Integracja logowania jednokrotnego (SSO) firmy Microsoft z oprogramowaniem SAP NetWeaver

Z tego artykułu dowiesz się, jak zintegrować oprogramowanie SAP NetWeaver z identyfikatorem Microsoft Entra ID. Po zintegrowaniu oprogramowania SAP NetWeaver z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do oprogramowania SAP NetWeaver.
• Zezwalaj swoim użytkownikom na automatyczne logowanie do oprogramowania SAP NetWeaver przy użyciu kont Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

• Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz Utworzyć konto bezpłatnie.
• Jedna z następujących ról:
  • Administrator aplikacji
  • administrator aplikacji w chmurze
  • Właściciel aplikacji.

• Subskrypcja aplikacji SAP NetWeaver z obsługą logowania jednokrotnego.
• OPROGRAMOWANIE SAP NetWeaver w wersji 7.20 lub nowszej

Opis scenariusza

• SAP NetWeaver obsługuje zarówno SAML (logowanie jednokrotne inicjowane przez dostawcę usług) jak i OAuth. W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

Uwaga

Identyfikator tej aplikacji jest stałym ciągiem znaków, więc w jednym środowisku można skonfigurować tylko jedną instancję.

Uwaga

Skonfiguruj aplikację w języku SAML lub OAuth zgodnie z wymaganiami organizacji.

Dodawanie oprogramowania SAP NetWeaver z galerii

Aby skonfigurować integrację oprogramowania SAP NetWeaver z programem Microsoft Entra ID, należy dodać oprogramowanie SAP NetWeaver z galerii do listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
2. Przejdź do Identity>Applications>Enterprise applications>New application.
3. W sekcji Dodawanie z galerii wpisz SAP NetWeaver w polu wyszukiwania.
4. Wybierz pozycję SAP NetWeaver z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do Twojego tenanta.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego Microsoft Entra dla oprogramowania SAP NetWeaver

Konfiguracja i testowanie logowania jednokrotnego Microsoft Entra z SAP NetWeaver przy użyciu użytkownika testowego o nazwie B.Simon. Aby jednokrotne logowanie działało, należy ustanowić relację połączenia między użytkownikiem Microsoft Entra a odpowiednim użytkownikiem w SAP NetWeaver.

Aby skonfigurować i przetestować Microsoft Entra SSO z SAP NetWeaver, wykonaj następujące kroki:

1. Skonfiguruj Microsoft Entra SSO, aby umożliwić użytkownikom korzystanie z tej funkcji.
   1. Tworzenie użytkownika testowego Microsoft Entra, aby przetestować logowanie jednokrotne (SSO) Microsoft Entra z B.Simon.
   2. Przypisz użytkownika testowego Microsoft Entra, aby umożliwić B. Simon korzystanie z jednokrotnego logowania Microsoft Entra.
2. Skonfiguruj oprogramowanie SAP NetWeaver przy użyciu protokołu SAML , aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
   1. Utwórz użytkownika testowego oprogramowania SAP NetWeaver, aby mieć w oprogramowaniu SAP NetWeaver odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
3. Przetestuj logowanie jednokrotne , aby sprawdzić, czy konfiguracja działa.
4. Skonfiguruj oprogramowanie SAP NetWeaver dla protokołu OAuth, aby skonfigurować ustawienia protokołu OAuth po stronie aplikacji.
5. Zażądaj tokenu dostępu z usługi Azure AD, aby użyć usługi Azure AD jako dostawcy tożsamości.

Konfigurowanie funkcji jednokrotnego logowania (SSO) Microsoft Entra

W tej sekcji włączysz logowanie jednokrotne systemu Microsoft Entra.

Aby skonfigurować Microsoft Entra logowanie jednokrotne (single sign-on) z SAP NetWeaver, wykonaj następujące kroki:

1. Otwórz nowe okno przeglądarki internetowej i zaloguj się do firmowej witryny oprogramowania SAP NetWeaver jako administrator

2. Upewnij się, że usługi http i https są aktywne i że w kodzie transakcji SMICM są przypisane odpowiednie porty.

3. Zaloguj się do klienta biznesowego oprogramowania SAP System (T01), w którym wymagane jest logowanie jednokrotne i aktywuj zarządzanie sesjami zabezpieczeń HTTP.

