Integración de Microsoft Entra ID con SAP Fiori

Completado

La integración de SAP Fiori con Microsoft Entra ID proporciona las siguientes ventajas:

• Puede usar Microsoft Entra ID para controlar quién tiene acceso a SAP Fiori.
• Puede permitir que los usuarios inicien sesión automáticamente en SAP Fiori (inicio de sesión único) con sus cuentas de Microsoft Entra.
• Puede administrar sus cuentas en una ubicación central: Azure Portal.

Para configurar la integración de Microsoft Entra con SAP Fiori, necesita los siguientes elementos:

• Una suscripción a Microsoft Entra.
• Una suscripción de SAP Fiori habilitada para el inicio de sesión único.
• Se requiere SAP Fiori 7.20 o posterior.

Adición de SAP Fiori desde la galería

Para integrar SAP Fiori con Microsoft Entra ID, primero debe agregar SAP Fiori desde la galería de aplicaciones SaaS a su lista de aplicaciones SaaS administradas.

Configuración del inicio de sesión único de Microsoft Entra con SAP Fiori

Para que el inicio de sesión único funcione, es preciso establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de SAP Fiori. Realice las siguientes tareas:

1. Configure el inicio de sesión único de Microsoft Entra para que los usuarios puedan utilizar esta característica.
2. Configure el inicio de sesión único de SAP Fiori.
3. Asigne usuarios de Microsoft Entra a la aplicación SAP Fiori.
4. Cree usuarios de SAP Fiori vinculados a sus cuentas de usuario de Microsoft Entra.

Configuración del inicio de sesión único de Microsoft Entra

1. Abra una ventana del explorador web e inicie sesión como administrador en el sitio SAP Fiori de su compañía. Asegúrese de que los servicios http y https están activos y de que se asignan los puertos pertinentes al código de transacción SMICM.

2. Inicie sesión en SAP Business Client para el sistema SAP T01, en donde el inicio de sesión único es obligatorio. A continuación, activar la administración de sesiones de seguridad de HTTP. Vaya al código de transacción SICF_SESSIONS y revise los parámetros del perfil. Ajuste los parámetros en función de los requisitos de su organización y reinicie el sistema SAP.

3. Active los servicios SICF siguientes:

   • /sap/public/bc/sec/saml2
   • /sap/public/bc/sec/cdc_ext_service
   • /sap/bc/webdynpro/sap/saml2
   • /sap/bc/webdynpro/sap/sec_diag_tool (esto es solo para habilitar o deshabilitar el seguimiento)

4. Vaya al código de transacción SAML2 en el cliente empresarial del sistema SAP [T01/122]. La interfaz de usuario de configuración se abre en una nueva ventana del explorador. Escriba su nombre de usuario y contraseña, y haga clic en Log On (Entrar al sistema).

5. En el cuadro Provider Name (Nombre del proveedor), reemplace T01122 por <http://T01122> y seleccione Save (Guardar).

   Nota:

   De forma predeterminada, el nombre del proveedor tiene el formato _sid-cliente_. Microsoft Entra ID espera el nombre en el formato protocol://name. Se recomienda mantener el nombre del proveedor comohttps:// _sid-cliente_ para que pueda configurar varios motores de SAP Fiori ABAP en Microsoft Entra ID.

6. Seleccione la pestaña Local Provider (Proveedor local) / Metadata (Metadatos). En el cuadro de diálogo SAML 2.0 Metadata (Metadatos de SAML 2.0), descargue el archivo XML de metadatos generado y guárdelo en su equipo.

7. En Azure Portal, en el panel SAP Fiori application integration (Integración de la aplicación SAP Fiori), seleccione Inicio de sesión único.

8. En el panel Seleccionar un método de inicio de sesión único, seleccione el modo SAML o SAML/WS-Fed para habilitar el inicio de sesión único.

9. En el panel Configurar el inicio de sesión único con SAML, seleccione Editar (icono de lápiz) para abrir el panel Configuración básica de SAML.

10. En la sección Configuración básica de SAML, seleccione Cargar el archivo de metadatos y use esta opción para cargar el archivo de metadatos que había descargado.

