Condividi tramite

Integrazione dell'accesso Single Sign-On (SSO) di Microsoft Entra con SAP Fiori

  • Articolo

In questo articolo si apprenderà come integrare SAP Fiori con Microsoft Entra ID. Integrando SAP Fiori con Microsoft Entra ID, è possibile:

  • Controllare in Microsoft Entra ID chi può accedere a SAP Fiori.
  • Abilitare gli utenti per l'accesso automatico a SAP Fiori con gli account Microsoft Entra personali.
  • Gestire gli account in un'unica posizione centrale.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

  • Sottoscrizione abilitata per il Single Sign-On (SSO) di SAP Fiori.

Descrizione dello scenario

In questo articolo viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

  • SAP Fiori supporta l'SSO avviato da SP

Nota

Per l'autenticazione iFrame avviata da SAP Fiori, è consigliabile usare il parametro IsPassive in SAML AuthnRequest per l'autenticazione invisibile all'utente. Per altri dettagli sul parametro IsPassive, vedere informazioni sull'accesso Single Sign-On di Microsoft Entra SAML.

Per configurare l'integrazione di SAP Fiori in Microsoft Entra ID, è necessario aggiungere SAP Fiori dalla raccolta all'elenco di app SaaS gestite.

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Cloud Application Administrator .
  2. Passare a Identity>Applications>Enterprise applications>New application.
  3. Nella sezione Aggiungi dalla raccolta, digitare SAP Fiori nella casella di ricerca.
  4. Selezionare SAP Fiori nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi mentre l'applicazione viene aggiunta al tenant.

In alternativa, è anche possibile usare Procedura guidata di configurazione delle app aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Scopri di più sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso SSO di Microsoft Entra per SAP Fiori

Configurare e testare l'accesso SSO di Microsoft Entra con SAP Fiori usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in SAP Fiori.

Per configurare e testare l'accesso SSO di Microsoft Entra con SAP Fiori, seguire questa procedura:

  1. Configurare l'SSO di Microsoft Entra - per consentire agli utenti di usare questa funzionalità.
    1. Creare un utente di test di Microsoft Entra : per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
    2. Assegnare l'utente di prova di Microsoft Entra - per consentire a B.Simon di utilizzare il single sign-on di Microsoft Entra.
  2. Configurare l'SSO di SAP Fiori - per configurare le impostazioni di SSO sul lato applicazione.
    1. Creare l'utente di test di SAP Fiori: per avere una controparte di B.Simon in SAP Fiori collegata alla rappresentazione dell'utente in Microsoft Entra.
  3. Testare SSO: per verificare se la configurazione funziona.

Configurare SSO di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

  1. Aprire una nuova finestra del Web browser e accedere al sito aziendale di SAP Fiori come amministratore.

  2. Assicurarsi che servizi http e https siano attivi e che le porte pertinenti siano assegnate al codice della transazione SMICM.

  3. Accedi a SAP Business Client per il sistema SAP T01, dove è richiesto il single sign-on. Attivare quindi la gestione della sessione di sicurezza HTTP.

    1. Passare al codice della transazione SICF_SESSIONS. Vengono visualizzati tutti i parametri del profilo pertinenti con i valori correnti. L'esempio seguente è simile al seguente:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Nota

      Modificare i parametri in base ai requisiti dell'organizzazione. I parametri precedenti vengono forniti solo come esempio.

    2. Se necessario, modificare i parametri nel profilo dell'istanza (impostazione predefinita) del sistema SAP e riavviare il sistema SAP.

    3. Fare doppio clic sul client pertinente per abilitare una sessione di sicurezza HTTP.

      la pagina dei valori correnti dei parametri pertinenti del profilo in SAP

    4. Attivare i servizi SICF seguenti:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Passare al codice della transazione SAML2 nel sistema Business Client for SAP [T01/122]. L'interfaccia utente di configurazione viene aperta in una nuova finestra del browser. In questo esempio viene usato Business Client per il sistema SAP 122.

    pagina di accesso del client SAP Fiori Business

  5. Immettere il nome utente e la password e quindi selezionare Accedi.

    pagina SAML 2.0 Configuration of ABAP System T01/122 (Configurazione SAML 2.0 del sistema ABAP T01/122) in SAP

  6. Nella casella Nome provider sostituire T01122 con http://T01122e quindi selezionare Salva.

    Nota

    Per impostazione predefinita, il nome del provider è nel formato <sid><client>. Microsoft Entra ID prevede il nome nel formato <protocollo>:// nome<>. È consigliabile mantenere il nome del provider come https://<sid><client> in modo da poter configurare più motori SAP Fiori ABAP in Microsoft Entra ID.