   1. Przejdź do kodu transakcji SICF_SESSIONS. Pokazuje ona wszystkie odpowiednie parametry profilu z bieżącymi wartościami. Wyglądają one podobnie do poniższych:-

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0 
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Uwaga

      Dostosuj te parametry zgodnie z wymaganiami organizacji — powyższe parametry są tu podane jedynie jako przykład.

   2. Jeśli to konieczne, dostosuj parametry w wystąpieniu lub domyślnym profilu systemu SAP i uruchom system SAP ponownie.

   3. Kliknij dwukrotnie odpowiedniego klienta, aby włączyć sesję zabezpieczeń HTTP.

      

   4. Aktywuj poniższe usługi SICF:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Przejdź do kodu transakcji SAML2 w kliencie biznesowym systemu SAP [T01/122]. Spowoduje to otwarcie interfejsu użytkownika w przeglądarce. W tym przykładzie dla klienta biznesowego systemu SAP przyjmujemy wartość 122.

   

5. Podaj nazwę użytkownika i hasło, które należy wprowadzić w interfejsie użytkownika, a następnie kliknij pozycję Edit (Edytuj).

   

6. W polu Provider Name (Nazwa dostawcy) zastąp ciąg T01122 ciągiem http://T01122 i kliknij pozycję Save (Zapisz).

   Uwaga

   Domyślnie nazwa dostawcy jest w formacie <sid><client>, ale Microsoft Entra ID oczekuje nazwy w formacie <protocol>://<name>. Zaleca się zachowanie nazwy dostawcy w formacie https://<sid><client>, aby umożliwić skonfigurowanie wielu aparatów programu SAP NetWeaver ABAP w usłudze Microsoft Entra ID.

   

7. Generowanie metadanych dostawcy usług: — po skonfigurowaniu ustawień dostawcy lokalnego i zaufanych dostawców w interfejsie użytkownika SAML 2.0 następnym krokiem będzie wygenerowanie pliku metadanych dostawcy usług (który będzie zawierał wszystkie ustawienia, konteksty uwierzytelniania i inne konfiguracje w oprogramowaniu SAP). Po wygenerowaniu tego pliku przekaż ten plik do identyfikatora Entra firmy Microsoft.

   

   1. Przejdź do zakładki dostawcy lokalnego.

   2. Kliknij pozycję Metadata (Metadane).

   3. Zapisz wygenerowany plik Metadata XML na komputerze i prześlij go w sekcji Podstawowa konfiguracja SAML, aby automatycznie uzupełnić wartości Identyfikatora i Adresu URL odpowiedzi w portalu Azure.

Aby włączyć Microsoft Entra SSO, wykonaj następujące kroki.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do strony integracji aplikacji Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>SAP NetWeaver, znajdź sekcję Zarządzanie i wybierz Jednokrotne logowanie.

3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML, kliknij ikonę ołówka dla Podstawowej konfiguracji SAML, aby edytować ustawienia.

   

5. W sekcji Podstawowa konfiguracja protokołu SAML, jeśli chcesz skonfigurować aplikację w trybie inicjowanym przez IDP, wykonaj następujący krok:

   1. Kliknij pozycję Przekaż plik metadanych, aby przekazać plik metadanych dostawcy usług, który został uzyskany wcześniej.

   2. Kliknij logo folderu, aby wybrać plik metadanych, a następnie kliknij pozycję Przekaż.

   3. Po pomyślnym przekazaniu pliku metadanych wartości Identyfikator i Adres URL odpowiedzi zostaną automatycznie wypełnione w polach tekstowych sekcji Podstawowa konfiguracja protokołu SAML, jak pokazano poniżej:

   4. W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<your company instance of SAP NetWeaver>

   Uwaga

   Niektórzy klienci napotkali błąd nieprawidłowo skonfigurowanego adresu URL odpowiedzi dla ich instancji. Jeśli wystąpi taki błąd, użyj tych poleceń programu PowerShell. Najpierw zaktualizuj adresy URL odpowiedzi w obiekcie aplikacji, a następnie zaktualizuj główny element usługi. Użyj polecenia Get-MgServicePrincipal , aby uzyskać wartość identyfikatora jednostki usługi.

