=Users z výchozího kontextu pojmenování vaší domény.

  3. Klikněte pravým tlačítkem myši na objekt uživatele CN=Kerberos<SID> a vyberte Vlastnosti.

  4. V seznamu Atributy vyberte ServicePrincipalName.

  5. Vyberte položku Upravit.

  6. Zadejte hlavní název služby ve formátu SAP/<SID>, kde <SID> je ID vašeho systému SAP, například A4H.

  7. Zvolte Přidat a pak vyberte OK.

  8. Vraťte se zpět do modulu snap-in Uživatelé a počítače služby Active Directory.

  9. V seznamu Uživatelé klikněte pravým tlačítkem na nový Kerberos<SID> účtu služby SAP a vyberte Vlastnosti.

  10. Vyberte kartu Účet.

  11. V části Možnosti účtu vyberte Tento účet podporuje 256bitové šifrování Kerberos AES.

  12. Vyberte OK.

Důležité

Zapnutí 256bitového šifrování Kerberos AES může způsobit problémy jiným klientům, jako je SAP GUI, kteří požadují lístky Kerberos z tohoto účtu služby Active Directory. Důvodem je to, že mění seznam dostupných metod šifrování a ostatní klienti již nemají společnou šifrovací šifru. Zkontrolujte protokoly služby Active Directory a zjistěte, které metody šifrování používají všichni klienti, a pak ručně aktualizujte vlastnost msDS-SupportedEncryptionTypes správnou hodnotou. Po aktualizaci by se možnost šifrování AES 256 měla zobrazit automaticky, aniž by bylo nutné ji vybrat ručně. Další informace najdete v tématu Dešifrování výběru podporovaných typů šifrování Kerberos na blogu Základní infrastruktury a komunity.

Nastavení zabezpečené síťové komunikace s ověřováním jednotného přihlašování Kerberos v SAP

Proveďte následující kroky jako správce SAP Basis v SAP GUI.

  1. Pokud chcete spustit Průvodce jednotným přihlašováním SAP, zadejte SNCWIZARD do pole Příkaz.

  2. Na stránce průvodce Start vyberte Pokračovat.

  3. Přijměte výchozí hodnotu identity SNC systému a vyberte Pokračovat.

  4. Na stránce Výchozí parametry profilu vyberte Pokračovat.

  5. Vyberte Zavřít.

  6. Odhlaste se ze systému SAP a restartujte aplikační server SAP.

  7. Přihlaste se k SAP GUI a znovu spusťte SNCWIZARD.

  8. Na stránce Start vyberte Pokračovat.

  9. Na stránce Přihlašovací údaje Kerberos vyberte Pokračovat.

  10. V části Konfigurace SPNEGO vyberte Zobrazit/změnit a přepněte do režimu úprav a poté vyberte Přidat.

  11. Zadejte následující hodnoty:

    • Hlavní název uživatele:: Kerberos<SID>@DOMAIN, kde Kerberos<SID> je uživatelské jméno účtu služby a DOMAIN je plně kvalifikovaný název domény služby Active Directory napsaný velkými písmeny, například KerberosA4H(at)CORP.BESTRUN.COM.
    • Heslo a Potvrdit heslo: Heslo, které jste zadali při vytváření účtu služby Active Directory.

  12. Vyberte Zkontrolovat uživatele ve službě Active Directory a ověřte uživatele a pak vyberte Ukončit.

  13. Zvolte Uložit.

  14. Na stránce Přihlašovací údaje X.509 vyberte Přeskočit.

  15. Zvolte Dokončit.

Dále namapujte uživatelské jméno SNC (na základě uživatelského jména domény Windows) na hlavní název uživatele SAP.

  1. V uživatelském rozhraní SAP spusťte transakci SU01.

  2. Zadejte ID testovacího uživatele (například JDAVIS) do pole Uživatel a poté vyberte Změnit.

  3. Vyberte kartu SNC .

  4. Do pole Název SNC zadejte hlavní název uživatele, například p:CN=JDAVIS(at)CORP.BESTRUN.COM.

  5. Zvolte Uložit.

Nastavení místní brány dat pro omezené delegování Kerberos

Ve výchozím nastavení se místní brána spouští jako účet místní služby počítače NT Service\PBIEgwService. Pokud chcete použít omezené delegování Kerberos s rozšířeními S4U protokolu, musí brána běžet jako účet služby v doméně.

