Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con SAP Cloud Identity Services
En este tutorial, aprenderá a integrar SAP Cloud Identity Services con Microsoft Entra ID. Al integrar SAP Cloud Identity Services con Microsoft Entra ID, puede:
- Controlar en Microsoft Entra ID quién tiene acceso a SAP Cloud Identity Services.
- Permitir que los usuarios inicien sesión automáticamente en SAP Cloud Identity Services con sus cuentas de Microsoft Entra.
- Administre sus cuentas en una ubicación central.
Sugerencia
Siga las recomendaciones y la guía de procedimientos recomendados "Uso de Microsoft Entra ID para proteger el acceso a las plataformas y aplicaciones de SAP" para poner en funcionamiento la configuración.
Requisitos previos
Para empezar, necesitas los siguientes elementos:
- Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
- Una suscripción habilitada para el inicio de sesión único en SAP Cloud Identity Services.
Descripción del escenario
En este tutorial se configura y prueba el inicio de sesión único de Microsoft Entra en un entorno de prueba.
- SAP Cloud Identity Services admite el inicio de sesión único iniciado por SP e IDP.
- SAP Cloud Identity Services admite el aprovisionamiento automatizado de usuarios.
Antes de adentrarse en los detalles técnicos, es fundamental entender los conceptos vamos a tratar. Los Servicios de federación de Active Directory y SAP Cloud Identity Services le permiten implementar el inicio de sesión único en aplicaciones o servicios protegidos por Microsoft Entra ID (como un IdP) con aplicaciones y servicios de SAP protegidos por SAP Cloud Identity Services.
Actualmente, SAP Cloud Identity Services actúa como un proveedor de identidades de proxy en las aplicaciones de SAP. A su vez, Microsoft Entra ID funciona como el proveedor de identidades principal en esta configuración.
En el siguiente diagrama, se ilustra esta relación:
Con esta configuración, su inquilino de SAP Cloud Identity Services se configura como una aplicación de confianza en Microsoft Entra ID.
Todos los servicios y las aplicaciones de SAP que desea proteger de esta manera se configuran posteriormente en la consola de administración de SAP Cloud Identity Services.
Por tanto, la autorización de concesión de acceso a servicios y aplicaciones de SAP debe realizarse en SAP Cloud Identity Services (en lugar de en Microsoft Entra ID).
Al configurar SAP Cloud Identity Services como una aplicación a través de Microsoft Entra Marketplace, no necesita configurar notificaciones individuales o instrucciones de aserción de SAML.
Nota:
Actualmente, el SSO web solo se ha probado en ambas soluciones. Los flujos que son necesarios para establecer comunicación de aplicación a API o de API a API deberían funcionar todavía no se han probado. Sin embargo, sí que se hará durante las actividades posteriores.
Adición de SAP Cloud Identity Services desde la galería
Para configurar la integración de SAP Cloud Identity Services con Microsoft Entra ID, debe agregar SAP Cloud Identity Services desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería, escriba SAP Cloud Identity Services en el cuadro de búsqueda.
- Seleccione SAP Cloud Identity Services en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puedes agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.
Configuración y prueba del inicio de sesión único de Microsoft Entra para SAP Cloud Identity Services
Configure y pruebe el inicio de sesión único de Microsoft Entra con SAP Cloud Identity Services mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vinculación entre un usuario de Microsoft Entra y el usuario relacionado de SAP Cloud Identity Services.
Para configurar y probar el inicio de sesión único de Microsoft Entra con SAP Cloud Identity Services, complete los siguientes pasos:
- Configure el inicio de sesión único de Microsoft Entra, para que los usuarios puedan usar esta característica.
- Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
- Asigne el usuario de prueba de Microsoft Entra, para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
- Configuración del inicio de sesión único en SAP Cloud Identity Services, para configurar los valores de inicio de sesión único en la aplicación.
- Cree un usuario de prueba de SAP Cloud Identity Services para tener un homólogo de B.Simon en SAP Cloud Identity Services que esté vinculado a la representación del usuario en Microsoft Entra.
