Integrace ID Microsoft Entra se SAP NetWeaverem

  • 13 min

Integrace SAP NetWeaver s Microsoft Entra ID poskytuje následující výhody:

  • V Microsoft Entra ID můžete řídit, kdo má přístup k SAP NetWeaver.
  • Uživatelům můžete povolit automatické přihlášení k SAP NetWeaver (jednotné přihlašování) pomocí jejich účtů Microsoft Entra.
  • Účty můžete spravovat v jednom centrálním umístění – na webu Azure Portal.

Ke konfiguraci integrace Microsoft Entra se SAP NetWeaverem potřebujete následující položky:

  • Předplatné Microsoft Entra
  • Předplatné s povoleným jednotným přihlašováním SAP NetWeaver
  • SAP NetWeaver V7.20 vyžaduje alespoň

SAP NetWeaver podporuje jednotné přihlašování iniciované aktualizací SP.

Pokud chcete nakonfigurovat integraci SAP NetWeaveru do Microsoft Entra ID, nejprve přidejte SAP NetWeaver z galerie do seznamu spravovaných aplikací SaaS.

Konfigurace a testování jednotného přihlašování Microsoft Entra

Pokud chcete nakonfigurovat jednotné přihlašování Microsoft Entra pomocí SAP NetWeaveru, musíte použít následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
  2. Nakonfigurujte jednotné přihlašování SAP NetWeaver – nakonfigurujte nastavení jednotného přihlašování na straně aplikace.
  3. Přiřaďte testovacího uživatele Microsoft Entra ID k aplikaci Microsoft Entra.
  4. Vytvořte uživatele SAP NetWeaver propojené se svými uživatelskými účty Microsoft Entra.

Konfigurace jednotného přihlašování Microsoft Entra

Pokud chcete nakonfigurovat jednotné přihlašování Microsoft Entra pomocí SAP NetWeaveru, proveďte následující kroky:

  1. Otevřete nové okno webového prohlížeče a přihlaste se k firemnímu webu SAP NetWeaver jako správce.

  2. Ujistěte se, že jsou služby HTTP a https aktivní a že jsou v kódu SMICM T-Code přiřazeny příslušné porty.

  3. přihlaste se k obchodnímu klientovi systému SAP (T01), kde se vyžaduje jednotné přihlašování, a aktivujte správu relací zabezpečení HTTP.

  4. Přejděte do SICF_SESSIONS kódu transakce. Zkontrolujte všechny parametry profilu. Upravte požadavky vaší organizace a restartujte systém SAP.

  5. Poklikejte na příslušného klienta a povolte relaci zabezpečení HTTP.

  6. Aktivujte následující služby SICF:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (toto je pouze povolení / zakázání trasování)

  7. Přejděte do kódu transakce SAML2 v obchodním klientovi systému SAP [T01/122]. Otevře se uživatelské rozhraní v prohlížeči.

  8. Zadejte uživatelské jméno a heslo pro zadání uživatelského rozhraní a vyberte Upravit.

  9. Změňte název zprostředkovatele z T01122 na <http://T01122> a vyberte Uložit.

  10. Ve výchozím nastavení je název zprostředkovatele formátován jako [sid][client], ale ID Microsoft Entra očekává název ve formátu protocol://[sid][client]. Doporučujeme zachovat název poskytovatele jako https://[sid][client], aby bylo možné nakonfigurovat více modulů SAP NetWeaver ABAP v Microsoft Entra ID.

  11. Generovat metadata zprostředkovatele služeb: Jakmile dokončíte konfiguraci nastavení místního zprostředkovatele a důvěryhodného zprostředkovatele v uživatelském rozhraní SAML 2.0, další krok zahrnuje vygenerování souboru metadat poskytovatele služeb (který by obsahoval všechna nastavení, kontexty ověřování a další konfigurace v SAP).

  12. Na kartě Místní zprostředkovatel vyberte Metadata.

  13. Uložte vygenerovaný soubor XML metadat do počítače a nahrajte ho v části Základní konfigurace SAML, aby se hodnoty identifikátorua adresy URL odpovědi automaticky naplní na webu Azure Portal.

  14. Na webu Azure Portal na stránce integrace aplikace SAP NetWeaver vyberte jednotné přihlašování.

  15. V dialogovém okně Vybrat metodu jednotného přihlašování vyberte režim SAML/WS-Fed a povolte jednotné přihlašování.

  16. Na stránce Nastavit jednotné přihlašování pomocí SAML vyberte ikonu Upravit a otevřete dialogové okno Základní konfigurace SAML.