Následující kroky proveďte jako správce domény.

  1. V hostitelském počítači řadiče domény se vraťte k modulu snap-in Uživatelé a počítače služby Active Directory.

  2. Ve své doméně klikněte pravým tlačítkem na Uživatelé a vyberte Nový>Uživatel.

  3. Zadejte GatewaySvc jako Celé jméno a Přihlašovací uživatelské jméno.

  4. Vyberte Další.

  5. Zadejte a potvrďte heslo pro nový účet služby domény.

  6. Vyberte možnost Uživatel nemůže změnit heslo a Platnost hesla nikdy nevyprší.

  7. Zvolte Další a pak vyberte Dokončit.

Po vytvoření účtu služby domény dále definujete jeho hlavní název služby a aktivujte ho pro omezené delegování Kerberos.

  1. V okně PowerShell se zvýšenými oprávněními zadejte následující příkaz, který vytvoří hlavní název služby (SPN) pro nový účet služby. Nahraďte <název hostitele OPDG> názvem hostitele vaší místní brány dat a <domény> názvem vaší domény. Název hostitele zjistíte zadáním příkazu hostname na příkazovém řádku.

    setspn –s gateway/<OPDG hostname> <domain>\GatewaySvc

  2. V modulu snap-in Uživatelé a počítače služby Active Directory klikněte pravým tlačítkem myši na nový účet služby a vyberte příkaz Vlastnosti.

  3. Vyberte kartu Delegování.

  4. Vyberte Důvěřovat tomuto uživateli pro delegování pouze určeným službám a Použít libovolný protokolu pro ověřování.

  5. Vyberte Přidat.

  6. Vyberte možnost Uživatelé a počítače.

  7. Do pole názvů objektů zadejte Kerberos<SID>, kde <SID> je ID vašeho systému SAP, například A4H.

  8. Zvolte Zkontrolovat názvy a pak vyberte OK.

Seznam povolených služeb teď obsahuje hlavní název služby (SPN) systému SAP. Nový účet služby brány si může vyžádat lístek služby pouze pro systém SAP jménem propagovaného uživatele s rozšířením protokolu Kerberos S4U2proxy.

  1. Zvolte Vybrat vše.
  2. Vyberte OK.
  3. Podruhé vyberte OK.
  4. Účet služby místní brány dat musí být udělený místním zásadám na hostiteli místní brány dat. Tuto konfiguraci proveďte pomocí Editoru místních zásad skupiny spuštěním gpedit.msc z příkazového řádku správce.
  5. Přejděte na Zásady místního počítače ->Konfigurace počítače ->Nastavení systému Windows ->Nastavení zabezpečení ->Místní zásady ->Přiřazení uživatelských práv. Udělte účtu služby domény místní brány dat (například CORP\GatewaySvc) místní zásady, které fungují jako součást operačního systému, tím, že na něj dvakrát kliknete.
  6. Vyberte Přidat uživatele nebo Skupina.
  7. Zadejte název účtu doménové služby místní brány dat (například GatewaySvc) a výběrem možnosti Zkontrolovat názvy ho přeložte na úplný existující název. Vyberte OK. Název domény účtu služby (například CORP\GatewaySvc) se teď přidá do seznamu uživatelů zásady. Volbou OK použijte novou konfiguraci.
  8. Opakujte stejný krok pro zásadu zosobnění klienta po ověřování tak, že na ni dvakrát kliknete. Vyberte Přidat uživatele nebo Skupina a přeložte účet služby místní brány dat na úplný existující název pomocí možnosti Kontrola názvů. Vyberte OK.
  9. Název účtu služby (například CORP\GatewaySvc) se teď přidá do seznamu uživatelů zásady. Vyberte OK. Zavřete Editor místních zásad skupiny.
  10. Spusťte aplikaci místní brány dat z odkazu na plochu na hostiteli brány nebo spuštěním příkazu On-premises data gateway\EnterpriseGatewayConfigurator.exe. Vyberte Přihlásit se a přihlaste se jako uživatel správce systému Power Platform, který zaregistroval místní bránu dat v prostředí.
  11. Z nabídky konfigurátoru vyberte Nastavení služby. Vyberte volbu Změnit účet.
  12. Vyberte Použít a Restartovat.
  13. Zadejte název účtu služby místní brány dat (například CORP\GatewaySvc) a heslo. Vyberte Konfigurovat.
  14. Zadejte přihlašovací účet správce systému Power Platform tak, že vyberete Přihlásit se.
  15. Vyberte Migrovat, obnovit nebo převzít existující bránu a obnovte registraci brány.
  16. V rozevíracích seznamech vyberte cluster a instanci brány a zadejte obnovovací klíč zvolený při počáteční registraci. Vyberte Konfigurovat.
  17. Po dokončení obnovení použije instance služby místní brány dat účet doménové služby (například CORP\GatewaySvc).

