Integración de Microsoft Entra ID con SAP Cloud Platform Identity Authentication

Completado

La integración de SAP Cloud Platform Identity Authentication con Microsoft Entra ID proporciona las siguientes ventajas:

• En Microsoft Entra ID se puede controlar quién tiene acceso a SAP Cloud Platform Identity Authentication.
• Permite que los usuarios inicien sesión automáticamente en SAP Cloud Platform Identity Authentication con su cuenta de Microsoft Entra.
• Puede administrar sus cuentas en una ubicación central: Azure Portal.

Adición de SAP Cloud Platform Identity Authentication desde la galería

Para configurar la integración de SAP Cloud Platform Identity Authentication en Microsoft Entra ID, primero se agrega SAP Cloud Platform Identity Authentication desde la galería de aplicaciones de Microsoft Entra ID a la lista de aplicaciones SaaS administradas.

Configuración y prueba del inicio de sesión único basado en Microsoft Entra ID

A continuación, debe configurar y probar el inicio de sesión único basado en Microsoft Entra ID mediante la siguiente secuencia de pasos:

1. Configuración del inicio de sesión único de Microsoft Entra: para permitir que los usuarios usen esta característica.
2. Configure el inicio de sesión único de SAP Cloud Platform Identity Authentication para especificar la configuración de inicio de sesión único en la aplicación.
3. Asigne usuarios de Microsoft Entra a SAP Cloud Platform Identity Authentication.

Configuración del inicio de sesión único de Microsoft Entra

1. En Azure Portal, en la página SAP Cloud Platform Identity Authentication application integration (Integración de la aplicación SAP Cloud Platform Identity Authentication), seleccione Inicio de sesión único.

2. En la página Seleccione un método de inicio de sesión único, elija el modo SAML/WS-Fed para habilitar el inicio de sesión único.

3. En la página Configuración del inicio de sesión único con SAML, seleccione el icono Editar para abrir el cuadro de diálogo Configuración básica de SAML.

4. En la sección Configuración básica de SAML:

   • Para configurar el modo iniciado por IDP, especifique el identificador del inquilino (id. de entidad) de SAP Cloud Platform IAS y la dirección URL de respuesta correspondiente (URL del Servicio de consumidor de aserciones).
   • Para configurar la aplicación en el modo iniciado por SP, seleccione Establecer direcciones URL adicionales y proporcione la dirección URL de inicio de sesión.

Para obtener estos valores, puede ponerse en contacto con el equipo de soporte técnico de SAP Cloud Platform Identity Authentication.

La aplicación SAP Cloud Platform Identity Authentication espera las aserciones de SAML con un formato concreto. Configure las notificaciones pertinentes para esta aplicación, incluidos givenname, surname, emailaddress, name y el identificador de usuario único. Puede administrar los valores de estos atributos en la sección Atributos de usuario de la página de integración de aplicaciones.

Configuración del inicio de sesión único de SAP Cloud Platform Identity Authentication

Para configurar el SSO en la aplicación, vaya a la consola de administración de SAP Cloud Platform Identity Authentication. En Proveedores de identidades, elija el icono de proveedores de identidades corporativas. Elija el botón Agregar para crear un proveedor de identidades corporativos de Microsoft Entra. En SAML 2.0, elija Configuración de SAML 2.0.

Cargue el archivo XML de metadatos de Microsoft Entra o bien configure manualmente los campos siguientes:

• Name (nombre): id. de entidad del proveedor de identidades corporativas.
• Single Sign-On Endpoint URL (URL del punto de conexión de inicio de sesión único): dirección URL del punto de conexión de inicio de sesión único del proveedor de identidades que recibe las solicitudes de autenticación. En Binding (Enlace), elija el del punto de conexión de inicio de sesión único que corresponda.
• Single Logout Endpoint URL (URL del punto de conexión de cierre de sesión único): dirección URL del punto de conexión de cierre de sesión único del proveedor de identidades que recibe las solicitudes de cierre de sesión. En Enlace, elija el que se corresponda con el punto de conexión de cierre de sesión único correspondiente.
• Signing Certificate (Certificado de firma): certificado codificado en Base64 que usa el proveedor de identidades para firmar digitalmente los mensajes del protocolo SAML enviados a Identity Authentication.

Asignación de usuarios de Microsoft Entra

1. En Azure Portal, seleccione Aplicaciones empresariales, elija Todas las aplicaciones y seleccione SAP Cloud Platform Identity Authentication.

2. En la lista de aplicaciones, seleccione SAP Cloud Platform Identity Authentication.

3. En Azure Portal, seleccione Usuarios y grupos.

4. Seleccione el botón Agregar usuario y elija los usuarios y grupos que quiera asignar a la aplicación en el cuadro de diálogo Agregar asignación.

5. Si espera cualquier valor de rol en la aserción de SAML, en el cuadro de diálogo Seleccionar rol, seleccione el rol adecuado para el usuario de la lista y, después, haga clic en el botón Seleccionar de la parte inferior de la pantalla. En el cuadro de diálogo Agregar asignación, seleccione el botón Asignar.

   Nota:

   No hace falta crear un usuario en SAP Cloud Platform Identity Authentication. Los usuarios que están en el almacén de usuarios de Microsoft Entra pueden utilizar la funcionalidad de inicio de sesión único (SSO). SAP Cloud Platform Identity Authentication es compatible con la opción de federación de identidades. Esta opción permite a la aplicación comprobar si los usuarios autenticados mediante el proveedor de identidades corporativas se encuentran en el almacén de usuarios de SAP Cloud Platform Identity Authentication. De manera predeterminada, la opción de federación de identidades está deshabilitada. Si se habilita, solo los usuarios que se importan de SAP Cloud Platform Identity Authentication pueden tener acceso a la aplicación.

6. Para comprobar el resultado, seleccione el icono de SAP Cloud Platform Identity Authentication en el Panel de acceso. Debería iniciar sesión automáticamente en la instancia de SAP Cloud Platform Identity Authentication para la que ha configurado el inicio de sesión único.