Tutorial: integração do logon único (SSO) do Microsoft Entra ao SAP Fiori

Nesse tutorial, você aprenderá a integrar o SAP Fiori ao Microsoft Entra ID. Ao integrar o SAP Fiori ao Microsoft Entra ID, você poderá:

• Controlar quem tem acesso ao SAP Fiori no Microsoft Entra ID.
• Permitir que os usuários entrem automaticamente no SAP Fiori com as respectivas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

• Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
• Assinatura do SAP Fiori habilitada para SSO (logon único).

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

• O SAP Fiori dá suporte ao SSO iniciado por SP

Observação

Para a Autenticação de iFrame iniciada pelo SAP Fiori, é recomendável usar o parâmetro IsPassive no AuthnRequest SAML para autenticação silenciosa. Para obter mais detalhes sobre o parâmetro IsPassive, consulte as informações sobre o Logon único de SAML do Microsoft Entra.

Como adicionar o SAP Fiori por meio da galeria

Para configurar a integração do SAP Fiori ao Microsoft Entra ID, você precisará adicioná-lo à lista de aplicativos SaaS gerenciados por meio da galeria.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
3. Na seção Adicionar da por meio da galeria, digite SAP Fiori na caixa de pesquisa.
4. Selecione SAP Fiori no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o SAP Fiori

Configure e teste o SSO do Microsoft Entra com o SAP Fiori com um usuário de teste chamado B. Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do SAP Fiori.

Para configurar e testar o SSO do Microsoft Entra com o SAP Fiori, execute as seguintes etapas:

1. Configurar o SSO do Microsoft Entra – para permitir que os usuários usem esse recurso.
   1. Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Silva.
   2. Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o logon único do Microsoft Entra.
2. Configurar o SSO do SAP Fiori – para definir as configurações de logon único no lado do aplicativo.
   1. Criar um usuário de teste do SAP Fiori - para ter um equivalente de B. Fernandes no SAP Fiori que esteja vinculado à representação de usuário do Microsoft Entra.
3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

1. Abra uma nova janela do navegador da Web e entre em seu site de empresa do SAP Fiori como administrador.

2. Certifique-se de que os serviços http e https estão ativos e as portas relevantes são atribuídas ao código de transação SMICM.

3. Entre no cliente do SAP Business para o sistema SAP T01, em que o logon único é necessário. Em seguida, ative o gerenciamento de Sessão de Segurança HTTP.

   1. Vá para o código de transação SICF_SESSIONS. Todos os parâmetros de perfil relevantes com os valores atuais são exibidos. A aparência deles é similar à do exemplo a seguir:

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Observação

      Ajuste os parâmetros com base nos requisitos da sua organização. Os parâmetros anteriores são fornecidos apenas como um exemplo.

   2. Se necessário, ajuste os parâmetros no perfil/padrão da instância do sistema SAP e reinicie esse sistema.

   3. Clique duas vezes no cliente relevante para habilitar uma sessão de segurança HTTP.

      

   4. Ative os seguintes serviços SICF:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Vá para o código de transação SAML2 no cliente de negócios do sistema SAP [T01/122]. A interface do usuário de configuração é aberta em uma nova janela do navegador. Neste exemplo, usamos o Cliente Business para o sistema SAP 122.

   

5. Insira seu nome de usuário e senha e selecione Fazer logon.

   

6. Na caixa Nome do Provedor, substitua T01122 por http://T01122 e selecione Salvar.

   Observação

   Por padrão, o nome do provedor está no formato <sid><cliente>. O Microsoft Entra ID espera o nome no formato <protocolo>://<nome>. Recomendamos que você mantenha o nome do provedor como https://<sid><cliente> para que você possa configurar vários mecanismos de ABAP do SAP Fiori no Microsoft Entra ID.

   

7. Selecione a guia Provedor Local>Metadados.

8. Na caixa de diálogo Metadados do SAML 2.0, baixe o arquivo XML de metadados gerado e salve-o em seu computador.

   

9. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

10. Navegue até Identidade>Aplicativos>Aplicativos empresariais>SAP Fiori>Logon único.

11. Na página Selecionar um método de logon único, escolha SAML.

12. Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.

    

13. Na seção Configuração básica do SAML, se você tiver um arquivo de metadados do provedor de serviços, execute as seguintes etapas:

    1. Clique em Carregar arquivo de metadados.

       

    2. Clique no logotipo da pasta para selecionar o arquivo de metadados e depois em Carregar.

       

    3. Depois que o arquivo de metadados for carregado com êxito, os valores de Identificador e URL de Resposta serão populados automaticamente no painel Configuração Básica do SAML. Na caixa URL de Entrada, digite uma URL com o seguinte padrão: https://<your company instance of SAP Fiori>.

       Observação

       Alguns clientes encontraram um erro de uma URL de Resposta incorreta configurada para as respectivas instâncias. Se você receber qualquer erro desse tipo, use estes comandos do PowerShell. Primeiro, atualize as URLs de Resposta no objeto do aplicativo com a URL de Resposta e, depois, atualize a entidade de serviço. Use Get-MgServicePrincipal para obter o valor da ID da entidade de serviço.