   $params = @{
      web = @{
         redirectUris = "<Your Correct Reply URL>"
      }
   }
   Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
   Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
   

6. Aplikacja SAP NetWeaver oczekuje asercji SAML w określonym formacie, co wymaga dodania niestandardowego mapowania atrybutów do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych. Kliknij ikonę Edytuj, aby otworzyć okno dialogowe Atrybuty użytkownika.

   

7. W sekcji Oświadczenia użytkownika w oknie dialogowym Atrybuty użytkownika skonfiguruj atrybut tokenu SAML, jak pokazano na ilustracji powyżej, i wykonaj następujące czynności:

   1. Kliknij ikonę Edytuj, aby otworzyć okno dialogowe Zarządzanie oświadczeniami użytkownika.

      

      

   2. Z listy Przekształcenie wybierz pozycję ExtractMailPrefix().

   3. Z listy Parametr 1 wybierz pozycję user.userprincipalname.

   4. Kliknij przycisk Zapisz.

8. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML, w sekcji Certyfikat podpisywania SAML, znajdź Federation Metadata XML i wybierz opcję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

   

9. W sekcji Konfigurowanie oprogramowania SAP NetWeaver skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

   

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
2. Przejdź do Tożsamość>Użytkownicy>Wszyscy użytkownicy.
3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
4. We właściwościach użytkownika wykonaj następujące kroki:
   1. W polu Nazwa wyświetlana, wprowadź B.Simon.
   2. W polu nazwa główna użytkownika wprowadź username@companydomain.extension. Na przykład B.Simon@contoso.com.
   3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
   4. Wybierz Przejrzyj i utwórz.
5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do oprogramowania SAP NetWeaver.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
2. Przejdź do Identity>Applications>Enterprise applications>SAP NetWeaver.
3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie , a następnie wybierz pozycję Użytkownicy i grupy.
4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
6. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie oprogramowania SAP NetWeaver przy użyciu języka SAML

1. Zaloguj się do systemu SAP i przejdź do kodu transakcji SAML2. Spowoduje to otwarcie nowego okna przeglądarki z ekranem konfiguracji protokołu SAML.

2. Aby skonfigurować punkty końcowe dla zaufanego dostawcy tożsamości (Microsoft Entra ID), przejdź do karty Zaufani dostawcy .

   

3. Naciśnij pozycję Add (Dodaj) i wybierz polecenie Upload Metadata File (Przekaż plik metadanych) z menu kontekstowego.

   

4. Przekaż pobrany plik metadanych.

   

5. Na następnym ekranie wpisz nazwę aliasu. Na przykład wpisz aadsts, a następnie naciśnij przycisk Dalej , aby kontynuować.

   

6. Upewnij się, że w polu Digest Algorithm (Algorytm porządkowania ) znajduje się wartość SHA-256 i że nie są wymagane żadne zmiany, a następnie naciśnij pozycję Next (Dalej).

   

7. Na stronie Single Sign-On Endpoints (Punkty końcowe logowania jednokrotnego) użyj opcji HTTP POST i kliknij przycisk Next (Dalej), aby kontynuować.

   

8. Na stronie Single Logout Endpoints (Punkty końcowe wylogowania jednokrotnego) wybierz opcję HTTPRedirect i kliknij przycisk Next (Dalej), aby kontynuować.

   

9. Na Artifact Endpoints naciśnij Next, aby kontynuować.

   

10. Na stronie Authentication Requirements (Wymagania dotyczące uwierzytelniania) kliknij przycisk Finish (Zakończ).

    

11. Przejdź do karty Zaufany dostawca (Trusted Provider)>Federacja tożsamości (Identity Federation) (znajdującej się na dole ekranu). Kliknij przycisk Edytuj.