- Prueba del inicio de sesión único : para comprobar si la configuración funciona.
Configuración del inicio de sesión único de Microsoft Entra
Siga estos pasos para habilitar el SSO de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>SAP Cloud Identity Services>Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.
En la sección Configuración básica de SAML, si tiene el archivo de metadatos del proveedor de servicios y quiere realizar la configuración en el modo iniciado por IdP, siga este procedimiento:
a. Haga clic en Cargar el archivo de metadatos.
b. Haga clic en el logotipo de la carpeta para seleccionar el archivo de metadatos que ha descargado de SAP y haga clic en Cargar.
c. Una vez que se haya cargado correctamente el archivo de metadatos, el valor de Identificador y URL de respuesta se rellena automáticamente en la sección Configuración básica de SAML.
Nota:
Si los valores Identificador y Dirección URL de respuesta no se rellenan automáticamente, hágalo manualmente según sus necesidades.
Si quiere volver a configurar la aplicación en modo iniciado por SP:
En el cuadro de texto URL de inicio de sesión (opcional), escriba una dirección URL con el siguiente patrón:
{YOUR BUSINESS APPLICATION URL}
Nota:
Este valor no es real. Actualícelo con la dirección URL de inicio de sesión real. Use la dirección URL de inicio de sesión de su aplicación empresarial específica. Si tiene alguna duda, póngase en contacto con el equipo de soporte técnico de SAP Cloud Identity Services.
La aplicación SAP Cloud Identity Services espera las aserciones de SAML en un formato específico, que requiere que se agreguen asignaciones de atributos personalizados a la configuración de los atributos del token SAML. La siguiente captura de muestra la lista de atributos predeterminados.
Además de lo anterior, la aplicación SAP Cloud Identity Services espera que se devuelvan algunos atributos más, que se muestran a continuación, en la respuesta de SAML. Estos atributos también se rellenan previamente, pero puede revisarlos según sus requisitos.
Nombre Atributo de origen firstName user.givenname En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, haga clic en Descargar para descargar XML de metadatos de las opciones proporcionadas según sus requisitos y guárdelo en el equipo.
En la sección Configuración de SAP Cloud Identity Services, copie las direcciones URL que necesite.
Cree un usuario de prueba de Microsoft Entra
En esta sección, se crea un usuario llamado B.Simon.
- Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
- Ve a Identidad>Usuarios>Todos los usuarios.
- Selecciona Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
- En las propiedades del usuario, sigue estos pasos:
- En el campo Nombre para mostrar, escribe
B.Simon
. - En el campo Nombre principal de usuario, escribe username@companydomain.extension. Por ejemplo,
B.Simon@contoso.com
. - Activa la casilla Mostrar contraseña y, después, anota el valor que se muestra en el cuadro Contraseña.
- Selecciona Revisar + crear.
- En el campo Nombre para mostrar, escribe
- Selecciona Crear.
Asignación del usuario de prueba de Microsoft Entra
En esta sección, va a permitir que B.Simon acceda a SAP Cloud Identity Services mediante el inicio de sesión único.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>SAP Cloud Identity Services.
En la página de información general de la aplicación, busque la sección Administrar y seleccione Usuarios y grupos.
Seleccione Agregar usuario. A continuación, en el cuadro de diálogo Agregar asignación, seleccione Usuarios y grupos.
En el cuadro de diálogo Usuarios y grupos, seleccione B.Simon de la lista de usuarios y haga clic en el botón Seleccionar de la parte inferior de la pantalla.
Si esperas que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verás seleccionado el rol "Acceso predeterminado".
En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.
Configuración del inicio de seción único de SAP Cloud Identity Services
Inicie sesión en la consola de administración de SAP Cloud Identity Services. La dirección URL tiene el siguiente patrón:
https://<tenant-id>.accounts.ondemand.com/admin
.En Aplicaciones y recursos, elija el icono Configuración del inquilino.