Instalace a konfigurace kryptografické knihovny SAP

Pro komunikaci SNC mezi místní bránou dat a systémem SAP musí být na hostiteli brány nainstalovaná kryptografická knihovna SAP spolu se SAP NCo 3.1.

  1. Stáhněte si nejnovější verzi kryptografické knihovny SAP ze stažení softwaru portálu podpory SAP (je vyžadován S-User) a zkopírujte soubor knihovny (sapcrypto.dll) do instalačního adresáře místní brány dat na hostiteli brány (C:\Program Files\On-premises data gateway). Klikněte pravým tlačítkem myši na soubor sapcrypto.dll a z kontextové nabídky vyberte Vlastnosti.
  2. Přepněte na kartu Podrobnosti a zkontrolujte verzi knihovny. Měla by být 8.5.25 nebo novější. Vyberte OK.
  3. Vytvořte nový textový soubor sapcrypto.ini ve stejném adresáři (C:\Program Files\On-premises data gateway) s tímto obsahem: ccl/snc/enable_kerberos_in_client_role = 1.
  4. Uložte soubor.
  5. Vytvořte systémovou proměnnou prostředí CCL_PROFILE a nastavte její hodnotu na cestu ke konfiguračnímu souboru sapcrypto.ini. Na hostiteli brány spusťte Ovládací panely a přejděte na Systém a zabezpečení ->Systém. Vyberte Rozšířená nastavení systému.
  6. Vybrat Proměnné prostředí.
  7. V části Systémové proměnné vyberte Nový.
  8. Jako název proměnné zadejte CCL_PROFILE. Jako hodnotu proměnné zadejte úplnou cestu k souboru sapcrypto.ini, například C:\Program Files\On-premises data gateway\sapcrypto.ini. Vyberte OK.
  9. Podruhé vyberte OK.

Nakonfigurujte nastavení OPDG FullDomainResolutionEnabled

Abychom místní bráně dat pomohli při vyhledávání uživatelů služby Active Directory, musíme nastavit hodnotu konfigurace v nastavení místní brány dat.

  1. Na hostiteli brány otevřete v editoru soubor Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config v instalační složce místní brány dat (C:\Program Files\On-premises data gateway).
  2. Vyhledejte nastavení FullDomainResolutionEnabled a nastavte jeho hodnotu na True.
  3. Pokud chcete změny použít, vyberte Restartovat hned na kartě Nastavení služby konfigurátoru místní brány dat.

Konfigurace mapování uživatele v Active Directory

Pokud jsou hlavní názvy uživatelů Microsoft Entra ID stejné jako vlastnost místního e-mailu služby Active Directory, můžete tento krok přeskočit.

