Integración de Microsoft Entra ID con SAP NetWeaver

  • 13 minutos

La integración de SAP NetWeaver con Microsoft Entra ID proporciona las siguientes ventajas:

  • Puede controlar en Microsoft Entra ID quién tiene acceso a SAP NetWeaver.
  • Puede permitir que los usuarios inicien sesión automáticamente en SAP NetWeaver (inicio de sesión único) con su cuenta de usuario de Microsoft Entra.
  • Puede administrar sus cuentas en una ubicación central: Azure Portal.

Para configurar la integración de Microsoft Entra con SAP NetWeaver, necesita los siguientes elementos:

  • Una suscripción a Microsoft Entra
  • Una suscripción habilitada para el inicio de sesión único en SAP NetWeaver
  • SAP NetWeaver V7.20 como mínimo.

SAP NetWeaver admite el inicio de sesión único iniciado por SP.

Para configurar la integración de SAP NetWeaver con Microsoft Entra ID, agregue primero SAP NetWeaver desde la galería a su lista de aplicaciones SaaS administradas.

Configuración y prueba del inicio de sesión único de Microsoft Entra

Para configurar el inicio de sesión único de Microsoft Entra con SAP NetWeaver, siga estos pasos:

  1. Configuración del inicio de sesión único de Microsoft Entra: para permitir que los usuarios usen esta característica.
  2. Configuración del inicio de sesión único de SAP NetWeaver: para configurar los valores de inicio de sesión único en la aplicación.
  3. Asigne el usuario de prueba de Microsoft Entra ID a la aplicación Microsoft Entra.
  4. Cree usuarios de SAP NetWeaver vinculados a sus cuentas de usuario de Microsoft Entra.

Configuración del inicio de sesión único de Microsoft Entra

Para configurar y probar el inicio de sesión único de Microsoft Entra con SAP NetWeaver, complete los siguientes pasos:

  1. Abra una nueva ventana del explorador web e inicie sesión en el sitio de la compañía de SAP NetWeaver como administrador.

  2. Asegúrese de que los servicios http y https estén activos y de que estén asignados los puertos correspondientes en el código de transacción SMICM.

  3. Inicie sesión en el cliente empresarial del sistema SAP (T01), donde se requiere SSO, y active la administración de sesiones de seguridad HTTP.

  4. Vaya al Código de transacción SICF_SESSIONS. Revise todos los parámetros del perfil. Ajústelos a los requisitos de su organización y reinicie el sistema SAP.

  5. Haga doble clic en el cliente correspondiente para habilitar una sesión de seguridad HTTP.

  6. Active los servicios SICF siguientes:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (esto es solo para habilitar o deshabilitar el seguimiento)

  7. Vaya al Código de transacción SAML2 en el cliente empresarial del sistema SAP [T01/122]. Se abre una interfaz de usuario en el explorador.

  8. Proporcione su nombre de usuario y contraseña para acceder a la interfaz de usuario y seleccione Editar.

  9. Cambie Provider Name (Nombre del proveedor) de T01122 a <http://T01122> y seleccione Save (Guardar).

  10. De forma predeterminada, el nombre del proveedor tiene el formato [sid][cliente], pero Microsoft Entra ID espera el nombre con el formato protocolo://[sid][cliente]. Se recomienda mantener el nombre del proveedor como https://[sid][cliente] para permitir que se configuren varios motores de SAP NetWeaver ABAP en Microsoft Entra ID.

  11. Genere metadatos del proveedor de servicios: una vez que haya terminado de configurar los valores del proveedor local y los proveedores de confianza en la interfaz de usuario de SAML 2.0, el siguiente paso implica generar el archivo de metadatos del proveedor de servicios (que contendrá toda la configuración, los contextos de autenticación y otros valores de configuraciones de SAP).

  12. En la pestaña Local Provider (Proveedor local), seleccione Metadata (Metadatos).

  13. Guarde el archivo XML de metadatos generado en el equipo y cárguelo en la sección Configuración básica de SAML para rellenar automáticamente los valores de Identificador y URL de respuesta en Azure Portal.

  14. En Azure Portal, en la página SAP NetWeaver application integration (Integración de la aplicación SAP NetWeaver), seleccione Inicio de sesión único.

  15. En el cuadro de diálogo Seleccionar un método de inicio de sesión único, seleccione el modo SAML/WS-Fed para habilitar el inicio de sesión único.

  16. En la página Configuración del inicio de sesión único con SAML, seleccione el icono Editar para abrir el cuadro de diálogo Configuración básica de SAML.

