Configurare Microsoft Entra ID, Azure API Management e SAP per SSO dal connettore SAP OData

È possibile configurare il connettore SAP OData per Power Platform per usare Microsoft Entra ID come credenziali per l'accesso Single Sign-On (SSO) a SAP. Ciò consente agli utenti di accedere ai dati SAP nelle Power Platform soluzioni senza dover accedere più volte a più servizi, rispettando al contempo le autorizzazioni e i ruoli assegnati in SAP.

Questo articolo illustra il processo, inclusa l'impostazione di un trust tra SAP e Microsoft Entra ID e la configurazione di Azure API Management per convertire il token ID OAuth di Microsoft Entra ID in un token SAML utilizzato per effettuare chiamate OData a SAP.

Puoi anche ottenere ulteriori informazioni dettagliate e contesto nel processo di configurazione nel post del blog, Il connettore SAP OData ora supporta OAuth2 e la propagazione dell'entità SAP.

Prerequisiti

• Istanza SAP
• Risorsa di Azure API Management

Scaricare i metadati SAML del provider locale da SAP

Per impostare una relazione di trust tra SAP e Microsoft Entra ID utilizzando SAML 2.0, scarica prima il file XML dei metadati da SAP.

Eseguire questi passaggi come amministratore SAP Basis in SAP GUI.

1. Nella GUI SAP, esegui la transazione SAML2 per aprire la procedura guidata dipendente dal client SAP pertinente e scegli la scheda Provider locale.

2. Seleziona Metadati, quindi seleziona Scarica metadati. Caricherai i metadati SAP SAML su Microsoft Entra ID in un passaggio successivo.

3. Prendi nota del nome del provider conforme all'URI.

Nota

Microsoft Entra ID richiede che questo valore sia conforme all'URI. Se il Nome provider è già impostato e non è conforme a URI, non modificarlo senza prima consultare il team SAP Basis. La modifica del Nome provider può compromettere le configurazioni SAML esistenti. I passaggi per modificarlo non rientrano nell'ambito di questo articolo. Consulta il team SAML Basis per indicazioni.

Per ulteriori informazioni, consulta la documentazione ufficiale di SAP.

Importazione di metadati SAP nell'applicazione aziendale Microsoft Entra ID

Esegui questi passaggi come amministratore di Microsoft Entra ID nel portale di Azure.

1. Seleziona Applicazioni aziendali>Microsoft Entra ID.

2. Seleziona Nuova applicazione.

3. CercaSAP Netweaver.

4. Assegna un nome all'applicazione aziendale, quindi seleziona Crea.

5. Vai a Single Sign-On e seleziona SAML.

6. Seleziona Carica file metadati e seleziona il file metadati scaricato da SAP.

7. Seleziona Aggiungi.

8. Modifica l'URL di risposta (URL del servizio consumer di asserzione) all'endpoint del token OAuth SAP. L'URL è nel formato https://<SAP server>:<port>/sap/bc/sec/oauth2/token.

9. Modificare l'URL di accesso in un valore compatibile con l'URI. Questo parametro non viene utilizzato e può essere impostato su qualsiasi valore conforme all'URI.

10. Seleziona Salva.

11. In Attributi e attestazioni, seleziona Modifica.

12. Verificare che Identificatore utente univoco nome dell'attestazione (ID Nome) sia impostato su user.userprincipalname [nameid=format:emailAddress].

13. In Certificati SAML, seleziona Scarica per Certificato (Base64) e XML metadati di federazione.

Configurazione di Microsoft Entra ID come provider di identità attendibile per la versione per OAuth 2.0 in SAP

1. Segui i passaggi descritti nella documentazione di Microsoft Entra ID per SAP NetWeaver e la sezione OAuth2.

2. Torna a questo articolo dopo aver creato il client OAuth2 in SAP.

Per ulteriori dettagli, consulta la documentazione su SAP NETWEAVER. Tieni presente che per accedere alle informazioni devi essere un amministratore SAP.

Creare un'applicazione Microsoft Entra ID che rappresenti la risorsa Gestione API Azure

Configura un'applicazione Microsoft Entra ID che conceda l'accesso al connettore SAP OData di Microsoft Power Platform. Questa applicazione consente a una risorsa di Gestione API di Azure di convertire i token OAuth in token SAML.

Esegui questi passaggi come amministratore di Microsoft Entra ID nel portale di Azure.

1. Seleziona Microsoft Entra ID>Registrazioni app>Nuova registrazione.

2. Immetti un Nome, quindi seleziona Registra.

3. Seleziona Certificati e segreti>Nuovo segreto client.

4. Immetti una Descrizione, quindi seleziona Aggiungi.

5. Copia e salva questo segreto in un posto sicuro.

6. Seleziona Autorizzazioni API>Aggiungi un'autorizzazione.

7. Seleziona Microsoft Graph>Autorizzazioni delegate.

8. Cerca e seleziona OpenID.

9. Selezionare Aggiungi autorizzazioni.

10. Seleziona Autenticazione>Aggiungi una piattaforma>Web.

11. Imposta URI di reindirizzamento su https://localhost:44326/signin-oidc.

12. Seleziona Token di accesso e ID token, quindi seleziona Configura.

13. Seleziona Esponi un'API.

14. Accanto a URI ID applicazione seleziona Aggiungi.

15. Accetta il valore predefinito e seleziona Salva.

16. Seleziona Aggiungi un ambito.

17. Imposta Nome ambito su user_impersonation.

18. Imposta Chi può dare il consenso? su Amministratori e utenti.

19. Seleziona Aggiungi un ambito.

20. Copia l'ID Application (client).

Autorizzare la risorsa Gestione API di Azure ad accedere a SAP Netweaver utilizzando l'applicazione aziendale Microsoft Entra ID

1. Quando viene creata un'applicazione aziendale Microsoft Entra ID, viene creata la registrazione di un'app corrispondente. Trova la registrazione dell'app che corrisponde all'applicazione aziendale Microsoft Entra ID che hai creato per SAP NetWeaver.

