Esercitazione: Integrazione del Single Sign-On (SSO) di Microsoft Entra con SAP Business Technology Platform

Questa esercitazione descrive come integrare SAP Business Technology Platform con Microsoft Entra ID. Integrando SAP Business Technology Platform con Microsoft Entra ID, è possibile:

• Controllare in Microsoft Entra ID chi può accedere a SAP Business Technology Platform.
• Abilitare gli utenti per l'accesso automatico a SAP Business Technology Platform con gli account Microsoft Entra personali.
• Gestire gli account in un'unica posizione centrale.

Prerequisiti

Per iniziare, sono necessari gli elementi seguenti:

• Sottoscrizione di Microsoft Entra. Se non si ha una sottoscrizione, è possibile ottenere un account gratuito .
• Sottoscrizione di SAP Business Technology Platform con sign-on unico (SSO) abilitato.

Importante

Per testare l'accesso Single Sign-On, è necessario distribuire un'applicazione o sottoscrivere un'applicazione nell'account SAP Business Technology Platform. In questa esercitazione un'applicazione viene distribuita nell'account.

Descrizione dello scenario

In questa esercitazione viene configurato e testato l'accesso Single Sign-On di Microsoft Entra in un ambiente di test.

• SAP Business Technology Platform supporta SP con SSO avviato da.

Aggiungere SAP Business Technology Platform dalla Galleria

Per configurare l'integrazione di SAP Business Technology Platform in Microsoft Entra ID, è necessario aggiungere SAP Business Technology Platform dalla raccolta all'elenco di app SaaS gestite.

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud .
2. Passare a Identity>Applications>Enterprise applications>Nuova applicazione.
3. Nella sezione Aggiungi dalla raccolta, digitare nella casella di ricerca SAP Business Technology Platform.
4. Selezionare SAP Business Technology Platform nel pannello dei risultati e quindi aggiungere l'app. Attendi alcuni secondi mentre l'app viene aggiunta al tenant.

In alternativa, è possibile usare anche la Procedura guidata di configurazione delle app aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Ulteriori informazioni sui wizard di Microsoft 365.

Configurare e testare Microsoft Entra SSO for SAP Business Technology Platform

Configurare e testare il Single Sign-On (SSO) di Microsoft Entra con SAP Business Technology Platform utilizzando un utente di test chiamato B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in SAP Business Technology Platform.

Per configurare e testare l'accesso SSO di Microsoft Entra con SAP Business Technology Platform, seguire questa procedura:

1. Configurare il Single Sign-On di Microsoft Entra per consentire agli utenti di utilizzare questa funzionalità.
   1. Creare un utente di test di Microsoft Entra : per testare l'accesso Single Sign-On di Microsoft Entra con Britta Simon.
   2. Assegnare l'utente di test di Microsoft Entra - per permettere a Britta Simon di utilizzare il single sign-on di Microsoft Entra.
2. Configurare l'accesso Single di SAP Business Technology Platform: per configurare le impostazioni di Single Sign-On sul lato applicazione.
   1. Creare un utente di test sulla SAP Business Technology Platform: per avere una controparte di Britta Simon collegata alla rappresentazione dell'utente su Microsoft Entra.
3. Testare SSO: per verificare se la configurazione funziona.

Configurare SSO di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

1. Accedi al centro di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud .

2. Passare a Identity>Applications>Enterprise applications>SAP Business Technology Platform>Single Sign-On.

3. Nella pagina Selezionare un metodo di Single Sign-On, selezionare SAML.

4. Nella pagina Configura accesso Single Sign-On con SAML, fare clic sull'icona a forma di matita per la Configurazione SAML di base per modificare le impostazioni.

   

5. Nella sezione configurazione SAML di base immettere i valori per i campi seguenti:

   un. Nella casella di testo identificatore fornirai un URL di tipo SAP Business Technology Platform usando uno dei modelli seguenti.

   identificatore
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. Nella casella di testo URL di risposta digitare un URL usando uno dei modelli seguenti:

   URL di risposta
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. Nella casella di testo URL di accesso, digitare l'URL usato dai tuoi utenti per accedere alla tua applicazione SAP Business Technology Platform. Si tratta dell'URL specifico dell'account di una risorsa protetta nell'applicazione SAP Business Technology Platform. L'URL si basa sul modello seguente: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Nota

   Si tratta dell'URL nell'applicazione SAP Business Technology Platform che richiede l'autenticazione dell'utente.