    

12. Kliknij przycisk Add (Dodaj) na karcie Identity Federation (Federacja tożsamości) (dolne okno).

    

13. W wyskakującym oknie wybierz pozycję Nieokreślone z listy obsługiwanych formatów NameID i kliknij OK.

    

14. Nadaj wartość Źródła identyfikatora użytkownika jako Atrybut asercji, wartość trybu mapowania identyfikatora użytkownika jako email i Nazwę atrybutu asercji jako http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    

15. Należy pamiętać, że wartości Źródła identyfikatora użytkownika i trybu mapowania identyfikatora użytkownika określają połączenie między użytkownikiem SAP a oświadczeniem firmy Microsoft Entra.

Scenariusz: mapowanie użytkownika SAP na użytkownika Microsoft Entra.

1. Zrzut ekranu przedstawiający szczegóły identyfikatora nazwy w systemie SAP.

   

2. Zrzut ekranu przedstawiający wymagane oświadczenia z identyfikatora Entra firmy Microsoft.

   

   Scenariusz: wybierz Identyfikator użytkownika SAP na podstawie skonfigurowanego adresu e-mail w SU01. W takim przypadku identyfikator e-mail powinien być skonfigurowany w su01 dla każdego użytkownika, który wymaga logowania jednokrotnego.

   1. Zrzut ekranu szczegółów NameID w systemie SAP.

      

   2. Zrzut ekranu przedstawiający wymagane oświadczenia z identyfikatora Entra firmy Microsoft.

   

3. Kliknij przycisk Zapisz, a następnie kliknij przycisk Włącz, aby włączyć dostawcę tożsamości.

   

4. Po wyświetleniu monitu kliknij przycisk OK.

   

Tworzenie użytkownika testowego oprogramowania SAP NetWeaver

W tej sekcji utworzysz użytkownika o nazwie B.simon w oprogramowaniu SAP NetWeaver. Aby dodać użytkowników na platformie SAP NetWeaver, skontaktuj się z wewnętrznym zespołem ekspertów SAP w swojej organizacji lub skorzystaj z pomocy partnera SAP twojej organizacji.

Testowanie logowania jednokrotnego

1. Po aktywowaniu dostawcy tożsamości Microsoft Entra ID spróbuj uzyskać dostęp do poniższego adresu URL, aby sprawdzić logowanie jednokrotne (SSO), upewniając się, że nie będzie monitu o podanie nazwy użytkownika i hasła.

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   (lub) użyj poniższego adresu URL

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   Uwaga

   Zastąp sapurl faktyczną nazwą hosta systemu SAP.

2. Powyższy adres URL powinien przenieść Cię na pokazany poniżej ekran. Jeśli możesz uzyskać dostęp do poniższej strony, konfiguracja Microsoft Entra SSO jest zakończona pomyślnie.

   

3. Jeśli wystąpi monit o podanie nazwy użytkownika i hasła, możesz zdiagnozować problem, włączając śledzenie przy użyciu adresu URL:

   https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Konfigurowanie oprogramowania SAP NetWeaver dla protokołu OAuth

1. Proces udokumentowany SAP jest dostępny w lokalizacji: Włączanie usługi bramy NetWeaver i tworzenie zakresu OAuth 2.0

2. Przejdź do obszaru SPRO i znajdź pozycję Aktywowanie i utrzymywanie usług.

   

3. W tym przykładzie chcemy połączyć usługę OData: DAAG_MNGGRP przy użyciu protokołu OAuth z usługą Microsoft Entra SSO. Użyj wyszukiwania nazwy usługi technicznej dla usługi DAAG_MNGGRP i aktywuj ją, jeśli jeszcze nie jest aktywna (sprawdź stan green na karcie Węzły ICF). Upewnij się, że alias systemu (połączony system zaplecza, w którym usługa jest rzeczywiście uruchomiona) jest poprawny.

   

   • Następnie kliknij przycisk pushbutton OAuth na górnym pasku przycisków i przypisz scope (zachowaj domyślną nazwę jako oferowaną).