2. Seleziona Esponi un'API>Aggiungi un applicazione client.

3. Incolla l'ID applicazione (client) della registrazione app Microsoft Entra ID dell'istanza di Gestione API di Azure in ID client.

4. Seleziona l'ambito user_impersonation, quindi Aggiungi applicazione.

Autorizzare il connettore SAP OData di Microsoft Power Platform ad accedere alle API esposte da Gestione API Azure

1. Nella registrazione dell'app Microsoft Entra ID di Gestione API Azure seleziona Esponi un'API> Aggiungi l'ID client del connettore SAP OData di Power Platform6bee4d13-fd19-43de-b82c-4b6401d174c3 in Applicazioni client autorizzate.

2. Seleziona l'ambito user_impersonation, quindi Salva.

Configura SAPOAuth

Crea un client OAuth 2.0 in SAP che consenta ad Azure API Management di ottenere token per conto degli utenti.

Per i dettagli, consulta la documentazione ufficiale di SAP.

Eseguire questi passaggi come amministratore SAP Basis in SAP GUI.

1. Esegui la transazione SOAUTH2.

2. Seleziona Crea.

3. Nella pagina ID cliente:

   • Per ID client OAuth 2.0, seleziona un utente del sistema SAP.
   • Immetti una Descrizione, quindi seleziona Avanti.

4. Nella pagina Autenticazione client seleziona Avanti.

5. Nella pagina Impostazioni tipo di concessione:

   • Per IdP OAuth 2.0 attendibile, seleziona la voce Microsoft Entra ID.
   • Seleziona (...) in Aggiornamento consentito, quindi Aventi.

6. Nella pagina Assegnazione ambito, seleziona Aggiungi, seleziona i servizi OData utilizzati da Gestione API di Azure (ad esempio ZAPI_BUSINESS_PARTNER_0001), quindi seleziona Avanti.

7. Selezionare Fine.

Configurare Azure API Management

Importa i metadati XML SAP OData nella tua istanza di Gestione API Azure. Quindi, applica un criterio di Gestione API di Azure per convertire i token.

1. Apri l'istanza di Gestione API Azure e segui i passaggi per creare un'API OData SAP.

2. In API, seleziona Valori denominati.

3. Aggiungi le seguenti coppie chiave/valore:

Key	valore
AADSAPResource	URI del fornitore locale SAP
AADTenantId	GUID del tuo tenant
APIMAADRegisteredAppClientId	GUID applicazione di Microsoft Entra ID
APIMAADRegisteredAppClientSecret	Segreto client da passaggio precedente
SAPOAuthClientID	Utente di sistema SAP
SAPOAuthClientSecret	Password utente del sistema SAP
SAPOAuthRefreshExpiry	Scadenza aggiornamento token
SAPOAuthScope	Ambiti OData scelti durante la configurazione SAP OAuth
SAPOAuthServerAddressForTokenEndpoint	Endpoint SAP per Gestione API di Azure da chiamare per eseguire l'acquisizione del token

Nota

Tieni presente che le impostazioni differiscono leggermente per SAP SuccessFactors. Per ulteriori informazioni, vedi i criteri di gestione delle API Azure per SAP SuccessFactors.

Applica i criteri del token di Gestione API di Azure

Usare i criteri di gestione API Azure per convertire un token Microsoft Entra ID emesso in uno accettato da SAP NetWeaver. Questa operazione viene eseguita usando il flusso OAuth2SAMLBearer. Per altre informazioni, vedere la documentazione ufficiale di SAP.

1. Copia i criteri di Gestione API di Azure di esempio dalla pagina ufficiale di GitHub di Microsoft.

2. Apri il portale di Azure.

3. Vai alla risorsa Gestione API di Azure.

4. Seleziona API, quindi seleziona l'API OData che hai creato.

5. Seleziona Tutte le operazioni.

6. In Elaborazione in entrata, seleziona Criteri </>.

7. Elimina i criteri esistenti e incolla i criteri copiati.

8. Seleziona Salva.

Contenuto correlato

• Connettore SAP OData
• Il connettore SAP OData ora supporta OAuth2 e SAP Principal Propagation | Blog della community Power Automate
• Azure Criteri di gestione delle API per SAP SuccessFactors | GitHub (Hub di GitHub)
• Connettore SAP OData per SAP SuccessFactors | Blog della community SAP
• SAP Business Accelerator Hub offre anche contenuti relativi ai criteri della suite di integrazione SAP per SuccessFactors e NetWeaver. Per accedere a questo contenuto è necessario disporre di un account SAP.