Tutorial: Integração do SSO do Microsoft Entra com o SAP Business Technology Platform
Neste tutorial, você aprenderá a integrar a SAP Business Technology Platform à ID do Microsoft Entra. Ao integrar a SAP Business Technology Platform à ID do Microsoft Entra, você pode:
- Controle no Microsoft Entra ID quem tem acesso à Plataforma de Tecnologia Empresarial da SAP.
- Permitir que os usuários sejam conectados automaticamente ao SAP Business Technology Platform com suas contas do Microsoft Entra.
- Gerencie suas contas em um local central.
Pré-requisitos
Para começar, você precisa dos seguintes itens:
- Uma assinatura do Microsoft Entra. Se você não tiver uma assinatura, poderá obter uma conta gratuita .
- Assinatura habilitada para SSO (logon único) da SAP Business Technology Platform.
Importante
Você precisa implantar seu próprio aplicativo ou assinar um aplicativo em sua conta da SAP Business Technology Platform para testar o logon único. Neste tutorial, um aplicativo é implantado na conta.
Descrição do cenário
Neste tutorial, você configurará e testará o logon único do Microsoft Entra em um ambiente de teste.
- A SAP Business Technology Platform dá suporte ao SSO iniciado por SP.
Adicionar o SAP Business Technology Platform por meio da galeria
Para configurar a integração da SAP Business Technology Platform à ID do Microsoft Entra, você precisa adicionar o SAP Business Technology Platform por meio da galeria à sua lista de aplicativos SaaS gerenciados.
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativos de Nuvem.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
- Na seção Adicionar da galeria, digite SAP Business Technology Platform na caixa de pesquisa.
- Selecione sap business technology platform no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO também. Saiba mais sobre os assistentes do Microsoft 365.
Configurar e testar o SSO do Microsoft Entra para SAP Business Technology Platform
Configure e teste o SSO do Microsoft Entra na SAP Business Technology Platform usando um usuário de teste chamado B.Simon. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado da SAP Business Technology Platform.
Para configurar e testar o SSO do Microsoft Entra com a SAP Business Technology Platform, execute as seguintes etapas:
- Configurar o SSO do Microsoft Entra – para permitir que os usuários usem esse recurso.
- Criar um usuário de teste do Microsoft Entra – para testar o logon único do Microsoft Entra com Britta Simon.
- Atribuir o usuário de teste do Microsoft Entra – para permitir que Britta Simon use o logon único do Microsoft Entra.
- Configurar o SSO da SAP Business Technology Platform – para definir as configurações de Logon Único no lado do aplicativo.
- Criar um usuário de teste na SAP Business Technology Platform – para ter um equivalente de Britta Simon na SAP Business Technology Platform que esteja vinculado à representação de usuário do Microsoft Entra.
- Teste SSO - para verificar se a configuração funciona.
Configurar o SSO do Microsoft Entra
Siga estas etapas para habilitar o SSO do Microsoft Entra.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativos de Nuvem.
Navegue até Identidade>Aplicativos>Aplicativos empresariais>SAP Business Technology Platform>Logon único.
Na página Selecionar um método de logon único, escolha SAML.
Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.
Na seção de Configuração Básica do SAML, insira os valores dos seguintes campos:
a. Na caixa de texto Identificador que você irá fornecer à sua SAP Business Technology Platform digite uma URL usando um dos seguintes padrões:
Identificador https://hanatrial.ondemand.com/<instancename>
https://hana.ondemand.com/<instancename>
https://us1.hana.ondemand.com/<instancename>
https://ap1.hana.ondemand.com/<instancename>
b. Na caixa de texto URL de Resposta, digite uma URL usando um dos seguintes padrões:
URL de Resposta https://<subdomain>.hanatrial.ondemand.com/<instancename>
https://<subdomain>.hana.ondemand.com/<instancename>
https://<subdomain>.us1.hana.ondemand.com/<instancename>
https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
https://<subdomain>.ap1.hana.ondemand.com/<instancename>
https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>
c. Na caixa de texto URL de Logon, digite a URL usada pelos usuários para entrar no aplicativo SAP Business Technology Platform. Essa é a URL específica da conta de um recurso protegido em seu aplicativo SAP Business Technology Platform. A URL se baseia no seguinte padrão:
https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>
Nota
Essa é a URL em seu aplicativo SAP Business Technology Platform que exige que o usuário se autentique.
URL de Login https://<subdomain>.hanatrial.ondemand.com/<instancename>
https://<subdomain>.hana.ondemand.com/<instancename>
Nota
Esses valores não são reais. Atualize esses valores com o Identificador real, a URL de Resposta e a URL de Logon. Entre em contato com equipe de suporte do cliente da SAP Business Technology Platform para obter a URL de logon e o Identificador. URL de resposta que você pode obter da seção de gerenciamento de confiança, que é explicada posteriormente no tutorial.
Na página Configurar Logon Único com SAML, na seção Certificado de Autenticação SAML, clique em Baixar para baixar o XML de Metadados de Federação usando as opções fornecidas de acordo com seus requisitos e salve-o no computador.
Criar um usuário de teste do Microsoft Entra
Nesta seção, você criará um usuário de teste chamado B.Simon.
