Microsoft Entra ID, Azure API Management en SAP instellen voor SSO vanuit de SAP OData-connector

U kunt de SAP OData-connector voor Power Platform instellen om Microsoft Entra ID-referenties te gebruiken voor eenmalige aanmelding (SSO) bij SAP. Hierdoor kunnen uw gebruikers toegang krijgen tot sap-gegevens in Power Platform-oplossingen zonder dat ze zich meerdere keren bij meerdere services hoeven aan te melden, terwijl ze toch hun autorisaties en toegewezen rollen in SAP behouden.

In dit artikel wordt het proces uitgelegd, inclusief het instellen van een vertrouwensrelatie tussen SAP en Microsoft Entra ID en het configureren van Azure API Management om het OAuth-token van Microsoft Entra ID om te zetten in een SAML-token dat wordt gebruikt om OData-aanroepen naar SAP te doen.

U kunt ook aanvullende inzichten en context over het installatieproces krijgen in het blogbericht, Hoera! SAP OData-connector ondersteunt nu OAuth2 en SAP Principal Propagation.

Voorwaarden

• SAP-exemplaar
• Resource voor Azure API Management

Lokale provider SAML-metagegevens downloaden van SAP

Als u een vertrouwensrelatie tussen SAP en Microsoft Entra ID wilt instellen met behulp van SAML 2.0, downloadt u eerst het XML-bestand met metagegevens van SAP.

Voer deze stappen uit als SAP Basis-beheerder in de SAP GUI.

1. Voer in de SAP GUI de transactie SAML2 uit om de relevante SAP-clientafhankelijke wizard te openen en kies het tabblad Lokale provider.

2. Selecteer Metagegevens en selecteer vervolgens Metagegevens downloaden. U uploadt de SAP SAML-metagegevens naar Microsoft Entra ID in een latere stap.

3. Let op de URI-compatibele providernaam.

Notitie

Voor Microsoft Entra ID moet deze waarde URI-conform zijn. Als Providernaam al is ingesteld en niet URI-conform is, mag u deze niet wijzigen zonder eerst uw SAP Basis-team te raadplegen. Het wijzigen van de Providernaam kan bestaande SAML-configuraties verstoren. De stappen om dit te veranderen, vallen buiten het bestek van dit artikel. Neem voor advies contact op met uw SAML Basis-team.

Raadpleeg de officiële documentatie van SAP voor aanvullende informatie.

SAP-metagegevens importeren in Microsoft Entra ID-ondernemingstoepassing

Voer deze stappen uit als Microsoft Entra ID-beheerder in de Azure-portal.

1. Selecteer Microsoft Entra ID>Ondernemingstoepassingen.

2. Selecteer Nieuwe toepassing.

3. Zoek naar SAP Netweaver.

4. Geef de ondernemingstoepassing een naam en selecteer vervolgens Maken.

5. Ga naar Eenmalige aanmelding en selecteer SAML.

6. Selecteer Metagegevensbestand uploaden en selecteer het metagegevensbestand dat u van SAP hebt gedownload.

7. Selecteer Toevoegen.

8. Wijzig de Antwoord-URL (Assertion Consumer Service URL) in het SAP OAuth-tokeneindpunt. De URL heeft de indeling https://<SAP server>:<port>/sap/bc/sec/oauth2/token.

9. Wijzig de aanmeldings-URL in een URI-conforme waarde. Deze parameter wordt niet gebruikt en kan worden ingesteld op elke waarde die URI-conform is.

10. Selecteer Opslaan.

11. Selecteer onder Kenmerken en claims de optie Bewerken.

12. Controleer of Claimnaam Unieke gebruikersidentificatie (Naam-ID) is ingesteld op user.userprincipalname [nameid=format:emailAddress].

13. Selecteer onder SAML-certificaten de optie Downloaden voor Certificaat (Base64) en Federation Metadata XML.

Microsoft Entra ID configureren als een vertrouwde identiteitsprovider voor OAuth 2.0 in SAP

1. Volg de stappen die worden beschreven in de Microsoft Entra ID-documentatie voor SAP NetWeaver en OAuth2-sectie.

2. Kom terug naar dit artikel zodra de OAuth2-client in SAP is gemaakt.

Raadpleeg de officiële documentatie van SAP over SAP NETWEAVER voor meer informatie. Houd er rekening mee dat u een SAP-beheerder moet zijn om toegang te krijgen tot de informatie.

Maak een Microsoft Entra ID-toepassing die de Azure API Management-resource vertegenwoordigt

Stel een Microsoft Entra ID-toepassing in die toegang verleent tot de Microsoft Power Platform SAP OData-connector. Met deze toepassing kan een Azure API Management-resource OAuth-tokens omzetten naar SAML-tokens.

Voer deze stappen uit als Microsoft Entra ID-beheerder in de Azure-portal.

1. Selecteer Microsoft Entra ID>App-registraties>Nieuwe registratie.

2. Voer een naam in en selecteer vervolgens Registreren.

3. Selecteer Certificaten en geheimen>Nieuw clientgeheim.

4. Voer een beschrijving in en selecteer vervolgens Toevoegen.

5. Kopieer en bewaar dit geheim op een veilige plek.

6. Selecteer API-machtigingen>Een machtiging toevoegen.

7. Selecteer Microsoft Graph>Gedelegeerde toestemming.

8. Zoek en selecteer openid.

9. Selecteer Machtigingen toevoegen.

10. Selecteer Verificatie>Een platform toevoegen>Web.

11. Stel Omleidings-URI's in op https://localhost:44326/signin-oidc.

12. Selecteer Toegangstokens en Id-tokens en selecteer vervolgens Configureren.

13. Selecteer Een API beschikbaar maken.

14. Selecteer Toevoegen naast URI van toepassings-id.

15. Accepteer de standaardwaarde en selecteer Opslaan.

16. Selecteer Een bereik toevoegen.

17. Stel Scope-naam in op user_impersonation.

18. Stel Wie kan toestemming geven? in op Beheerders en gebruikers.

19. Selecteer Een bereik toevoegen.

20. Kopieer de client-id van de toepassing.

Autoriseer de Azure API Management-resource om toegang te krijgen tot SAP Netweaver met behulp van de Microsoft Entra ID-ondernemingstoepassing