       $params = @{
          web = @{
             redirectUris = "<Your Correct Reply URL>"
          }
       }
       Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
       Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
       

14. O aplicativo SAP Fiori espera que as declarações SAML estejam em um formato específico. Configure as declarações a seguir para este aplicativo. Para gerenciar esses valores de atributo, no painel Configurar o Logon Único com o SAML, selecione Editar.

    

15. No painel Atributos e Declarações do Usuário, configure os atributos do token SAML, conforme mostrado na imagem anterior. Em seguida, conclua as seguintes etapas:

    1. Selecione Editar para abrir o painel Gerenciar declarações do usuário.

    2. Na lista Transformação, selecione ExtractMailPrefix() .

    3. Na lista Parâmetro 1, selecione user.userprincipalname.

    4. Selecione Salvar.

       

       

16. Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, localize XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo no computador.

    

17. Na seção Configurar o SAP Fiori, copie as URLs apropriadas de acordo com suas necessidades.

    

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes.

1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
2. Navegue até Identidade>Usuários>Todos os usuários.
3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
4. Nas propriedades do Usuário, siga estas etapas:
   1. No campo Nome de exibição, insira B.Simon.
   2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
   4. Selecione Examinar + criar.
5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilitará B.Fernandes a usar o logon único permitindo acesso ao SAP Fiori.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>SAP Fiori.
3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
4. Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
   1. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
   2. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
   3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do SAP Fiori

1. Entre no sistema SAP e acesse o código de transação SAML2. Uma nova janela do navegador é aberta com a página de configuração do SAML.

2. Para configurar pontos de extremidade para um provedor de identidade confiável (Microsoft Entra ID), selecione a guia Provedores Confiáveis.

   

3. Selecione Adicionar e selecione Carregar Arquivo de Metadados no menu de contexto.

   

4. Carregue o arquivo de metadados baixado. Selecione Avançar.

   

5. Na página seguinte, na caixa Alias, digite o nome do alias. Por exemplo, aadsts. Selecione Avançar.

   

6. Verifique se o valor na caixa Algoritmo Digest é SHA-256. Selecione Avançar.

   

7. Em Pontos de Extremidade de Logon Único, selecione HTTP POST e, em seguida, selecione Avançar.

   

8. Em Pontos de Extremidade de Logoff Único, selecione Redirecionamento HTTP e, em seguida, selecione Avançar.

   

9. Em Pontos de Extremidade de Artefato, selecione Avançar para continuar.

   

10. Em Requisitos de Autenticação, selecione Concluir.

    

11. Selecione Provedor Confiável>Federação de Identidades (na parte inferior da página). Selecione Editar.

    

12. Selecione Adicionar.

    

13. Na caixa de diálogo Formatos de NameID compatíveis, selecione Não especificado. Selecione OK.

    

    Os valores de Fonte de ID de usuário e Modo de Mapeamento de ID de Usuário determinam o vínculo entre o usuário do SAP e a declaração do Microsoft Entra.

    Cenário 1: mapeamento de usuário SAP para usuário do Microsoft Entra

    1. No SAP, em Detalhes do Formato de NameID "Não especificado" , observe os detalhes:

       

    2. No portal do Azure, em Atributos do Usuário e Declarações, observe as declarações necessárias do Microsoft Entra ID.

       

    Cenário 2: Selecione a ID de usuário do SAP com base no endereço de email configurado no SU01. Nesse caso, a ID de email deve ser configurada no SU01 para cada usuário que precisar do SSO.

    1. No SAP, em Detalhes do Formato de NameID "Não especificado" , observe os detalhes:

       

    2. No portal do Azure, em Atributos do Usuário e Declarações, observe as declarações necessárias do Microsoft Entra ID.

       

14. Selecione Salvar e, em seguida, selecione Habilitar para habilitar o provedor de identidade.

    

15. Quando solicitado, selecione OK.

    

Criar um usuário de teste do SAP Fiori

Nesta seção, você criará um usuário chamado Brenda Fernandes no SAP Fiori. Trabalhe com sua equipe interna de especialistas SAP ou com o parceiro SAP de sua organização para adicionar os usuários à plataforma SAP Fiori.

Testar o SSO

1. Depois que o provedor de identidade do Microsoft Entra ID for ativado no SAP Fiori, tente acessar uma das seguintes URLs para testar o logon único (não deverá ser solicitado um nome de usuário e senha):

   • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
   • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

   Observação

   Substitua <sap-url> pelo nome do host real do SAP.

2. A URL de teste deve levar à página de aplicativo de teste a seguir no SAP. Se a página abrir, o logon único do Microsoft Entra terá sido configurado com êxito.

   

3. Se for solicitado que você forneça um nome de usuário e senha, habilite o rastreamento para ajudar a diagnosticar o problema. Use a seguinte URL para o rastreamento:

   https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Próximas etapas

Depois de configurar o SAP Fiori, você poderá impor um controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.