4. W naszym przykładzie zakresem jest DAAG_MNGGRP_001. Jest ona generowana na podstawie nazwy usługi przez automatyczne dodanie liczby. Raport /IWFND/R_OAUTH_SCOPES może posłużyć do zmiany nazwy zakresu lub do utworzenia go ręcznie.

   

   Uwaga

   Komunikat soft state status is not supported — można zignorować, ponieważ nie ma problemu.

Tworzenie użytkownika usługi dla klienta OAuth 2.0

1. Protokół OAuth2 używa elementu , service ID aby uzyskać token dostępu dla użytkownika końcowego w jego imieniu. Ważne ograniczenie projektu protokołu OAuth: OAuth 2.0 Client ID musi być identyczny z username używanym przez klienta OAuth 2.0 do logowania przy żądaniu tokenu dostępu. W związku z tym w naszym przykładzie zarejestrujemy klienta OAuth 2.0 o nazwie CLIENT1. W ramach wymagań wstępnych w systemie SAP musi istnieć użytkownik o tej samej nazwie (CLIENT1). Tego użytkownika skonfigurujemy do użycia przez wskazaną aplikację.

2. Podczas rejestrowania klienta OAuth używamy elementu SAML Bearer Grant type.

   Uwaga

   Aby uzyskać więcej informacji, zobacz Rejestracja klienta protokołu OAuth 2.0 dla typu przyznawania elementu nośnego SAML tutaj.

3. Wykonaj kod T-Code SU01, aby utworzyć użytkownika CLIENT1 jako System type i przypisać hasło. Zapisz hasło, ponieważ musisz podać te poświadczenia programiście interfejsu API, który powinien zapisać je razem z nazwą użytkownika w kodzie wywołującym. Nie należy przypisywać żadnego profilu ani roli.

Zarejestruj nowy identyfikator klienta OAuth 2.0 za pomocą kreatora tworzenia

1. Aby zarejestrować nowego klienta OAuth 2.0, uruchom transakcję SOAUTH2. Transakcja wyświetli przegląd klientów OAuth 2.0, które zostały już zarejestrowane. Wybierz pozycję Utwórz , aby uruchomić kreatora dla nowego klienta OAuth o nazwie CLIENT1 w tym przykładzie.

2. Przejdź do pozycji T-Code: SOAUTH2 i podaj opis, a następnie kliknij przycisk Dalej.

   

   

3. Wybierz już dodany identyfikator SAML2 IdP — Microsoft Entra ID z listy rozwijanej i zapisz.

   

   

   

4. Kliknij pozycję Dodaj w obszarze przypisania zakresu, aby dodać wcześniej utworzony zakres: DAAG_MNGGRP_001

   

   

5. Kliknij przycisk Zakończ.

Żądanie tokenu dostępu z usługi Azure AD

Aby zażądać tokenu dostępu z systemu SAP przy użyciu usługi Azure Active Directory (Azure AD) jako dostawcy tożsamości, wykonaj następujące kroki:

Krok 1. Rejestrowanie aplikacji w usłudze Azure AD

1. Zaloguj się do witryny Azure Portal: przejdź do witryny Azure Portal pod adresem portal.azure.com.
2. Zarejestruj nową aplikację:
   • Przejdź do obszaru "Azure Active Directory".
   • Wybierz pozycję "Rejestracje aplikacji" > "Nowa rejestracja".
   • Wprowadź dane aplikacji, takie jak nazwa, identyfikator URI przekierowania itp.
   • Kliknij pozycję "Zarejestruj".
3. Konfigurowanie uprawnień interfejsu API:
   • Po rejestracji przejdź do pozycji "Uprawnienia interfejsu API".
   • Kliknij pozycję "Dodaj uprawnienie" i wybierz pozycję "Interfejsy API używane przez moją organizację".
   • Wyszukaj system SAP lub odpowiedni interfejs API i dodaj niezbędne uprawnienia.
   • Udziel zgody administratora na uprawnienia.

