Integrowanie identyfikatora Entra firmy Microsoft z oprogramowaniem SAP NetWeaver

  • 13 min

Integracja oprogramowania SAP NetWeaver z identyfikatorem Microsoft Entra ID zapewnia następujące korzyści:

  • W usłudze Microsoft Entra ID możesz kontrolować, kto ma dostęp do oprogramowania SAP NetWeaver.
  • Możesz zezwolić swoim użytkownikom na automatyczne logowanie do oprogramowania SAP NetWeaver (logowanie jednokrotne) przy użyciu kont Microsoft Entra.
  • Możesz zarządzać swoimi kontami w jednej centralnej lokalizacji — witrynie Azure Portal.

Aby skonfigurować integrację firmy Microsoft Entra z oprogramowaniem SAP NetWeaver, potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra
  • Subskrypcja oprogramowania SAP NetWeaver z obsługą logowania jednokrotnego
  • Oprogramowanie SAP NetWeaver v7.20 jest wymagane co najmniej

Oprogramowanie SAP NetWeaver obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.

Aby skonfigurować integrację oprogramowania SAP NetWeaver z programem Microsoft Entra ID, najpierw dodaj oprogramowanie SAP NetWeaver z galerii do listy zarządzanych aplikacji SaaS.

Konfigurowanie i testowanie logowania jednokrotnego firmy Microsoft Entra

Aby skonfigurować logowanie jednokrotne firmy Microsoft w oprogramowaniu SAP NetWeaver, należy wykonać następujące czynności:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
  2. Konfigurowanie logowania jednokrotnego oprogramowania SAP NetWeaver — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
  3. Przypisz użytkownika testowego microsoft Entra ID do aplikacji Microsoft Entra.
  4. Utwórz użytkowników oprogramowania SAP NetWeaver połączonych z kontami użytkowników firmy Microsoft Entra.

Konfigurowanie logowania jednokrotnego firmy Microsoft Entra

Aby skonfigurować logowanie jednokrotne firmy Microsoft w oprogramowaniu SAP NetWeaver, wykonaj następujące kroki:

  1. Otwórz nowe okno przeglądarki internetowej i zaloguj się do firmowej witryny oprogramowania SAP NetWeaver jako administrator.

  2. Upewnij się, że usługi http i https są aktywne, a odpowiednie porty są przypisane w T-Code SMICM.

  3. zaloguj się do klienta biznesowego oprogramowania SAP System (T01), gdzie wymagane jest logowanie jednokrotne i aktywuj zarządzanie sesjami zabezpieczeń PROTOKOŁU HTTP.

  4. Przejdź do sekcji SICF_SESSIONS kodu transakcji. Przejrzyj wszystkie parametry profilu. Dostosuj wymagania organizacji, a następnie uruchom ponownie system SAP.

  5. Kliknij dwukrotnie odpowiedniego klienta, aby włączyć sesję zabezpieczeń HTTP.

  6. Aktywuj następujące usługi SICF:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (Dotyczy to tylko włączania/wyłączania śledzenia)

  7. Przejdź do pozycji Kod transakcji SAML2 w kliencie biznesowym systemu SAP [T01/122]. Spowoduje to otwarcie interfejsu użytkownika w przeglądarce.

  8. Podaj nazwę użytkownika i hasło, aby wprowadzić interfejs użytkownika, a następnie wybierz pozycję Edytuj.

  9. Zmień nazwę dostawcy z T01122 na <http://T01122> i wybierz pozycję Zapisz.

  10. Domyślnie nazwa dostawcy jest formatowana jako [sid][client], ale identyfikator Entra firmy Microsoft oczekuje nazwy w formacie protocol://[sid][client]. Zalecamy zachowanie nazwy dostawcy jako https://[sid][client] w celu umożliwienia skonfigurowania wielu aparatów PROGRAMU SAP NetWeaver ABAP w identyfikatorze Entra firmy Microsoft.

  11. Generowanie metadanych dostawcy usług: po zakończeniu konfigurowania ustawień dostawcy lokalnego i zaufanych dostawców w interfejsie użytkownika SAML 2.0 następnym krokiem jest wygenerowanie pliku metadanych dostawcy usług (który będzie zawierać wszystkie ustawienia, konteksty uwierzytelniania i inne konfiguracje w oprogramowaniu SAP).

  12. Na karcie Dostawca lokalny wybierz pozycję Metadane.

  13. Zapisz wygenerowany plik XML metadanych na komputerze i przekaż go w sekcji Podstawowa konfiguracja protokołu SAML, aby automatycznie wypełniać wartości Identyfikator i Adres URL odpowiedzi w witrynie Azure Portal.

  14. W witrynie Azure Portal na stronie integracji aplikacji SAP NetWeaver wybierz pozycję Logowanie jednokrotne.

  15. W oknie dialogowym Wybieranie metody logowania jednokrotnego wybierz tryb SAML/WS-Fed, aby włączyć logowanie jednokrotne.

  16. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę Edytuj , aby otworzyć okno dialogowe Podstawowa konfiguracja protokołu SAML.

