Integrowanie usługi Microsoft Entra ID z usługą SAP Cloud Platform Identity Authentication

  • 9 min

Zintegrowanie usługi SAP Cloud Platform Identity Authentication z usługą Microsoft Entra ID zapewnia następujące korzyści:

  • W usłudze Microsoft Entra ID możesz kontrolować, kto ma dostęp do usługi SAP Cloud Platform Identity Authentication.
  • Umożliwia ona automatyczne logowanie użytkowników do usługi SAP Cloud Platform Identity Authentication przy użyciu kont firmy Microsoft Entra.
  • Możesz zarządzać swoimi kontami w jednej centralnej lokalizacji — witrynie Azure Portal.

Aby skonfigurować integrację usługi SAP Cloud Platform Identity Authentication z usługą Microsoft Entra ID, najpierw dodaj usługę SAP Cloud Platform Identity Authentication z galerii aplikacji Microsoft Entra do listy zarządzanych aplikacji SaaS.

Konfigurowanie i testowanie logowania jednokrotnego opartego na identyfikatorze Microsoft Entra ID

Następnie należy skonfigurować i przetestować logowanie jednokrotne oparte na identyfikatorze Entra firmy Microsoft, korzystając z następującej sekwencji kroków:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
  2. Konfigurowanie logowania jednokrotnego usługi SAP Cloud Platform Identity Authentication — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
  3. Przypisz użytkowników firmy Microsoft Entra do usługi SAP Cloud Platform Identity Authentication.

Konfigurowanie logowania jednokrotnego firmy Microsoft Entra

  1. W witrynie Azure Portal na stronie integracji aplikacji SAP Cloud Platform Identity Authentication wybierz pozycję Logowanie jednokrotne.

  2. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję TRYB SAML/WS-Fed, aby włączyć logowanie jednokrotne.

  3. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę Edytuj , aby otworzyć okno dialogowe Podstawowa konfiguracja protokołu SAML.

  4. W sekcji Podstawowa konfiguracja protokołu SAML:

    • Aby skonfigurować tryb inicjowany przez dostawcę tożsamości, określ identyfikator dzierżawy IAS platformy SAP Cloud Platform (identyfikator jednostki) i odpowiedni adres URL odpowiedzi (adres URL usługi Assertion Consumer Service).
    • Aby skonfigurować aplikację w trybie inicjowanym przez dostawcę usług, wybierz pozycję Ustaw dodatkowe adresy URL i podaj adres URL logowania.

Aby uzyskać te wartości, możesz skontaktować się z zespołem pomocy technicznej klienta sap Cloud Platform Identity Authentication.

Aplikacja SAP Cloud Platform Identity Authentication oczekuje asercji SAML w konkretnym formacie. Skonfiguruj odpowiednie oświadczenia dla tej aplikacji, w tym imię, nazwisko, adres e-mail, nazwę i unikatowy identyfikator użytkownika. Wartościami tych atrybutów możesz zarządzać w sekcji Atrybuty użytkownika na stronie integracji aplikacji.

Konfigurowanie logowania jednokrotnego usługi SAP Cloud Platform Identity Authentication

Aby skonfigurować logowanie jednokrotne dla aplikacji, przejdź do konsoli administracyjnej sap Cloud Platform Identity Authentication. W obszarze Dostawcy tożsamości wybierz kafelek Dostawcy tożsamości firmowych. Wybierz przycisk Dodaj, aby utworzyć dostawcę tożsamości firmowej firmy Microsoft Entra. W obszarze SAML 2.0 wybierz pozycję SamL 2.0 Configuration (Konfiguracja protokołu SAML 2.0).

Przekaż plik XML metadanych entra firmy Microsoft lub skonfiguruj ręcznie następujące pola:

  • Nazwa: identyfikator jednostki dostawcy tożsamości firmowej.
  • Adres URL punktu końcowego logowania jednokrotnego: adres URL punktu końcowego logowania jednokrotnego dostawcy tożsamości, który odbiera żądania uwierzytelniania. W polu Powiązanie wybierz ten, który odpowiada odpowiedniemu punktowi końcowemu logowania jednokrotnego.
  • Adres URL pojedynczego punktu końcowego wylogowywania: adres URL pojedynczego punktu końcowego wylogowywania dostawcy tożsamości, który odbiera komunikaty wylogowywania. W polu Powiązanie wybierz ten, który odpowiada odpowiedniemu punktowi końcowemu wylogowywanie jednokrotne.
  • Certyfikat podpisywania: certyfikat zakodowany w formacie base64 używany przez dostawcę tożsamości do cyfrowego podpisywania komunikatów protokołu SAML wysyłanych do uwierzytelniania tożsamości.

Przypisywanie użytkowników firmy Microsoft Entra

  1. W witrynie Azure Portal wybierz pozycje Aplikacje dla przedsiębiorstw i Wszystkie aplikacje, a następnie SAP Cloud Platform Identity Authentication.

  2. Na liście aplikacji wybierz pozycję SAP Cloud Platform Identity Authentication.

  3. W witrynie Azure Portal wybierz pozycję Użytkownicy i grupy.

  4. Wybierz przycisk Dodaj użytkownika, a następnie wybierz użytkowników i grupy, które chcesz przypisać do aplikacji w oknie dialogowym Dodawanie przypisania.

  5. Jeśli spodziewasz się dowolnej wartości roli w asercji SAML, w oknie dialogowym Wybieranie roli wybierz odpowiednią rolę dla użytkownika z listy, a następnie kliknij przycisk Wybierz w dolnej części ekranu. W oknie dialogowym Dodawanie przypisania wybierz przycisk Przypisz .

    Uwaga

    Nie musisz tworzyć użytkownika w usłudze SAP Cloud Platform Identity Authentication. Użytkownicy, którzy znajdują się w sklepie użytkownika Microsoft Entra, mogą korzystać z funkcji logowania jednokrotnego. Usługa SAP Cloud Platform Identity Authentication obsługuje opcję federacji tożsamości. Ta opcja umożliwia aplikacji sprawdzenie, czy użytkownicy, którzy są uwierzytelniani przez firmowego dostawcę tożsamości, istnieją w magazynie użytkowników usługi SAP Cloud Platform Identity Authentication. Opcja federacji tożsamości jest domyślnie wyłączona. Jeśli opcja federacji tożsamości jest włączona, tylko użytkownicy, którzy są zaimportowani w usłudze SAP Cloud Platform Identity Authentication, mogą uzyskać dostęp do aplikacji.

  6. Aby zweryfikować wynik, wybierz kafelek SAP Cloud Platform Identity Authentication w Panel dostępu. Powinno nastąpić automatyczne zalogowanie do usługi SAP Cloud Platform Identity Authentication, dla której skonfigurowano logowanie jednokrotne.