Integrowanie identyfikatora Entra firmy Microsoft z oprogramowaniem SAP Fiori

  • 11 min

Zintegrowanie aplikacji SAP Fiori z usługą Microsoft Entra ID zapewnia następujące korzyści:

  • Za pomocą identyfikatora Entra firmy Microsoft możesz kontrolować, kto ma dostęp do rozwiązania SAP Fiori.
  • Użytkownicy mogą być automatycznie zalogowani do aplikacji SAP Fiori przy użyciu kont Microsoft Entra (logowanie jednokrotne).
  • Możesz zarządzać kontami z jednej centralnej lokalizacji — witryny Azure Portal.

Aby skonfigurować integrację firmy Microsoft Entra z oprogramowaniem SAP Fiori, potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra.
  • Subskrypcja sap Fiori z włączonym logowaniem jednokrotnym.
  • Wymagany jest program SAP Fiori 7.20 lub nowszy.

Aby zintegrować aplikację SAP Fiori z usługą Microsoft Entra ID, musisz najpierw dodać aplikację SAP Fiori z galerii aplikacji SaaS do swojej listy zarządzanych aplikacji SaaS.

Konfigurowanie logowania jednokrotnego firmy Microsoft Entra w rozwiązaniu SAP Fiori

Aby logowanie jednokrotne działało, należy ustanowić połączoną relację między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem w rozwiązaniu SAP Fiori. Wykonaj następujące zadania:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra, aby umożliwić użytkownikom korzystanie z tej funkcji.
  2. Konfigurowanie logowania jednokrotnego sap Fiori.
  3. Przypisz użytkowników firmy Microsoft Entra do aplikacji SAP Fiori.
  4. Utwórz użytkowników sap Fiori połączonych z kontami użytkowników firmy Microsoft Entra.

Konfigurowanie logowania jednokrotnego firmy Microsoft Entra

  1. Otwórz nowe okno przeglądarki internetowej i zaloguj się do firmowej witryny sap Fiori jako administrator. Upewnij się, że usługi http i https są aktywne i że odpowiednie porty są przypisane do kodu transakcji SMICM.

  2. Zaloguj się do klienta SAP Business Client dla systemu SAP T01, gdzie wymagane jest logowanie jednokrotne. Następnie aktywuj zarządzanie sesjami zabezpieczeń HTTP. Przejdź do SICF_SESSIONS kodu transakcji i przejrzyj parametry profilu. Dostosuj parametry na podstawie wymagań organizacji i uruchom ponownie system SAP.

  3. Aktywuj następujące usługi SICF:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (Dotyczy to tylko włączania/wyłączania śledzenia)

  4. Przejdź do kodu transakcji SAML2 w kliencie biznesowym dla systemu SAP [T01/122]. Interfejs użytkownika konfiguracji zostanie otwarty w nowym oknie przeglądarki. Wprowadź nazwę użytkownika i hasło, a następnie wybierz pozycję Zaloguj się.

  5. W polu Nazwa dostawcy zastąp ciąg T01122 ciągiem <http://T01122>, a następnie wybierz pozycję Zapisz.

    Uwaga

    Domyślnie nazwa dostawcy jest w formacie _sid-client_. Identyfikator Entra firmy Microsoft oczekuje nazwy w formacie protocol://name. Zalecamy zachowanie nazwy dostawcy jako https:// _sid-client_ , aby można było skonfigurować wiele aparatów SAP Fiori ABAP w usłudze Microsoft Entra ID.

  6. Wybierz kartę Dostawca lokalny / Metadane. W oknie dialogowym Metadane SAML 2.0 pobierz wygenerowany plik XML metadanych i zapisz go na komputerze.

  7. W witrynie Azure Portal w okienku integracji aplikacji SAP Fiori wybierz pozycję Logowanie jednokrotne.

  8. W okienku Wybierz metodę logowania jednokrotnego wybierz pozycję SAML lub SAML/WS-Fed, aby włączyć logowanie jednokrotne.

  9. W okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz pozycję Edytuj (ikona ołówka), aby otworzyć okienko Podstawowa konfiguracja protokołu SAML.

  10. W sekcji Podstawowa konfiguracja protokołu SAML wybierz pozycję Przekaż plik metadanych i użyj opcji Przekaż plik metadanych, aby przekazać pobrany wcześniej plik metadanych.