  17. En la sección Configuración básica de SAML, siga estos pasos:

    1. Seleccione Cargar el archivo de metadatos para cargar el archivo de metadatos del proveedor de servicios que obtuvo antes.
    2. Seleccione el logotipo de carpeta para elegir el archivo de metadatos y elija Cargar.
    3. Una vez que se haya cargado correctamente el archivo de metadatos, los valores Identificador y Dirección URL de respuesta se rellenan automáticamente en el cuadro de texto de la sección Configuración básica de SAML, como se muestra:
    4. En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el patrón siguiente: https://[instancia de SAP NetWeaver de su compañía].

  18. La aplicación SAP NetWeaver espera las aserciones de SAML en un formato específico. Las notificaciones incluyen nombreproporcionado, apellido, direccióncorreoelectrónico, nombre e Identificador de usuario único. Puede administrar sus valores en la sección Atributos de usuario de la página de integración de la aplicación.

  19. En la página Configuración del inicio de sesión único con SAML, seleccione el botón Editar para abrir el cuadro de diálogo Atributos de usuario.

  20. En la sección Notificaciones del usuario del cuadro de diálogo Atributos de usuario, configure el atributo del token de SAML y siga estos pasos:

    1. Seleccione el icono Editar para abrir el cuadro de diálogo Administrar las notificaciones del usuario.
    2. En la lista Transformación, seleccione ExtractMailPrefix() .
    3. En la lista Parámetro 1, seleccione user.userprinicipalname.
    4. Seleccione Guardar.

  21. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, seleccione Descargar para descargar el XML de metadatos de federación de las opciones proporcionadas según sus requisitos y guárdalo en el equipo.

  22. En la sección Set up SAP NetWeaver (Configurar SAP NetWeaver), copie las direcciones URL adecuadas según sus necesidades.

    • URL de inicio de sesión
    • Identificador de Microsoft Entra
    • URL de cierre de sesión

Configuración del inicio de sesión único de SAP NetWeaver

  1. Inicie sesión en el sistema SAP y vaya al código de transacción SAML2. Se abre una nueva ventana del explorador con la pantalla de configuración de SAML.

  2. Para configurar puntos de conexión para el proveedor de identidades de confianza (Microsoft Entra ID), vaya a la pestaña Trusted Providers (Proveedores de confianza).

  3. Presione Agregar y seleccione Cargar archivo de metadatos en el menú contextual.

  4. Cargue el archivo de metadatos que descargó de Azure Portal.

  5. En la siguiente pantalla, escriba un nombre de Alias arbitrario. Asegúrese de que su algoritmo de síntesis sea SHA-256 y no requiera de ningún cambio y presione Siguiente.

  6. En Single Sign-On Endpoints (Puntos de conexión de inicio de sesión único), seleccione HTTP POST y elija Next (Siguiente) para continuar.

  7. En Single Logout Endpoints (Puntos de conexión de cierre de sesión único), seleccione HTTP Redirect (Redirección HTTP) y elija Next (Siguiente) para continuar.

  8. En Artifact Endpoints (Puntos de conexión de artefacto), presione Siguiente para continuar.

  9. En Authentication Requirements (Requisitos de autenticación), acepte la configuración predeterminada y seleccione Finish (Finalizar).

  10. Vaya a la pestaña Trusted Provider (Proveedor de confianza), Identity Federation (Federación de identidades).

  11. Seleccione Editar.

  12. Seleccione Add (Agregar) en la pestaña Identity Federation (Federación de identidades).

  13. En la ventana emergente, seleccione Sin especificar en Formatos de id. de nombre admitidos y elija Aceptar. Los valores de origen de id. de usuario y modo de asignación de id. de usuario determinan el vínculo entre el usuario de SAP y la notificación de Microsoft Entra.

  14. Hay dos escenarios posibles:

    • Escenario: Asignación de usuario SAP a usuario de Microsoft Entra.
    • Escenario: Seleccione el identificador de usuario SAP según la dirección de correo electrónico configurada en SU01. En este caso, el identificador de correo electrónico debe configurarse en su01 para cada usuario que requiera del inicio de sesión único.

  15. Seleccione Save (Guardar) y elija Enable (Habilitar) para habilitar el proveedor de identidades.

Asignación usuarios de Microsoft Entra

En Azure Portal, seleccione Aplicaciones empresariales, Todas las aplicaciones, SAP NetWeaver. En la lista de aplicaciones, seleccione SAP NetWeaver.

Creación de usuarios de SAP NetWeaver

  1. Para permitir que los usuarios de Microsoft Entra inicien sesión en SAP NetWeaver, debe aprovisionarlos en SAP NetWeaver. Trabaje con su equipo de expertos de SAP interno o con el asociado de SAP de su organización para agregar los usuarios a la plataforma SAP NetWeaver.
  2. Si desea verificar el resultado, una vez activado el proveedor de identidades de Microsoft Entra ID, vaya a <https://sapurl/sap/bc/bsp/sap/it00/default.htm> (reemplace sapurl por el nombre de host de SAP real) para comprobar el inicio de sesión único. No debería pedirle un nombre de usuario y contraseña.