SAP Fiori와 Microsoft Entra ID 통합

  • 11분

SAP Fiori를 Azure AD와 통합하면 다음과 같은 이점이 있습니다.

  • SAP Fiori에 액세스할 수 있는 사용자를 Microsoft Entra ID를 사용하여 제어할 수 있습니다.
  • 사용자는 Microsoft Entra 계정을 사용하여 SAP Fiori에 자동으로 로그인(Single Sign-On)할 수 있습니다.
  • 단일 중앙 위치인 Azure Portal에서 계정을 관리할 수 있습니다.

SAP Fiori와 Microsoft Entra 통합을 구성하려면 다음 항목이 필요합니다.

  • Microsoft Entra 구독.
  • Single Sign-On을 사용하도록 설정된 SAP Fiori 구독
  • SAP Fiori 7.20 이상이 필요합니다.

SAP Fiori를 Microsoft Entra ID와 통합하려면 먼저 SaaS 애플리케이션 갤러리의 SAP Fiori를 관리되는 SaaS 앱 목록에 추가해야 합니다.

SAP Fiori를 사용하여 Microsoft Entra Single Sign-On 구성

Single Sign-On이 작동되도록 하려면 Microsoft Entra 사용자와 SAP Fiori의 관련 사용자 간에 연결된 관계를 설정해야 합니다. 다음 작업을 완료합니다.

  1. Microsoft Entra Single Sign-On 구성 - 사용자가 이 기능을 사용할 수 있도록 합니다.
  2. SAP Fiori Single Sign-on을 구성합니다.
  3. SAP Fiori 애플리케이션에 Microsoft Entra 사용자를 할당합니다.
  4. Microsoft Entra 사용자 계정에 연결된 SAP Fiori 사용자를 만듭니다.

Microsoft Entra Single Sign-On 구성

  1. 새 웹 브라우저 창을 열고 SAP Fiori 회사 사이트에 관리자로 로그인합니다. http 및 https 서비스가 활성화되고 적절한 포트가 트랜잭션 코드 SMICM에 할당되었는지 확인합니다.

  2. SAP Business Client for SAP 시스템 T01에 로그인합니다. 여기서는 반드시 Single Sign-On이 필요합니다. 그런 다음, HTTP 보안 세션 관리를 활성화합니다. 트랜잭션 코드 SICF_SESSIONS로 이동하여 프로필 매개 변수를 검토합니다. 조직 요구 사항에 따라 매개 변수를 조정하고 SAP 시스템을 다시 시작합니다.

  3. 다음 SICF 서비스를 활성화합니다.

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool(추적을 활성화/비활성화하기 위해서만 해당)

  4. Business Client for SAP 시스템[T01/122]의 트랜잭션 코드 SAML2로 이동합니다. 구성 UI가 새 브라우저 창에서 열립니다. 사용자 이름 및 암호를 입력한 다음, 로그온을 선택합니다.

  5. 공급자 이름 상자에서 T01122<http://T01122>로 바꾼 다음, 저장을 선택합니다.

    참고

    기본적으로 공급자 이름은 _sid-client_ 형식입니다. Microsoft Entra ID에서는 이름이 protocol://name 형식이어야 합니다. Microsoft Entra ID에서 여러 SAP Fiori ABAP 엔진을 구성할 수 있도록 공급자 이름을 https:// _sid-client_로 유지하는 것이 좋습니다.

  6. 로컬 공급자 탭 / 메타데이터를 선택합니다. SAML 2.0 메타데이터 대화 상자에서 생성된 메타데이터 XML 파일을 다운로드하고 컴퓨터에 저장합니다.

  7. Azure Portal의 SAP Fiori 애플리케이션 통합 창에서 Single Sign-On을 선택합니다.

  8. Single Sign-On 방법 선택 창에서 SAML 또는 SAML/WS-Fed 모드를 선택하여 Single Sign-On을 사용하도록 설정합니다.

  9. SAML로 Single Sign-On 설정 창에서 편집(연필 모양 아이콘)을 선택하여 기본 SAML 구성 창을 엽니다.

  10. 기본 SAML 구성 섹션에서 메타데이터 파일 업로드를 선택하고 메타데이터 파일 업로드 옵션을 사용하여 이전에 다운로드한 메타데이터 파일을 업로드합니다.