  17. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące czynności:

    1. Wybierz pozycję Przekaż plik metadanych, aby przekazać plik metadanych dostawcy usług, który został uzyskany wcześniej.
    2. Wybierz logo folderu, aby wybrać plik metadanych, a następnie wybierz pozycję Przekaż.
    3. Po pomyślnym przekazaniu pliku metadanych wartości Identyfikator i Adres URL odpowiedzi zostaną wypełnione automatycznie w polu tekstowym Podstawowa konfiguracja protokołu SAML, jak pokazano poniżej:
    4. W polu tekstowym Adres URL logowania wpisz adres URL , korzystając z następującego wzorca: https://[wystąpienie firmowe oprogramowania SAP NetWeaver]

  18. Aplikacja SAP NetWeaver oczekuje asercji SAML w określonym formacie. Oświadczenia, w tym imię i nazwisko, adres e-mail, nazwa i unikatowy identyfikator użytkownika. Możesz zarządzać ich wartościami w sekcji Atrybuty użytkownika na stronie integracji aplikacji.

  19. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz przycisk Edytuj , aby otworzyć okno dialogowe Atrybuty użytkownika.

  20. W sekcji Oświadczenia użytkownika w oknie dialogowym Atrybuty użytkownika skonfiguruj atrybut tokenu SAML i wykonaj następujące kroki:

    1. Wybierz ikonę Edytuj , aby otworzyć okno dialogowe Zarządzanie oświadczeniami użytkowników.
    2. Z listy Przekształcenie wybierz pozycję ExtractMailPrefix().
    3. Z listy Parametr 1 wybierz pozycję user.userprinicipalname.
    4. Wybierz pozycję Zapisz.

  21. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML wybierz pozycję Pobierz, aby pobrać kod XML metadanych federacji z podanych opcji zgodnie z wymaganiami i zapisać go na komputerze.

  22. W sekcji Konfigurowanie aplikacji SAP NetWeaver skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    • Adres URL logowania
    • Identyfikator entra firmy Microsoft
    • Adres URL wylogowywania

Konfigurowanie logowania jednokrotnego oprogramowania SAP NetWeaver

  1. Zaloguj się do systemu SAP i przejdź do kodu transakcji SAML2. Spowoduje to otwarcie nowego okna przeglądarki na ekranie konfiguracji SAML.

  2. Aby skonfigurować punkty końcowe dla zaufanego dostawcy tożsamości (Microsoft Entra ID), przejdź do karty Zaufani dostawcy .

  3. Naciśnij pozycję Add (Dodaj) i wybierz polecenie Upload Metadata File (Przekaż plik metadanych) z menu kontekstowego.

  4. Przekaż plik metadanych pobrany z witryny Azure Portal.

  5. Na następnym ekranie wpisz dowolną nazwę aliasu . Upewnij się, że w polu Digest Algorithm (Algorytm porządkowania ) znajduje się wartość SHA-256 i że nie są wymagane żadne zmiany, a następnie naciśnij pozycję Next (Dalej).

  6. W przypadku punktów końcowych logowania jednokrotnego użyj protokołu HTTP POST i wybierz przycisk Dalej , aby kontynuować.

  7. W obszarze Punkty końcowe wylogowywanie jednokrotne wybierz pozycję HTTPRedirect i wybierz przycisk Dalej , aby kontynuować.

  8. Na stronie Artifact Endpoints (Punkty końcowe artefaktu) naciśnij przycisk Next (Dalej), aby kontynuować.

  9. W obszarze Wymagania dotyczące uwierzytelniania zaakceptuj ustawienia domyślne i wybierz pozycję Zakończ.

  10. Przejdź do karty Zaufany dostawca, a następnie Federacja tożsamości.

  11. Zaznacz Edytuj.

  12. Wybierz pozycję Dodaj na karcie Federacja tożsamości.

  13. W oknie podręcznym wybierz pozycję Nieokreślone z obsługiwanych formatów NameID i wybierz przycisk OK. Wartości trybu mapowania identyfikatora użytkownika i identyfikatora użytkownika określają połączenie między użytkownikiem sap i oświadczeniem firmy Microsoft Entra.

  14. Istnieją dwa możliwe scenariusze:

    • Scenariusz: mapowanie użytkownika SAP na firmę Microsoft Entra.
    • Scenariusz: wybierz pozycję Identyfikator użytkownika SAP na podstawie skonfigurowanego adresu e-mail w programie SU01. W takim przypadku identyfikator e-mail powinien być skonfigurowany w su01 dla każdego użytkownika, który wymaga logowania jednokrotnego.

  15. Wybierz pozycję Zapisz , a następnie wybierz pozycję Włącz , aby włączyć dostawcę tożsamości.

Przypisywanie użytkowników firmy Microsoft Entra

W witrynie Azure Portal wybierz pozycję Aplikacje dla przedsiębiorstw i Wszystkie aplikacje, a następnie pozycjęSAP NetWeaver. Na liście aplikacji wybierz pozycję SAP NetWeaver.

Tworzenie użytkowników oprogramowania SAP NetWeaver

  1. Aby umożliwić użytkownikom firmy Microsoft Entra logowanie się do oprogramowania SAP NetWeaver, należy aprowizować je w oprogramowaniu SAP NetWeaver. We współpracy z własnym zespołem ekspertów SAP lub partnerem sap w organizacji dodaj użytkowników na platformie SAP NetWeaver.
  2. Aby sprawdzić wynik, po aktywowaniu dostawcy tożsamości Microsoft Entra ID uzyskaj dostęp <https://sapurl/sap/bc/bsp/sap/it00/default.htm> (zastąp sapurl rzeczywistą nazwą hosta SAP), aby sprawdzić logowanie jednokrotne. Nie powinno być monitu o podanie nazwy użytkownika i hasła.