Integrace MICROSOFT Entra ID se SAP Fiori

  • 11 min

Integrace SAP Fiori s Microsoft Entra ID poskytuje následující výhody:

  • Pomocí Microsoft Entra ID můžete řídit, kdo má přístup k SAP Fiori.
  • Uživatelé se můžou k SAP Fiori automaticky přihlásit pomocí svých účtů Microsoft Entra (jednotné přihlašování).
  • Účty můžete spravovat v jednom centrálním umístění na webu Azure Portal.

Ke konfiguraci integrace Microsoft Entra se SAP Fiori potřebujete následující položky:

  • Předplatné Microsoft Entra.
  • Předplatné SAP Fiori s povoleným jednotným přihlašováním
  • Vyžaduje se SAP Fiori 7.20 nebo novější.

Pokud chcete integrovat SAP Fiori s Microsoft Entra ID, musíte nejprve přidat SAP Fiori z galerie aplikací SaaS do seznamu spravovaných aplikací SaaS.

Konfigurace jednotného přihlašování Microsoft Entra pomocí SAP Fiori

Aby jednotné přihlašování fungovalo, musíte vytvořit propojený vztah mezi uživatelem Microsoft Entra a souvisejícím uživatelem v SAP Fiori. Proveďte následující úlohy:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra tak, aby uživatelé mohli tuto funkci používat.
  2. Nakonfigurujte jednotné přihlašování SAP Fiori.
  3. Přiřaďte uživatele Microsoft Entra k aplikaci SAP Fiori.
  4. Vytvořte uživatele SAP Fiori propojené se svými uživatelskými účty Microsoft Entra.

Konfigurace jednotného přihlašování Microsoft Entra

  1. Otevřete nové okno webového prohlížeče a přihlaste se k firemnímu webu SAP Fiori jako správce. Ujistěte se, že jsou aktivní služby HTTP a HTTPS a že jsou příslušné porty přiřazeny ke kódu transakce SMICM.

  2. Přihlaste se k SAP Business Clientu pro systém SAP T01, kde se vyžaduje jednotné přihlašování. Pak aktivujte správu relací zabezpečení HTTP. Přejděte na kód transakce SICF_SESSIONS a zkontrolujte parametry profilu. Upravte parametry na základě požadavků vaší organizace a restartujte systém SAP.

  3. Aktivujte následující služby SICF:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (toto je pouze povolení / zakázání trasování)

  4. Přejděte na kód transakce SAML2 v obchodním klientovi pro systém SAP [T01/122]. Uživatelské rozhraní konfigurace se otevře v novém okně prohlížeče. Zadejte svoje uživatelské jméno a heslo a pak vyberte Přihlásit se.

  5. V poli Název zprostředkovatele nahraďte T01122<http://T01122>a pak vyberte Uložit.

    Poznámka:

    Ve výchozím nastavení je název zprostředkovatele ve formátu _sid-client_. ID Microsoft Entra očekává název ve formátu protocol://name. Doporučujeme zachovat název poskytovatele jako https:// _sid-client_ , abyste mohli nakonfigurovat více modulů SAP Fiori ABAP v Microsoft Entra ID.

  6. Vyberte kartu Místního zprostředkovatele nebo metadata. V dialogovém okně Metadata SAML 2.0 stáhněte vygenerovaný soubor XML metadat a uložte ho do počítače.

  7. Na webu Azure Portal vyberte v podokně integrace aplikace SAP Fiori jednotné přihlašování.

  8. V podokně Vybrat jednotné přihlašování vyberte režim SAML nebo SAML/WS-Fed a povolte jednotné přihlašování.

  9. V podokně Nastavení jednotného přihlašování pomocí SAML vyberte Upravit (ikona tužky) a otevřete podokno Základní konfigurace SAML.

  10. V části Základní konfigurace SAML vyberte Nahrát soubor metadat a pomocí možnosti Nahrát soubor metadat nahrajte soubor metadat, který jste si stáhli dříve.

  11. Po úspěšném nahrání souboru metadat se hodnoty identifikátoru a adresy URL odpovědi automaticky vyplní v podokně Základní konfigurace SAML. Do pole Přihlašovací adresa URL zadejte adresu URL, která má následující vzor: https://[vaše firemní instance SAP Fiori].

  12. Aplikace SAP Fiori očekává, že kontrolní výrazy SAML budou v určitém formátu. Deklarace identity včetně zadaného jména, příjmení, e-mailové adresy, jména a jedinečného uživatelského identifikátoru. Pokud chcete spravovat jejich hodnoty, vyberte v podokně Nastavit jednotné přihlašování pomocí SAML možnost Upravit.

  13. V podokně Atributy a deklarace identity uživatele nakonfigurujte atributy tokenu SAML. Pak proveďte následující kroky:

    • Výběrem možnosti Upravit otevřete podokno Spravovat deklarace identity uživatelů.
    • V seznamu transformace vyberte ExtractMailPrefix().
    • V seznamu Parametr 1 vyberte user.userprinicipalname.

  14. V podokně Nastavit jednotné přihlašování pomocí SAML vyberte v části Podpisový certifikát SAML možnost Stáhnout vedle XML federačních metadat.

  15. Vyberte možnost stahování na základě vašich požadavků. Uložte certifikát do počítače.

  16. V části Nastavení SAP Fiori zkopírujte následující adresy URL na základě vašich požadavků:

    • Přihlašovací adresa URL
    • Identifikátor Microsoft Entra
    • Adresa URL pro odhlášení

Konfigurace jednotného přihlašování SAP Fiori

  1. Přihlaste se k systému SAP a přejděte na kód transakce SAML2. Otevře se nové okno prohlížeče se stránkou konfigurace SAML.

  2. Pokud chcete nakonfigurovat koncové body pro důvěryhodného zprostředkovatele identity (MICROSOFT Entra ID), vyberte kartu Důvěryhodní zprostředkovatelé .

  3. Vyberte Přidat a pak v místní nabídce vyberte Nahrát soubor metadat.

  4. Nahrajte soubor metadat, který jste stáhli na webu Azure Portal.

  5. Na další stránce do pole Alias zadejte libovolný název aliasu.

  6. Ujistěte se, že hodnota v poli Algoritmus digestu je SHA-256.

  7. V části Koncové body jednotného přihlašování vyberte HTTP POST.

  8. Včástich

  9. Přijměte výchozí nastavení koncových bodů artefaktů a požadavků na ověřování.

  10. Vyberte Důvěryhodnou federaci identity zprostředkovatele / a nespecifikované podporované formáty NameID.

  11. Hodnoty pro zdroj ID uživatele a režim mapování ID uživatele určují propojení mezi uživatelem SAP a deklarací Identity Microsoft Entra. Existují dva podporované scénáře:

    • Scénář 1: Mapování uživatelů SAP na Microsoft Entra
    • Scénář 2: Vyberte ID uživatele SAP na základě nakonfigurované e-mailové adresy v SU01. V takovém případě by mělo být ID e-mailu nakonfigurované v SU01 pro každého uživatele, který vyžaduje jednotné přihlašování.

Přiřazení uživatelů Microsoft Entra

  1. Na webu Azure Portal vyberte Podnikové aplikace, vyberte Všechny aplikace a pak vyberte SAP Fiori.

  2. V seznamu aplikací vyberte SAP Fiori.

  3. Pokud chcete ověřit výsledek, zkuste po aktivaci ID zprostředkovatele identity Microsoft Entra v SAP Fiori získat přístup k jedné z následujících adres URL a otestovat jednotné přihlašování jako přiřazený uživatel (neměli byste být vyzváni k zadání uživatelského jména a hesla):