  11. 메타데이터 파일이 성공적으로 업로드되면 식별자회신 URL 값이 기본 SAML 구성 창에 자동으로 채워집니다. 로그온 URL 상자에 https://[SAP Fiori의 회사 인스턴스] 패턴의 URL을 입력합니다.

  12. SAP Fiori 애플리케이션에는 특정 형식의 SAML 어설션이 필요합니다. givenname, surname, emailaddress, name고유한 사용자 ID를 포함하는 클레임입니다. 해당 값을 관리하려면 SAML로 Single Sign-On 설정 창에서 편집을 선택합니다.

  13. 사용자 특성 및 클레임 창에서 SAML 토큰 특성을 구성합니다. 그리고 나서 다음 단계를 완료합니다.

    • 편집을 선택하여 사용자 클레임 관리 창을 엽니다.
    • 변환 목록에서 ExtractMailPrefix() 를 선택합니다.
    • 매개 변수 1 목록에서 user.userprinicipalname을 선택합니다.

  14. SAML로 Single Sign-On 설정 창의 SAML 서명 인증서 섹션에서 페더레이션 메타데이터 XML 옆에 있는 다운로드를 선택합니다.

  15. 요구 사항에 따라 다운로드 옵션을 선택합니다. 인증서를 컴퓨터에 저장합니다.

  16. SAP Fiori 설정 섹션에서 요구 사항에 따라 다음 URL을 복사합니다.

    • 로그인 URL
    • Microsoft Entra 식별자
    • 로그아웃 URL

SAP Fiori Single Sign-On 구성

  1. SAP 시스템에 로그인하여 트랜잭션 코드 SAML2로 이동합니다. 새 브라우저 창에 SAML 구성 페이지가 열립니다.

  2. 신뢰할 수 있는 ID 공급자(Microsoft Entra ID)에 대한 엔드포인트를 구성하려면 신뢰할 수 있는 공급자 탭을 선택합니다.

  3. 추가를 선택하고 바로 가기 메뉴에서 메타데이터 파일 업로드를 선택합니다.

  4. Azure Portal에서 다운로드한 메타데이터 파일을 업로드합니다.

  5. 다음 페이지의 별칭 상자에 임의의 별칭 이름을 입력합니다.

  6. 다이제스트 알고리즘 상자의 값이 SHA-256인지 확인합니다.

  7. Single Sign-On 엔드포인트 아래에서 HTTP POST를 선택합니다.

  8. 단일 로그아웃 엔드포인트 아래에서 HTTP 리디렉션을 선택합니다.

  9. 아티팩트 엔드포인트인증 요구 사항의 기본 설정을 적용합니다.

  10. 신뢰할 수 있는 공급자 / ID 페더레이션 및 지정되지 않은 지원되는 NameID 형식을 선택합니다.

  11. 사용자 ID 원본사용자 ID 매핑 모드 값은 SAP 사용자와 Microsoft Entra 클레임 간의 링크를 결정합니다. 지원되는 두 가지 시나리오는 다음과 같습니다.

    • 시나리오 1: SAP 사용자-Microsoft Entra 사용자 매핑
    • 시나리오 2: SU01에 구성된 이메일 주소를 기반으로 SAP 사용자 ID를 선택합니다. 이 경우 이메일 ID는 SSO를 필요로 하는 각 사용자에 대해 SU01에서 구성되어야 합니다.

Microsoft Entra 사용자 할당

  1. Azure Portal에서 엔터프라이즈 애플리케이션, 모든 애플리케이션, SAP Fiori를 차례로 선택합니다.

  2. 애플리케이션 목록에서 SAP Fiori를 선택합니다.

  3. 결과를 확인하려면 Microsoft Entra ID가 SAP Fiori에서 활성화된 후 다음 URL 중 하나에 액세스하여 할당된 사용자로 Single Sign-On을 테스트합니다(사용자 이름 및 암호를 입력하라는 메시지가 표시되지 않음).