1. Wanneer een Microsoft Entra ID-ondernemingstoepassing wordt gemaakt, wordt er een bijpassende app-registratie gemaakt. Zoek de app-registratie die overeenkomt met de Microsoft Entra ID-ondernemingstoepassing die u hebt gemaakt voor SAP NetWeaver.

2. Selecteer Een API beschikbaar maken>Een clienttoepassing toevoegen.

3. Plak de toepassings-id (client-id) van de Microsoft Entra ID-app-registratie van uw Azure API Management-exemplaar in client-id.

4. Selecteer het bereik user_impersonation en selecteer vervolgens Toepassing toevoegen.

Autoriseer de Microsoft Power Platform SAP OData-connector om toegang te krijgen tot API's die worden blootgesteld door Azure API Management

1. Voeg bij de registratie van Microsoft Entra ID OData-connector van Azure API Management de optie Een API beschikbaar maken> de cliënt id van de Power Platform SAP OData-connector 6bee4d13-fd19-43de-b82c-4b6401d174c3 onder geautoriseerde clienttoepassingen.

2. Selecteer het bereik user_impersonation en selecteer vervolgens Opslaan.

SAP OAuth configureren

Maak een OAuth 2.0-client in SAP waarmee Azure API Management tokens namens gebruikers kan verkrijgen.

Zie officiële documentatie van SAP voor details.

Voer deze stappen uit als SAP Basis-beheerder in de SAP GUI.

1. Voer de transactie SOAUTH2 uit.

2. Selecteer Maken.

3. Op de pagina Client-id:

   • Selecteer voor Id voor OAuth 2.0-client een SAP-systeemgebruiker.
   • Voer een beschrijving in en selecteer daarna Volgende.

4. Selecteer op de pagina Clientverificatie de optie Volgende.

5. Op de pagina Instellingen voor toekenningstype:

   • Selecteer voor Trusted OAuth 2.0 IdP de vermelding Microsoft Entra ID.
   • Selecteer Vernieuwing toegestaan en selecteer daarna Volgende.

6. Selecteer op de pagina Scope Assignment de optie Add, selecteer de OData-services die door Azure API Management worden gebruikt (bijv. ZAPI_BUSINESS_PARTNER_0001) en selecteer daarna Next.

7. Selecteer Voltooien.

Azure API Management configureren

Importeer de SAP OData XML-metagegevens in uw Azure API Management-exemplaar. Pas vervolgens een Azure API Management-beleid toe om de tokens te converteren.

1. Open uw Azure API Management-exemplaar en volg de stappen om een SAP OData API te maken.

2. Selecteer onder API's de optie Benoemde waarden.

3. Voeg de volgende sleutel/waardeparen toe:

Key	Weergegeven als
AADSAPResource	SAP lokale provider-URI
AADTenantId	De GUID van uw tenant
APIMAADRegisteredAppClientId	GUID van Microsoft Entra ID-toepassing
APIMAADRegisteredAppClientSecret	Clientgeheim uit eerdere stap
SAPOAuthClientID	SAP-systeemgebruiker
SAPOAuthClientSecret	SAP-systeemgebruikerswachtwoord
SAPOAuthRefreshExpiry	Vervaldatum van tokenvernieuwing
SAPOAuthScope	OData-bereiken die zijn gekozen tijdens SAP OAuth-configuratie
SAPOAuthServerAddressForTokenEndpoint	SAP-eindpunt voor Azure API Management om uitvoering van de tokenacquisitie aan te roepen

Notitie

Houd er rekening mee dat de instellingen voor SAP SuccessFactors enigszins afwijken. Zie het Azure API Management-beleid voor SAP SuccessFactors voor meer informatie.

Het Azure API Management-tokenbeleid toepassen

Gebruik Azure API-beheerbeleid om een door Microsoft Entra ID uitgegeven token om te zetten in een token dat SAP NetWeaver accepteert. Dit gebeurt met behulp van de OAuth2SAMLBearer-flow. Zie de officiële SAP-documentatie voor meer informatie.

1. Kopieer het voorbeeld Azure API Management-beleid van de officiële GitHub-pagina van Microsoft.

2. Open de Azure Portal.

3. Ga naar uw Azure API Management-resource.

4. Selecteer API's en selecteer vervolgens de OData API die u hebt gemaakt.

5. Selecteer Alle bewerkingen.

6. Selecteer onder Inkomende verwerking de optie Beleidsregels </>.

7. Verwijder het bestaande beleid en plak het beleid dat u hebt gekopieerd.

8. Selecteer Opslaan.

Gerelateerde inhoud

• SAP OData-connector
• SAP OData-connector ondersteunt nu OAuth2 en SAP Principal Propagation | Power Automate-communityblog
• Azure API Management-beleid voor SAP SuccessFactors | GitHub
• SAP OData-connector voor SAP SuccessFactors | SAP-communityblog
• De SAP Business Accelerator Hub biedt ook inhoud met betrekking tot het SAP-integratiesuitebeleid voor SuccessFactors en NetWeaver. U moet over een SAP-account beschikken om toegang tot deze inhoud te krijgen.