Krok 2: Tworzenie sekretu klienta

1. Przejdź do zarejestrowanej aplikacji: przejdź do pozycji "Certyfikaty i wpisy tajne".
2. Utwórz nowy klucz tajny klienta:
   • Kliknij przycisk "Nowy klucz tajny klienta".
   • Podaj opis i ustaw okres wygaśnięcia.
   • Kliknij pozycję "Dodaj" i zanotuj wartość klucza tajnego klienta, ponieważ będzie potrzebna do uwierzytelniania.

Krok 3. Konfigurowanie systemu SAP na potrzeby integracji z usługą Azure AD

1. Dostęp do platformy SAP Cloud Platform: zaloguj się do kokpitu platformy SAP Cloud Platform.
2. Konfiguracja zaufania:
   • Przejdź do pozycji "Zabezpieczenia" > "Konfiguracja zaufania".
   • Dodaj Azure AD jako zaufany IdP, importując XML metadanych federacji z Azure AD. Można to znaleźć w sekcji "Punkty końcowe" rejestracji aplikacji Azure AD (w dokumencie metadanych federacji).
3. Konfigurowanie klienta OAuth2:
   • W systemie SAP skonfiguruj klienta OAuth2 przy użyciu identyfikatora klienta i klucza tajnego klienta uzyskanego z usługi Azure AD.
   • Ustaw punkt końcowy tokenu i inne odpowiednie parametry protokołu OAuth2.

Krok 4. Żądanie tokenu dostępu

Napiwek

Rozważ użycie usługi Azure API Management, aby usprawnić proces propagacji głównego SAP dla wszystkich aplikacji klienckich w Azure, Power Platform, M365 i innych, w jednym miejscu, w tym inteligentne buforowanie tokenów, bezpieczna obsługa tokenów i opcje zarządzania, takie jak ograniczanie żądań. Dowiedz się więcej o propagacji tożsamości użytkownika SAP za pomocą usługi Azure API Management. Jeśli preferowana jest platforma SAP Business Technology Platform, zobacz ten artykuł.

1. Przygotuj żądanie o token:

   • Skonstruuj żądanie tokenu przy użyciu następujących szczegółów:
     • Punkt końcowy tokenu: zazwyczaj jest to https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token.
     • Identyfikator klienta: identyfikator aplikacji (klienta) z usługi Azure AD.
     • Sekret klienta: wartość wpisu tajnego klienta z usługi Azure AD.
     • Zakres: wymagane zakresy (np. https://your-sap-system.com/.default).
     • Typ grantu: Użyj client_credentials do uwierzytelniania serwer-serwer.

2. Utwórz żądanie tokenu:

   • Użyj narzędzia, takiego jak Postman lub skrypt, aby wysłać żądanie POST do punktu końcowego tokenu.
   • Przykładowe żądanie (w cURL):

     curl -X POST \
       https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token \
       -H 'Content-Type: application/x-www-form-urlencoded' \
       -d 'client_id={client_id}&scope=https://your-sap-system.com/.default&client_secret={client_secret}&grant_type=client_credentials'
     

3. Wyodrębnij token dostępu:

   • Odpowiedź będzie zawierać token dostępu, jeśli żądanie zakończy się pomyślnie. Użyj tego tokenu dostępu, aby uwierzytelnić żądania interfejsu API w systemie SAP.

Krok 5. Używanie tokenu dostępu dla żądań interfejsu API

1. Uwzględnij token dostępu w żądaniach interfejsu API:
   • Dla każdego żądania do systemu SAP dołącz token dostępu w nagłówku Authorization .
   • Przykładowy nagłówek:

     Authorization: Bearer {access_token}
     

Powiązana zawartość

• Skonfiguruj program Microsoft Entra SAP NetWeaver, aby wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza dostęp warunkowy. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.
• Skonfiguruj propagację zasadniczą SAP (OAuth2) przy użyciu usługi Azure API Management, aby zarządzać i zabezpieczać dostęp do systemów SAP z aplikacji klienckich w Azure, Power Platform, Microsoft 365 i innych. Dowiedz się więcej o propagacji zasadniczej SAP za pomocą usługi Azure API Management.