    Il nome del provider aggiornato nella pagina di configurazione SAML 2.0 del sistema ABAP T01/122 in SAP

  7. Selezionare la scheda Provider Locale>Metadati.

  8. Nella finestra di dialogo SAML 2.0 Metadata, scaricare il file XML dei metadati generato e salvarlo sul computer.

    Il link Scarica metadati nella finestra di dialogo Metadati SAML 2.0 di SAP

  9. Accedi al centro di amministrazione di Microsoft Entra come almeno un Amministratore di Applicazioni Cloud .

  10. Passare a Identity>Applications>Enterprise applications>SAP Fiori>Single Sign-On.

  11. Nella pagina Selezionare il metodo di accesso Single Sign-On (SSO), selezionare SAML.

  12. Nella pagina Configura Accesso Single Sign-On con SAML, fare clic sull'icona a forma di matita per la Configurazione SAML di Base ed editare le impostazioni.

    Modificare la configurazione SAML di base

  13. Nella sezione Configurazione SAML di base, se hai un file di metadati del provider di servizi, segui la seguente procedura:

    1. Fare clic su Carica file di metadati.

      Caricare il file di metadati

    2. Fare clic sul logo cartella per selezionare il file di metadati e fare clic su Carica.

      scegliere file di metadati

    3. Quando il file di metadati viene caricato correttamente, i valori identificatore e URL di risposta vengono popolati automaticamente nel riquadro configurazione SAML di base. Nella casella URL di accesso , immettere un URL con il modello seguente: https://<your company instance of SAP Fiori>.

      Nota

      Alcuni clienti hanno rilevato un errore di un URL di risposta non corretto configurato per l'istanza. Se viene visualizzato un errore di questo tipo, usare questi comandi di PowerShell. Per prima cosa, aggiornare gli URL di risposta nell'oggetto dell'applicazione con l'URL di risposta, quindi aggiornare il principale del servizio. Usare il Get-MgServicePrincipal per ottenere il valore dell'ID principal del servizio.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. L'applicazione SAP Fiori prevede che le asserzioni SAML siano in un formato specifico. Configurare le dichiarazioni seguenti per questa applicazione. Per gestire questi valori di attributo, nel riquadro Configura Sign-On singola con SAML selezionare Modifica.

    riquadro Attributi utente

  15. Nel riquadro Attributi utente & attestazioni configurare gli attributi del token SAML come illustrato nell'immagine precedente. Completare quindi i passaggi seguenti:

    1. Selezionare Modifica per aprire il riquadro Gestisci attestazioni utente.

    2. Nell'elenco Trasformazione, seleziona ExtractMailPrefix().

    3. Nell'elenco Parametro 1 selezionare user.userprincipalname.

    4. Selezionare Salva.

      riquadro Gestisci attestazioni utente

      la sezione Trasformazione nel riquadro Gestione delle attestazioni utente

  16. Nella pagina Configurare l'accesso Single Sign-On con SAML, nella sezione Certificato di Firma SAML, trova Federation Metadata XML e seleziona Download per scaricare il certificato e salvarlo sul tuo computer.

    Collegamento di download del certificato

  17. Nella sezione Configura SAP Fiori copiare gli URL appropriati in base alle esigenze.

    Copiare gli URL di configurazione

Creare un utente di test di Microsoft Entra

In questa sezione verrà creato un utente di test di nome B.Simon.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore Utente .
  2. Naviga verso Identity>Users>Tutti gli utenti.
  3. Selezionare Nuovo utente>Crea nuovo utente, nella parte superiore della schermata.
  4. Nelle proprietà User seguire questa procedura:
    1. Nel campo Nome visualizzato inserire B.Simon.
    2. Nel campo Nome utente principale inserire il username@companydomain.extension. Ad esempio, B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi annotare il valore visualizzato nella casella Password.
    4. Selezionare Rivedi e crea.
  5. Selezionare Crea.

Assegna l'utente di test di Microsoft Entra

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On concedendole l'accesso a SAP Fiori.

  1. Accedi al centro di amministrazione di Microsoft Entra come almeno un amministratore delle applicazioni cloud .
  2. Navigare a Identità>Applicazioni>Applicazioni aziendali>SAP Fiori.
  3. Nella pagina di panoramica dell'app selezionare Utenti e gruppi.
  4. Selezionare Aggiungi utente/gruppo, quindi selezionare Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
    1. Nella finestra di dialogo utenti e gruppi selezionare B.Simon dall'elenco Utenti, quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
    2. Se si prevede che un ruolo venga assegnato agli utenti, è possibile selezionarlo dall'elenco a discesa Selezionare un ruolo. Se non è stato configurato alcun ruolo per questa app, viene visualizzato il ruolo "Accesso predefinito" selezionato.
    3. Nella finestra di dialogo Aggiungi Assegnazione, fare clic sul pulsante Assegna.