En la pestaña Inicio de sesión único, vaya a Configuración de SAML 2.0, haga clic en el botón Descargar archivo de metadatos para descargar los metadatos y usarlo más adelante en la configuración del lado de Entra.
En Proveedores de identidades, elija el icono Proveedores de identidades corporativos.
Haga clic en + Crear para crear un proveedor de identidades.
Siga los pasos que se indican a continuación en el cuadro de diálogo Crear proveedor de identidades.
a. Asigne un nombre válido en Nombre para mostrar.
b. Seleccione Microsoft ADFS/Entra ID (SAML 2.0) en la lista desplegable.
c. Haga clic en Crear.
Vaya a Confianza:> configuración de SAML 2.0 y haga clic en Examinar para cargar el archivo XML de metadatos que ha descargado de la configuración de Entra.
Haga clic en Save(Guardar).
Siga los pasos siguientes solo si desea agregar y habilitar SSO para otra aplicación de SAP. Repita los pasos de la sección Adición de SAP Cloud Identity Services desde la galería.
En el lado de Entra, en la página de integración de la aplicación SAP Cloud Identity Services, seleccione Inicio de sesión vinculado.
Guarde la configuración.
Para más información, lea la documentación sobre SAP Cloud Identity Services en Integración con Microsoft Entra ID.
Nota:
La nueva aplicación aprovecha la configuración de inicio de sesión único para la aplicación de SAP anterior. Asegúrese de usar los mismos proveedores de identidades corporativos en la consola de administración de SAP Cloud Identity Services.
Creación de un usuario de prueba de SAP Cloud Identity Services
No hace falta crear un usuario en SAP Cloud Identity Services. Los usuarios que están en el almacén de usuarios de Microsoft Entra pueden utilizar la funcionalidad de inicio de sesión único (SSO).
SAP Cloud Identity Services es compatible con la opción de federación de identidades. Esta opción permite a la aplicación comprobar si los usuarios autenticados mediante el proveedor de identidades corporativas se encuentran en el almacén de usuarios de SAP Cloud Identity Services.
De manera predeterminada, la opción de federación de identidades está deshabilitada. Si se habilita, solo los usuarios que se importan de SAP Cloud Identity Services pueden tener acceso a la aplicación.
Para más información sobre cómo habilitar o deshabilitar la federación de identidades con SAP Cloud Identity Services, consulte la sección Activación de la federación de identidades con SAP Cloud Identity Services del artículo Configuración de la federación de identidades con el almacén de usuarios de SAP Cloud Identity Services.
Nota
SAP Cloud Identity Services también admite el aprovisionamiento automático de usuarios. Aquí puede encontrar más detalles sobre cómo configurarlo.
Prueba de SSO
En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.
Iniciado por SP:
Haga clic en Probar esta aplicación; esta acción le redirigirá a la dirección URL de inicio de sesión de SAP Cloud Identity Services, donde puede poner en marcha el flujo de inicio de sesión.
Vaya directamente a la dirección URL de inicio de sesión de SAP Cloud Identity Services e inicie el flujo de inicio de sesión desde ahí.
Iniciado por IDP:
- Haga clic en Probar esta aplicación; debería iniciar sesión automáticamente en la instancia de SAP Cloud Identity Services para la que configuró el inicio de sesión único
También puede usar Aplicaciones de Microsoft para probar la aplicación en cualquier modo. Al hacer clic en el icono de SAP Cloud Identity Services en Aplicaciones, si se ha configurado en modo SP, se le redirigirá a la página de inicio de sesión de la aplicación para iniciar el flujo de inicio de sesión, mientras que si se ha configurado en modo IDP, se debería iniciar sesión automáticamente en la instancia de SAP Cloud Identity Services para la que configuró el inicio de sesión único. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.
Pasos siguientes
Una vez configurado SAP Cloud Identity Services, puede aplicar controles de sesión que protegen la información confidencial de la organización de la filtración y la infiltración en tiempo real. Los controles de sesión proceden del acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.
Consulte las recomendaciones y la guía de procedimientos recomendados para operacionalizar la configuración.