Pokud chcete pro uživatele v tomto scénáři zapnout šíření objektu zabezpečení založeného na protokolu Kerberos, je vyžadováno mapování z úplného uživatelského jména uživatele (hlavní název uživatele, hlavní název uživatele (UPN)) v Microsoft Entra ID na místní název uživatele ve službě Active Directory. K tomuto účelu používáme nepoužívaný atribut msDS-cloudExtensionAttribute1 místního uživatele služby Active Directory pro uložení hlavního názvu uživatele (UPN) s Microsoft Entra ID. Lze použít i jakýkoli jiný nepoužívaný atribut služby Active Directory.

Ve scénáři pro testovacího uživatele aplikace Jacka Davise nastavte atribut msDS-cloudExtensionAttribute1 uživatelského účtu místní domény služby Active Directory jdavis@corp.bestrun.com na hlavní název uživatele Microsoft Entra ID jdavis@bestruncorp.onmicrosoft.com pro propojení jejich dvou účtů.

  1. Na hostiteli brány otevřete v editoru soubor Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config v instalační složce místní brány dat (C:\Program Files\On-premises data gateway).
  2. Vyhledejte nastavení ADUserNameReplacementProperty a nastavte jeho hodnotu na SAMAccountName.
  3. Vyhledejte nastavení ADUserNameLookupProperty a nastavte ho na hodnotu msDS-cloudExtensionAttribute1. Uložte soubory do souboru.
  4. Pokud chcete změny použít, vyberte Restartovat hned na kartě Nastavení služby konfigurátoru místní brány dat.
  5. Na hostiteli řadiče domény vyberte Start a v nabídce vyberte Nástroje pro správu systému Windows ->Upravit ADSI. V editoru rozhraní ADSI přejděte ve stromu objektů na levé straně na CN=Users ve výchozím kontextu pojmenování domény. Klikněte pravým tlačítkem myši na objekt testovacího uživatele (například CN=Jack Davis) a v místní nabídce vyberte Vlastnosti.
  6. Vyberte atribut msDS-cloudExtensionAttribute1 ze seznamu a vyberte Upravit.
  7. Do pole Hodnota zadejte hlavní název uživatele Microsoft Entra ID testovacího uživatele(například jdavis@<názevdomény>.onmicrosoft.com). Nahraďte <názevdomény> názvem domény tenanta vašeho Microsoft Entra ID, například bestruncorp. Vyberte OK.

Vytvoření toku Power Automate

Všechny místní komponenty (systém SAP, místní brána dat a služba AD) jsou teď správně nakonfigurované pro šíření objektů zabezpečení založených na protokolu Kerberos. V tomto kroku vytvořte a spusťte tok Power Automate a otestujte konfiguraci.

  1. Přihlaste se k Power Automate v https://make.powerautomate.com.

  2. Vyberte Moje toky ->Nový tok ->Okamžitý cloudový tok

  3. Zadejte název toku a vyberte Ručně spusťte tok a poté vyberte Vytvořit.

  4. Přidejte akci konektoru SAP ERP Zavolat funkci SAP (V3) do svého toku.

  5. Pokud nemáte vytvořená žádná připojení SAP ERP, budete vyzváni k jeho vytvoření. Pokud máte existující připojení, vytvořte nové.

    • Typ ověřování by měl být Microsoft Entra ID (s Kerberos).
    • Brána dat by měla být místní bránou dat, která byla nakonfigurovaná v této příručce.
    • Vyberte Přihlásit.

  6. V akci SAP ERP Volání funkce SAP (V3) nastavte následující parametry:

    • Název RFC je nastaven na STFC_CONNECTION.
    • Systém SAP je nastavený na (změňte tyto hodnoty podle správce SAP Basis).

    json { "AppServerHost": "<SAP Server Name>", "Client": "<SAP Client>", "LogonType": "ApplicationServer", "SncLibraryPath": "C:\Program Files\On-premises data gateway\sapcrypto.dll", "SncPartnerName": "p:<SAP Partner Name>", "SncQOP": "Default", "SncSso": "On", "SystemNumber": "<SAP System Number>", "UseSnc": "true" }

  7. Pokud je vše úspěšné, parametr REQUTEXT, do kterého lze zadat hodnotu jako Hello World.

  8. Uložte a otestujte tok.