Konfigurowanie Microsoft Entra identyfikatora, Azure API Management i oprogramowania SAP na potrzeby logowania jednokrotnego z łącznika SAP OData

Łącznik SAP OData można skonfigurować Power Platform tak, aby używał Microsoft Entra poświadczeń identyfikatora na potrzeby logowania jednokrotnego (SAP) opartego na protokole Kerberos. Użytkownicy mogą uzyskiwać dostęp do danych SAP w Power Platform rozwiązaniach bez konieczności wielokrotnego logowania się do wielu usług, jednocześnie honorując ich autoryzacje i przypisane role w systemie SAP.

Ten artykuł przeprowadzi Cię przez proces, w tym konfigurowanie zaufania między systemem SAP i Microsoft Entra identyfikatorem oraz konfigurowanie Azure API Management w celu przekonwertowania tokenu identyfikatora Microsoft Entra OAuth na token SAML, który jest używany do wykonywania wywołań OData do systemu SAP.

Dodatkowe informacje i kontekst procesu konfiguracji można znaleźć we wpisie na blogu Hurra! Łącznik SAP OData obsługuje teraz OAuth2 i SAP Principal Propagation.

Wymagania wstępne

• Wystąpienie chmury SAP
• Zasób Azure API Management

Pobieranie metadanych SAML lokalnego dostawcy z systemu SAP

Aby skonfigurować relację zaufania między systemem SAP i Microsoft Entra ID przy użyciu protokołu SAML 2.0, najpierw pobierz plik xml metadanych z systemu SAP.

Wykonaj te kroki jako administrator SAP Basis w graficznym interfejsie użytkownika systemu SAP.

1. W graficznym interfejsie użytkownika systemu SAP uruchom transakcję SAML2, aby otworzyć odpowiedniego kreatora zależnego od klienta SAP, a następnie wybierz kartę Dostawca lokalny.

2. Wybierz Metadane, a następnie wybierz Pobierz metadane. Metadane SAML SAP zostaną przekazane do Microsoft Entra usługi ID w późniejszym kroku.

3. Zwróć uwagę na zgodny z URI Nazwa dostawcy.

Notatka

Microsoft Entra Identyfikator wymaga, aby ta wartość była zgodna z identyfikatorem URI. Jeśli nazwa dostawcy jest już ustawiona i nie jest zgodna z identyfikatorem URI, nie zmieniaj jej bez uprzedniego skonsultowania się z zespołem SAP Basis. Zmiana nazwy dostawcy może przerwać istniejące konfiguracje SAML. Kroki, które należy wykonać, aby to zmienić, wykraczają poza zakres tego artykułu. Aby uzyskać wskazówki, skontaktuj się z zespołem SAML Basis.

Aby uzyskać dodatkowe informacje, zapoznaj się z oficjalną dokumentacją SAP.

Import metadanych SAP do aplikacji korporacyjnej Microsoft Entra ID

Wykonaj te kroki jako administrator identyfikatorów Microsoft Entra w portalu Azure.

1. Wybierz Microsoft Entra ID>Aplikacje dla przedsiębiorstwa.

2. Wybierz Nowa aplikacja.

3. Wyszukaj ciąg SAP Netweaver.

4. Określ nazwę aplikacji dla przedsiębiorstw, a następnie wybierz przycisk Utwórz przepływ.

5. Przejdź do Jednokrotne logowanie i wybierz SAML.

6. Wybierz pozycję Przekaż plik metadanych i wybierz plik metadanych pobrany z systemu SAP.

7. Wybierz pozycję Dodaj.

8. Zmień adres URL odpowiedzi (adres URL usługi konsumenta asercji) na punkt końcowy tokenu SAP OAuth . URL ma format https://<SAP server>:<port>/sap/bc/sec/oauth2/token.

9. Zmień adres URL logowania na wartość zgodną z identyfikatorem URI. Ten parametr nie jest używany i można go ustawić na dowolną wartość zgodną z identyfikatorem URI.

10. Wybierz pozycję Zapisz.

11. W obszarze Atrybuty i oświadczenia wybierz pozycję Edytuj.

12. Upewnij się, że nazwa oświadczenia Unikatowy identyfikator użytkownika (identyfikator nazwy) jest ustawiona na user.userprincipalname [nameid=format:emailAddress].