Configurare l'SSO di SAP Fiori

  1. Accedere al sistema SAP e passare al codice della transazione SAML2. Verrà visualizzata una nuova finestra del browser con la pagina di configurazione SAML.

  2. Per configurare gli endpoint per un provider di identità attendibile (Microsoft Entra ID), selezionare la scheda Provider Attendibili.

    scheda Provider attendibili in SAP

  3. Selezionare Aggiungie quindi selezionare Carica file di metadati dal menu di scelta rapida.

    opzioni Aggiungi e carica file di metadati in SAP

  4. Caricare il file di metadati scaricato. Selezionare Avanti.

    Selezionare il file di metadati da caricare in SAP

  5. Nella pagina successiva, nella casella alias, immettere il nome dell'alias. Ad esempio, aadsts. Selezionare Avanti.

    La casella Alias in SAP

  6. Assicurarsi che il valore nella casella Algoritmo Digest sia SHA-256. Selezionare Avanti.

    Verificare il valore dell'algoritmo digest in SAP

  7. In Endpoint Sign-On singoliselezionare HTTP POSTe quindi selezionare Avanti.

    opzioni Endpoint Sign-On singoli in SAP

  8. In Single Logout Endpointsselezionare HTTP Redirect, e quindi selezionare Next.

    Opzioni dei punti finali per il logout singolo in SAP

  9. In Endpoint degli artefatti, selezionare Avanti per continuare.

    opzioni Artifact Endpoints in SAP

  10. In Requisiti di autenticazione, selezionare Fine.

    opzioni dei requisiti di autenticazione e l'opzione Fine in SAP

  11. Selezionare il provider attendibile della federazione delle identità> (nella parte inferiore della pagina). Selezionare Modifica.

    schede Fornitore Attendibile e Federazione delle Identità in SAP

  12. Selezionare Aggiungi.

    L'opzione Aggiungi nella scheda Federazione delle Identità

  13. Nella finestra di dialogo Formati NameID supportati, selezionare Non specificato. Selezionare OK.

    la finestra di dialogo Formati NameID supportati e opzioni in SAP

    I valori per origine ID utente e modalità di mapping ID utente determinano il collegamento tra l'utente SAP e l'attestazione Microsoft Entra.

    scenario 1: mapping utente SAP a Microsoft Entra

    1. In SAP, in Dettagli del formato NameID "Non specificato", annotare i dettagli:

      Screenshot che mostra la finestra di dialogo 'Dettagli del formato NameID

    2. Nel portale di Azure, nella sezione Attributi utente & dichiarazioni, prendere nota delle dichiarazioni necessarie dall'ID di Microsoft Entra.

      Screenshot che mostra la finestra di dialogo

    scenario 2: selezionare l'ID utente SAP in base all'indirizzo di posta elettronica configurato in SU01. In questo caso, l'ID di posta elettronica deve essere configurato in SU01 per ogni utente che richiede l'accesso SSO.

    1. In SAP, in Dettagli del formato NameID "Non specificato"prendere nota dei seguenti dettagli:

      Dettagli della finestra di dialogo del formato NameID

    2. Nel portale di Azure, sotto Attributi utente & claim, annotare le claim necessarie da Microsoft Entra ID.

      Finestra di dialogo Attributi Utente e Attestazioni nel portale di Azure

  14. Selezionare Salvae quindi selezionare Abilita per abilitare il provider di identità.

    le opzioni Salva e Abilita in SAP

  15. Selezionare OK quando richiesto.

    L'opzione OK nella finestra di dialogo Configurazione SAML 2.0 in SAP

Creare l'utente di test di SAP Fiori

In questa sezione viene creato un utente di nome Britta Simon in SAP Fiori. Collaborare con il team sap interno di esperti o con il partner SAP dell'organizzazione per aggiungere l'utente alla piattaforma SAP Fiori.

Test SSO

  1. Dopo aver attivato l'ID Microsoft Entra del provider di identità in SAP Fiori, provare ad accedere a uno degli URL seguenti per testare l'accesso Single Sign-On (non è consigliabile richiedere un nome utente e una password):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Nota

    Sostituire <sap-url> con il nome host SAP effettivo.

  2. L'URL di test deve portarti alla seguente pagina dell'applicazione di test in SAP. Se si apre la pagina, viene configurato correttamente l'accesso Single Sign-On di Microsoft Entra.

    La pagina dell'applicazione di test standard in SAP

  3. Se viene richiesto un nome utente e una password, abilitare la traccia per diagnosticare il problema. Usare l'URL seguente per la traccia:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Contenuto correlato

Dopo aver configurato SAP Fiori, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione si estende dall'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.