   URL di accesso
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Nota

   Questi valori non sono reali. Aggiornare questi valori con l'identificatore effettivo, l'URL di risposta e l'URL di accesso. Contattare team di supporto clienti di SAP Business Technology Platform per ottenere l'URL e l'identificatore di Sign-On. URL di risposta che è possibile ottenere dalla sezione relativa alla gestione dell'attendibilità, illustrata più avanti nell'esercitazione.

6. Nella pagina Configura il Singolo Sign-On con SAML, nella sezione Certificato di firma SAML, fai clic su Download per scaricare l'XML dei Metadati della Federazione dalle opzioni date secondo le tue esigenze e salvalo sul tuo computer.

   

Creare un utente di test di Microsoft Entra

In questa sezione verrà creato un utente di test di nome B.Simon.

1. Accedi al centro di amministrazione di Microsoft Entra come amministratore utente o con un ruolo superiore.
2. Passare a Identity>Users>Tutti gli utenti.
3. Selezionare Nuovo utente>Crea nuovo utente, nella parte superiore della schermata.
4. Nelle proprietà User seguire questa procedura:
   1. Nel campo Nome visualizzato immettere B.Simon.
   2. Nel campo Nome principale utente immettere il username@companydomain.extension. Ad esempio, B.Simon@contoso.com.
   3. Selezionare la casella di controllo Mostra password e quindi annotare il valore visualizzato nella casella Password.
   4. Selezionare Rivedi e crea.
5. Selezionare Crea.

Assegnare l'utente di test di Microsoft Entra

In questa sezione, B.Simon sarà abilitato/a all'uso del Single Sign-On consentendogli/le l'accesso a SAP Business Technology Platform.

1. Effettua l'accesso all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud .
2. Navigare fino a Identity>Applications>Enterprise applications>SAP Business Technology Platform.
3. Nella pagina di panoramica dell'app selezionare Utenti e gruppi.
4. Selezionare Aggiungi utente/gruppo, quindi selezionare Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
   1. Nella finestra di dialogo utenti e gruppi selezionare B.Simon dall'elenco Utenti, quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
   2. Se si prevede che un ruolo venga assegnato agli utenti, è possibile selezionarlo dall'elenco a discesa Selezionare un ruolo. Se non è stato configurato alcun ruolo per questa app, viene visualizzato il ruolo "Accesso predefinito" selezionato.
   3. Nella finestra di dialogo Aggiungi assegnazione, fare clic sul pulsante Assegna.

Configurare SSO di SAP Business Technology Platform

1. In un'altra finestra del Web browser, accedere al SAP Business Technology Platform Cockpit in https://account.<landscape host>.ondemand.com/cockpit(ad esempio, https://account.hanatrial.ondemand.com/cockpit).

2. Fare clic sulla scheda Trust.

   

3. Nella sezione Gestione attendibilità, in fornitore di servizi locali, seguire i seguenti passaggi:

   

   un. Fare clic su Modifica.

   b. Come Tipo di configurazione, selezionare Personalizzato.

   c. Come Nome provider locale, lasciare il valore predefinito. Copiare questo valore e incollarlo nel campo identificatore nella configurazione di Microsoft Entra per SAP Business Technology Platform.

   d. Per generare una coppia di chiavi chiave di firma e certificato di firma, fare clic su Genera coppia di chiavi.

   e. Come propagazione principale, selezionare Disabilitato.

   f. Come la Forza Autenticazione, selezionare Disabilitato.

   g. Fare clic su Salva.

4. Dopo aver salvato le impostazioni di del provider di servizi locali, eseguire le operazioni seguenti per ottenere l'URL di risposta:

   

   un. Scarica il file di metadati di SAP Business Technology Platform facendo clic su Recupera metadati.

   b. Aprire il file XML dei metadati di SAP Business Technology Platform scaricato e quindi individuare il tag ns3:AssertionConsumerService.

   c. Copiare il valore dell'attributo Location e incollarlo nel campo Reply URL nella configurazione di Microsoft Entra per la piattaforma tecnologica SAP Business.