13. W obszarze Certyfikaty SAML wybierz pozycjęPobierz dla certyfikatu (Base64) i pliku XML metadanych federacji.

Konfiguracja Microsoft Entra ID jako zaufanego dostawcy tożsamości dla OAuth 2.0 w SAP

1. Wykonaj kroki opisane w dokumentacji identyfikatorów Microsoft Entra dla SAP NetWeaver i sekcji OAuth2.

2. Wróć do tego artykułu po utworzeniu klienta OAuth2 w systemie SAP.

Dodatkowe informacje można znaleźć w oficjalnej dokumentacji SAP NETWEAVER. Pamiętaj, że musisz być administratorem SAP, aby uzyskać dostęp do informacji.

Utwórz aplikację Microsoft Entra ID reprezentującą zasób Azure API Management

Skonfiguruj aplikację Microsoft Entra ID, która zapewnia dostęp do łącznika Microsoft Power Platform SAP OData. Ta aplikacja umożliwia zasobowi Azure API Management konwertowanie OAuth tokenów na tokeny SAML.

Wykonaj te kroki jako administrator Microsoft Entra ID w portal Azure.

1. Wybierz Microsoft Entra ID> Rejestracje aplikacji>Nowa rejestracja.

2. Wprowadź Nazwa, a następnie wybierz Resetuj.

3. Wybierz Certyfikaty i klucze tajne>Nowy klucz tajny klienta.

4. Wprowadź Opis, a następnie wybierz Dodaj.

5. Skopiuj i zapisz ten klucz tajny w bezpiecznym miejscu.

6. Wybierz przycisk Uprawnienia API>Dodaj uprawnienie.

7. Wybierz pozycję Microsoft Graph>Uprawnienia delegowane.

8. Wyszukaj i wybierz opcję OpenID.

9. Wybierz Przyznaj uprawnienia.

10. Wybierz pozycję Uwierzytelnianie>Dodaj platformę>internetową.

11. Ustaw URI przekierowywania na wartość https://localhost:44326/signin-oidc.

12. Wybierz Tokeny dostępu i Tokeny identyfikacyjne, a następnie wybierz Skonfiguruj.

13. Wybierz opcję Uwidacznianie interfejsu API.

14. Obok Adres URI identyfikatora aplikacji wybierz pozycję Dodaj.

15. Zaakceptuj wartość domyślna i wybierz pozycję Zapisz.

16. Wybierz Dodaj zakres.

17. Ustaw nazwę zakresu na user_impersonation.

18. Ustaw Kto może wyrazić zgodę?dla administratorów i użytkowników.

19. Wybierz Dodaj zakres.

20. Skopiuj identyfikator aplikacji (klient).

Autoryzowanie zasobu Azure API Management w celu uzyskania dostępu do oprogramowania SAP Netweaver przy użyciu aplikacji korporacyjnej Microsoft Entra ID

1. Po utworzeniu aplikacji przedsiębiorstwa identyfikatora Microsoft Entra tworzy ona pasującą rejestrację aplikacji. Znajdź Rejestrację aplikacji zgodną z utworzoną aplikacją przedsiębiorstwa o identyfikatorze Microsoft Entra dla SAP NetWeaver.

2. Wybierz Pokaż API>Dodaj aplikację klienta.

3. Wklej Identyfikator aplikacji (klienta) rejestracji aplikacji Microsoft Entra ID instancji Azure API Management do Identyfikatora klienta.

4. Wybierz zakres user_impersonation , a następnie wybierz pozycję Dodaj aplikację.

Autoryzowanie łącznika Microsoft Power Platform SAP OData w celu uzyskania dostępu do interfejsów API uwidocznionych przez Azure API Management

1. W rejestracji aplikacji Microsoft Entra ID Azure API Management wybierz Udostępnianie interfejsu API> Dodaj identyfikator klienta łącznika Power Platform SAP OData 6bee4d13-fd19-43de-b82c-4b6401d174c3 w sekcji autoryzowanych aplikacji klienckich.

2. Wybierz zakres user_impersonation, a następnie wybierz Zapisz.

Konfiguruj SAPOAuth

OAuth Utwórz klienta 2.0 w oprogramowaniu SAP, który umożliwia Azure API Management uzyskiwanie tokenów w imieniu użytkowników.