  11. Po pomyślnym przekazaniu pliku metadanych wartości Identyfikator i Adres URL odpowiedzi są automatycznie wypełniane w okienku Podstawowa konfiguracja protokołu SAML. W polu Adres URL logowania wprowadź adres URL, który ma następujący wzorzec: https://[wystąpienie firmy SAP Fiori].

  12. Aplikacja SAP Fiori oczekuje, że asercji SAML będą w określonym formacie. Oświadczenia, w tym imię i nazwisko, adres e-mail, nazwa i unikatowy identyfikator użytkownika. Aby zarządzać ich wartościami, w okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz pozycję Edytuj.

  13. W okienku Atrybuty użytkownika i oświadczenia skonfiguruj atrybuty tokenu SAML. Następnie wykonaj następujące kroki:

    • Wybierz pozycję Edytuj , aby otworzyć okienko Zarządzanie oświadczeniami użytkowników.
    • Na liście Przekształcanie wybierz pozycję ExtractMailPrefix().
    • Na liście Parametr 1 wybierz pozycję user.userprinicipalname.

  14. W okienku Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML wybierz pozycję Pobierz obok pozycji Plik XML metadanych federacji.

  15. Wybierz opcję pobierania na podstawie wymagań. Zapisz certyfikat na komputerze.

  16. W sekcji Konfigurowanie aplikacji SAP Fiori skopiuj następujące adresy URL na podstawie wymagań:

    • Adres URL logowania
    • Identyfikator entra firmy Microsoft
    • Adres URL wylogowywania

Konfigurowanie logowania jednokrotnego sap Fiori

  1. Zaloguj się do systemu SAP i przejdź do kodu transakcji SAML2. Zostanie otwarte nowe okno przeglądarki ze stroną konfiguracji PROTOKOŁU SAML.

  2. Aby skonfigurować punkty końcowe dla zaufanego dostawcy tożsamości (Microsoft Entra ID), wybierz kartę Zaufani dostawcy .

  3. Wybierz pozycję Dodaj, a następnie wybierz pozycję Przekaż plik metadanych z menu kontekstowego.

  4. Przekaż pobrany plik metadanych w witrynie Azure Portal.

  5. Na następnej stronie w polu Alias wprowadź dowolną nazwę aliasu.

  6. Upewnij się, że wartość w polu Algorytm szyfrowania to SHA-256.

  7. W obszarze Punkty końcowe logowania jednokrotnego wybierz pozycję HTTP POST.

  8. W obszarze Punkty końcowe wylogowywanie jednokrotne wybierz pozycję Przekierowanie HTTP.

  9. Zaakceptuj domyślne ustawienia punktów końcowych artefaktu i wymagania dotyczące uwierzytelniania.

  10. Wybierz pozycję Federacja tożsamości zaufanego dostawcy / i nieokreślone obsługiwane formaty NameID.

  11. Wartości dla ustawienia Źródło identyfikatora użytkownika i Tryb mapowania identyfikatora użytkownika określają połączenie między użytkownikiem sap a oświadczeniem firmy Microsoft Entra. Istnieją dwa obsługiwane scenariusze:

    • Scenariusz 1. Mapowanie użytkownika SAP na firmę Microsoft Entra
    • Scenariusz 2. Wybierz identyfikator użytkownika SAP na podstawie skonfigurowanego adresu e-mail w programie SU01. W takim przypadku identyfikator poczty e-mail powinien być skonfigurowany w usłudze SU01 dla każdego użytkownika, który wymaga logowania jednokrotnego.

Przypisywanie użytkowników firmy Microsoft Entra

  1. W witrynie Azure Portal wybierz pozycję Aplikacje dla przedsiębiorstw, wybierz pozycję Wszystkie aplikacje, a następnie wybierz pozycję SAP Fiori.

  2. Na liście aplikacji wybierz pozycję SAP Fiori.

  3. Aby sprawdzić wynik, po aktywowaniu dostawcy tożsamości Microsoft Entra ID w oprogramowaniu SAP Fiori spróbuj uzyskać dostęp do jednego z następujących adresów URL w celu przetestowania logowania jednokrotnego jako przypisanego użytkownika (nie należy monitować o podanie nazwy użytkownika i hasła):