5. Fare clic sulla scheda provider di identità attendibili e quindi fare clic su Aggiungi provider di identità attendibile.

   

   Nota

   Per gestire l'elenco dei provider di identità attendibili, è necessario aver scelto il tipo di configurazione personalizzato nella sezione Provider di servizi locali. Per il tipo di configurazione predefinito, hai un trust non modificabile e implicito per il servizio ID SAP. Non hai impostazioni di attendibilità per Nessuno.

6. Fare clic sulla scheda Generale e quindi fare clic su Sfoglia per caricare il file di metadati scaricato.

   

   Nota

   Dopo aver caricato il file di metadati, i valori per URL single sign-on, URL di disconnessione singolae certificato di firma vengono popolati automaticamente.

7. Fare clic sulla scheda attributi.

8. Nella scheda Attributi seguire questa procedura:

   

   un. Fai clic su Aggiungi Assertion-Based Attributo, e quindi aggiungere i seguenti attributi basati su asserzioni:

   Attributo di asserzione	Attributo principal
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	firstname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	lastname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	E-mail

   Nota

   La configurazione degli attributi dipende dal modo in cui vengono sviluppate le applicazioni in SCP, ovvero quali attributi si aspettano nella risposta SAML e con quale nome (attributo principale) accedono a questo attributo nel codice.

   b. L'attributo predefinito nello screenshot è solo a scopo illustrativo. Non è necessario fare in modo che lo scenario funzioni.

   c. I nomi e i valori per attributo principal mostrati nello screenshot dipendono dal modo in cui viene sviluppata l'applicazione. È possibile che l'applicazione richieda mapping diversi.

Gruppi basati su asserzioni

Come passaggio facoltativo, è possibile configurare gruppi basati su asserzioni per il provider di identità Microsoft Entra.

L'uso di gruppi in SAP Business Technology Platform consente di assegnare dinamicamente uno o più utenti a uno o più ruoli nelle applicazioni SAP Business Technology Platform, determinati dai valori degli attributi nell'asserzione SAML 2.0.

Ad esempio, se l'asserzione contiene l'attributo "contract=temporary", è possibile che tutti gli utenti interessati vengano aggiunti al gruppo "TEMPORARY". Il gruppo "TEMPORARY" può contenere uno o più ruoli da una o più applicazioni distribuite nell'account SAP Business Technology Platform.

Usare i gruppi basati su asserzioni quando si vogliono assegnare simultaneamente molti utenti a uno o più ruoli di applicazioni nell'account SAP Business Technology Platform. Se si vuole assegnare solo un singolo o piccolo numero di utenti a ruoli specifici, è consigliabile assegnarli direttamente nella scheda "Autorizzazioni" del pannello di controllo sap Business Technology Platform.

Creare l'utente di test di SAP Business Technology Platform

Per consentire agli utenti di Microsoft Entra di accedere a SAP Business Technology Platform, è necessario assegnare loro ruoli in SAP Business Technology Platform.

Per assegnare un ruolo a un utente, seguire questa procedura:

1. Accedi al cockpit di SAP Business Technology Platform.

2. Eseguire le operazioni seguenti:

   

   un. Fai clic su Autorizzazione.

   b. Cliccare sulla scheda Utenti.

   c. Nella casella di testo utente digitare l'indirizzo di posta elettronica dell'utente.

   d. Fare clic su Assegna per assegnare l'utente a un ruolo.

   e. Fare clic su Salva.

Test SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

• Fare clic su Testa questa applicazione, verrà eseguito il reindirizzamento all'URL di accesso di SAP Business Technology Platform in cui è possibile avviare la procedura di accesso.

• Passare direttamente all'URL di accesso di SAP Business Technology Platform e avviare il flusso di accesso da questa posizione.

• È possibile usare Microsoft My Apps. Quando si fa clic sul riquadro di SAP Business Technology Platform in My Apps, si dovrebbe accedere automaticamente all'applicazione SAP Business Technology Platform per cui si è configurato l'accesso SSO. Per altre informazioni sulle app personali, vedere Introduzione alle app personali.

Passaggi successivi

• Dopo aver configurato SAP Business Technology Platform, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione si estende dall'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.
• Gestire l'accesso alle app SAP BTP tramite gruppi