Szczegółowe informacje można znaleźć w oficjalnej dokumentacji SAP.

Wykonaj te kroki jako administrator SAP Basis w graficznym interfejsie użytkownika systemu SAP.

1. Uruchom transakcję SOAUTH2.

2. Wybierz pozycję Utwórz.

3. Na stronie Identyfikator klienta:

   • W polu OAuth Identyfikator klienta w wersji 2.0 wybierz użytkownika systemu SAP.
   • Wprowadź Opis, a następnie wybierz Dalej.

4. Na stronie Uwierzytelnianie klienta wybierz Dalej.

5. Na stronie Ustawienia typu udzielania:

   • W polu Zaufany OAuth dostawca tożsamości 2.0 wybierz Microsoft Entra wpis Identyfikator.
   • Wybierz (...) pod sekcją Odświeżanie dozwolone i wybierz Dalej.

6. Na stronie Przypisanie zakresu wybierz pozycję Dodaj, wybierz usługi OData używane przez Azure API Management (np. ZAPI_BUSINESS_PARTNER_0001), a następnie wybierz przycisk Dalej.

7. Wybierz Zakończ.

Konfigurowanie Azure API

Zaimportuj metadane XML SAP OData do wystąpienia Azure API Management. Następnie zastosuj zasady Azure API Management, aby przekonwertować tokeny.

1. Otwórz wystąpienie Azure API Management i postępuj zgodnie z instrukcjami, aby utworzyć interfejs API SAP OData.

2. W obszarze Interfejsy API wybierz pozycję Nazwane wartości.

3. Dodaj następujące pary klucz/wartość:

Key	Wartość
AADSAPResource	Identyfikator URI lokalnego dostawcy SAP
AADTenantId	Identyfikator dzierżawy GUID
APIMAADRegisteredAppClientId	Identyfikator Microsoft Entra GUID aplikacji
APIMAADRegisteredAppClientSecret	Klucz tajny klienta z wcześniejszego kroku
SAPOAuthClientID	Użytkownik systemu SAP
SAPOAuthClientSecret	Identyfikator użytkownika systemu SAP
SAPOAuthRefreshExpiration	Wygasanie odświeżania tokenu
SAPOAuthScope	Zakresy OData wybrane podczas konfiguracji systemu SAP OAuth
SAPOAuthServerAddressForTokenEndpoint	Punkt końcowy SAP dla Azure API Management do wywołania w celu wykonania pozyskania tokenu

Notatka

Należy pamiętać, że ustawienia różnią się nieznacznie w przypadku rozwiązania SAP SuccessFactors. Więcej informacji można znaleźć w dokumencie Zasady Azure API Management dla SAP SuccessFactors.

Stosowanie zasad tokenu Azure API Management

Użyj zasad Azure API Management, aby przekonwertować token wydany przez Microsoft Entra ID na token akceptowany przez SAP NetWeaver. Odbywa się to przy użyciu przepływu OAuth2SAMLBearer. Więcej informacji można znaleźć w oficjalnej dokumentacji firmy SAP.

1. Skopiuj przykładowe Azure zasady API Management ze strony usługi GitHub Microsoft.

2. Otwórz portal Azure Portal.

3. Przejdź do zasobu Azure API Management.

4. Wybierz API, a następnie wybierz utworzony interfejs API OData.

5. Wybierz wszystkie operacje.

6. W obszarze Przetwarzanie przychodzące wybierz pozycję Zasady </>.

7. Usuń istniejące zasady i wklej skopiowane zasady.

8. Wybierz pozycję Zapisz.

Powiązana zawartość

• Łącznik SAP OData
• Łącznik SAP OData obsługuje teraz protokoły OAuth2 i propagację podmiotu zabezpieczeń SAP| Power Automate Blog społeczności
• Zasady Azure API Management dla SAP SuccessFactors | GitHub
• Łącznik SAP OData dla rozwiązania SAP SuccessFactors | Blog społeczności SAP
• SAP Business Accelerator Hub oferuje również treści związane z zasadami pakietu integracji SAP dla SuccessFactors i NetWeaver. Aby uzyskać dostęp do tej zawartości, musisz mieć konto SAP.