  17. V části Základní konfigurace SAML proveďte následující kroky:

    1. Vyberte Nahrát soubor metadat a nahrajte soubor metadat zprostředkovatele služeb, který jste získali dříve.
    2. Výběrem loga složky vyberte soubor metadat a pak vyberte Nahrát.
    3. Po úspěšném nahrání souboru metadat se hodnoty identifikátoru a adresy URL odpovědi automaticky vyplní do textového pole základní konfigurace SAML, jak je znázorněno na obrázku:
    4. Do textového pole Přihlašovací adresa URL zadejte adresu URL pomocí následujícího vzoru: https://[vaše firemní instance SAP NetWeaver]

  18. Aplikace SAP NetWeaver očekává kontrolní výrazy SAML v určitém formátu. Deklarace identity včetně zadaného jména, příjmení, e-mailové adresy, jména a jedinečného uživatelského identifikátoru. Jejich hodnoty můžete spravovat v části Atributy uživatele na stránce integrace aplikace.

  19. Na stránce Nastavit jednotné přihlašování pomocí SAML vyberte tlačítko Upravit a otevřete dialogové okno Atributy uživatele.

  20. V části Deklarace identity uživatele v dialogovém okně Atributy uživatele nakonfigurujte atribut tokenu SAML a proveďte následující kroky:

    1. Výběrem ikony Upravit otevřete dialogové okno Spravovat deklarace identity uživatelů.
    2. V seznamu transformace vyberte ExtractMailPrefix().
    3. V seznamu Parametr 1 vyberte user.userprinicipalname.
    4. Zvolte Uložit.

  21. Na stránce Nastavit jednotné přihlašování pomocí SAML vyberte v části Podpisový certifikát SAML možnost Stáhnout a stáhněte xml federačních metadat z uvedených možností podle vašeho požadavku a uložte ho do počítače.

  22. V části Nastavení SAP NetWeaver zkopírujte odpovídající adresy URL podle vašeho požadavku.

    • Přihlašovací adresa URL
    • Identifikátor Microsoft Entra
    • Adresa URL pro odhlášení

Konfigurace jednotného přihlašování SAP NetWeaver

  1. Přihlaste se k systému SAP a přejděte na kód transakce SAML2. Otevře se nové okno prohlížeče na konfigurační obrazovce SAML.

  2. Konfigurace koncových bodů pro důvěryhodného zprostředkovatele identity (Microsoft Entra ID) přejděte na kartu Důvěryhodní zprostředkovatelé .

  3. V místní nabídce stiskněte Přidat a vyberte Nahrát soubor metadat.

  4. Nahrajte soubor metadat, který jste stáhli z webu Azure Portal.

  5. Na další obrazovce zadejte libovolný název aliasu . Ujistěte se, že algoritmus digest by měl být SHA-256 a nevyžaduje žádné změny a stiskněte klávesu Další.

  6. V koncových bodech jednotného přihlašování použijte HTTP POST a pokračujte výběrem možnosti Další .

  7. V koncových bodech s jedním odhlášením vyberte HTTPRedirect a pokračujte výběrem možnosti Další .

  8. V koncových bodech artefaktů pokračujte stisknutím klávesy Další.

  9. V části Požadavky na ověřování přijměte výchozí nastavení a vyberte Dokončit.

  10. Přejděte na kartu Důvěryhodného zprostředkovatele a pak na Federaci identit.

  11. Vyberte položku Upravit.

  12. Na kartě Federace identit vyberte Přidat.

  13. V automaticky otevíraných otevíraných oknech vyberte V podporovaných formátech NameID možnost Není zadánaa vyberte OK. Hodnoty režimu mapování ID uživatele a zdroje ID uživatele určují propojení mezi uživatelem SAP a deklarací Identity Microsoft Entra.

  14. Existují dva možné scénáře:

    • Scénář: Mapování uživatelů SAP na Microsoft Entra
    • Scénář: Vyberte ID uživatele SAP na základě nakonfigurované e-mailové adresy v SU01. V takovém případě by mělo být ID e-mailu nakonfigurované v su01 pro každého uživatele, který vyžaduje jednotné přihlašování.

  15. Vyberte Uložit a pak vyberte Povolit povolení zprostředkovatele identity.

Přiřazení uživatelů Microsoft Entra

Na webu Azure Portal vyberte Podnikové aplikace, vyberte Všechny aplikace a pak vyberte SAP NetWeaver. V seznamu aplikací vyberte SAP NetWeaver.

Vytvoření uživatelů SAP NetWeaver

  1. Pokud chcete uživatelům Microsoft Entra povolit přihlášení k SAP NetWeaveru, musíte je zřídit v SAP NetWeaver. Spolupracujte s interním týmem odborníků na SAP nebo s partnerem SAP vaší organizace a přidejte uživatele na platformě SAP NetWeaver.
  2. Pokud chcete ověřit výsledek, po aktivaci ID zprostředkovatele identity Microsoft Entra získejte přístup <https://sapurl/sap/bc/bsp/sap/it00/default.htm> (nahraďte sapurl skutečným názvem hostitele SAP) a zkontrolujte jednotné přihlašování. Nemělo by se zobrazovat výzva k zadání uživatelského jména a hesla.