11. Una vez que se haya cargado correctamente el archivo de metadatos, los valores de Identificador y URL de respuesta se rellenan automáticamente en el panel Configuración básica de SAML. En el cuadro URL de inicio de sesión, escriba una dirección URL que tenga el patrón siguiente: https://[instancia de SAP Fiori de su compañía].

12. La aplicación SAP Fiori espera que las aserciones de SAML estén en un formato específico. Las notificaciones incluyen nombreproporcionado, apellido, direccióncorreoelectrónico, nombre e Identificador de usuario único. Para administrar sus valores, en el panel Configuración del inicio de sesión único con SAML, seleccione Editar.

13. En el panel Atributos y notificaciones de usuario, configure los atributos del token de SAML. Después, complete los siguientes pasos:

    • Seleccione Editar para abrir el panel Administrar las notificaciones del usuario.
    • En la lista Transformación, seleccione ExtractMailPrefix() .
    • En la lista Parámetro 1, seleccione user.userprinicipalname.

14. En el panel Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, seleccione Descargar junto a XML de metadatos de federación.

15. Seleccione una opción de descarga según sus requisitos. Guarde el certificado en el equipo.

16. En la sección Configurar SAP Fiori, copie las direcciones URL siguientes en base a sus requisitos:

    • URL de inicio de sesión
    • Identificador de Microsoft Entra
    • URL de cierre de sesión

Configuración de inicio de sesión único en SAP Fiori

1. Inicie sesión en el sistema SAP y vaya al código de transacción SAML2. Se abre una nueva ventana del explorador con la página de configuración de SAML.

2. Para configurar los puntos de conexión para un proveedor de identidades de confianza (Microsoft Entra ID), vaya a la pestaña Proveedores de confianza.

3. Seleccione Add (Agregar) y luego Upload Metadata File (Cargar archivo de metadatos) en el menú contextual.

4. Cargue el archivo de metadatos que descargó de Azure Portal.

5. En la página siguiente, en el cuadro Alias, escriba un nombre de alias arbitrario.

6. Asegúrese de que el valor en el cuadro Digest Algorithm (Algoritmo de codificación) es SHA-256.

7. En Single Sign-On Endpoints (Puntos de conexión de inicio de sesión único), seleccione HTTP POST.

8. En Single Logout Endpoints (Puntos de conexión de cierre de sesión único), seleccione HTTP Redirect (Redirección HTTP).

9. Acepte la configuración predeterminada de Artifact Endpoints (Puntos de conexión de artefactos) y Authentication Requirements (Requisitos de autenticación).

10. Seleccione Trusted Provider (Proveedor de confianza) / Identity Federation y Unspecified (Sin especificar) en Supported NameID Formats (Formatos de id. de nombre admitidos).

11. Los valores Origen del identificador de usuario y Modo de asignación del identificador de usuario determinan el vínculo entre el usuario de SAP y la notificación de Microsoft Entra. Se admiten dos escenarios:

    • Escenario 1: Asignación de usuario de SAP a usuario de Microsoft Entra
    • Escenario 2: Seleccione el identificador de usuario SAP según la dirección de correo electrónico configurada en SU01. En este caso, el identificador de correo electrónico debe configurarse en SU01 para cada usuario que necesite el inicio de sesión único.

Asignar usuarios de Microsoft Entra

1. En Azure Portal, seleccione Aplicaciones empresariales, Todas las aplicaciones, SAP Fiori.

2. En la lista de aplicaciones, seleccione SAP Fiori.

3. Para comprobar el resultado, después de haber activado el proveedor de identidades Microsoft Entra ID en SAP Fiori, intente acceder a una de las siguientes direcciones URL para probar el inicio de sesión único como usuario asignado (no debería pedírsele un nombre de usuario y una contraseña):

   • https://help.sap.com/doc/saphelp_nw73ehp1/7.31.19/en-US/49/4594d63a293b5be10000000a42189b/content.htm
   • https://help.sap.com/doc/saphelp_nw73ehp1/7.31.19/en-US/49/4594d63a293b5be10000000a42189b/content.htm