- Entre no centro de administração do Microsoft Entra pelo menos como Administrador de Usuários.
- Navegue até Identidade>Usuários>Todos os usuários.
- Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
- Nas propriedades do Usuário, siga estas etapas:
- No campo Nome de exibição, insira
B.Simon
. - No campo nome principal do usuário, insira o username@companydomain.extension. Por exemplo,
B.Simon@contoso.com
. - Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa de senha .
- Selecione Examinar + criar.
- No campo Nome de exibição, insira
- Selecione Criar.
Atribuir o usuário de teste do Microsoft Entra
Nesta seção, você permitirá que B.Simon use o logon único concedendo acesso ao SAP Business Technology Platform.
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativos de Nuvem.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais>SAP Business Technology Platform.
- Na página de visão geral do aplicativo, selecione Usuários e grupos.
- Selecione Adicionar usuário/grupo, e então selecione Usuários e grupos na caixa de diálogo Adicionar Atribuição.
- Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
- Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso Padrão" selecionada.
- Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.
Configurar o SSO da SAP Business Technology Platform
Em outra janela do navegador da Web, entre no Cockpit da SAP Business Technology Platform em
https://account.<landscape host>.ondemand.com/cockpit
(por exemplo: https://account.hanatrial.ondemand.com/cockpit).Clique na guia Confiar .
Na seção Gerenciamento de confiança, em Provedor de serviços local, execute as seguintes etapas:
a. Clique em Editar.
b. Para Tipo de Configuração, selecione Personalizado.
c. Para Nome do Provedor Local, deixe o valor padrão. Copie esse valor e cole-o no campo Identificador na configuração do Microsoft Entra para SAP Business Technology Platform.
d. Para gerar um par de chaves Chave de Assinatura e um Certificado de Assinatura, clique em Gerar Par de Chaves.
e. Para Propagação de Entidade, selecione Desabilitado.
f. Para Forçar Autenticação, selecione Desabilitado.
g. Clique em Salvar.
Depois de salvar as configurações do Provedor de serviços Llocal, faça o seguinte para obter a URL de resposta:
a. Baixe o arquivo de metadados da SAP Business Technology Platform clicando em Obter metadados.
b. Abra o arquivo XML de metadados da SAP Business Technology Platform baixado e localize a marca ns3:AssertionConsumerService .
c. Copie o valor do atributo Location e cole-o no campoURL de Resposta na configuração do Microsoft Entra da SAP Business Technology Platform.
Clique na guia Provedor de Identidade Confiável e clique em Adicionar Provedor de Identidade Confiável.
Nota
Para gerenciar a lista de provedores de identidade confiáveis, você precisa ter escolhido o tipo de configuração personalizado na seção Provedor de Serviços Local. Para o tipo de configuração padrão, você tem uma confiança não editável e implícita no Serviço de ID SAP. Para Nenhum, você não tem nenhuma configuração de confiança.
Clique na guia Geral e em Procurar para carregar o arquivo de metadados baixado.
Nota
Depois de carregar o arquivo de metadados, os valores de URL de Logon Único, URL de Logoff Único e o Certificado de Autenticação serão automaticamente populados.
Clique na guia Atributos .
Na guia Atributos, execute a seguinte etapa:
Atributos
a. Clique em Adicionar Atributo Baseado em Declaração e adicione os seguintes atributos baseados em declaração:
Atributo de Afirmação Atributo Principal http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
primeiro nome http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
sobrenome http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
email Nota
A configuração dos Atributos depende de como os aplicativos no SCP são desenvolvidos, ou seja, quais atributos eles esperam na resposta SAML e sob qual nome (Atributo Principal) eles acessam esse atributo no código.
b. O atributo padrão na captura de tela é apenas para fins ilustrativos. Não é necessário fazer o cenário funcionar.
c. Os nomes e valores para atributo principal mostrados na captura de tela dependem de como o aplicativo é desenvolvido. É possível que seu aplicativo exija mapeamentos diferentes.
Grupos baseados em asserção
Como uma etapa opcional, você pode configurar grupos baseados em declaração para o provedor de identidade do Microsoft Entra.
O uso de grupos na SAP Business Technology Platform permite atribuir dinamicamente um ou mais usuários a uma ou mais funções em seus aplicativos sap business technology platform, determinados por valores de atributos na declaração SAML 2.0.
Por exemplo, se a asserção contiver o atributo "contract=temporary", talvez você queira que todos os usuários afetados sejam adicionados ao grupo"TEMPORÁRIA ". O grupo "TEMPORARY" pode conter uma ou mais funções de um ou mais aplicativos implantados em sua conta da SAP Business Technology Platform.
Use grupos baseados em asserção quando quiser atribuir simultaneamente muitos usuários a uma ou mais funções de aplicativos em sua conta da SAP Business Technology Platform. Se você quiser atribuir apenas um único ou pequeno número de usuários a funções específicas, recomendamos atribuí-los diretamente na guia "Autorizações" do cockpit da SAP Business Technology Platform.
Criar um usuário de teste da SAP Business Technology Platform
Para permitir que os usuários do Microsoft Entra façam logon no SAP Business Technology Platform, você deve atribuir funções na SAP Business Technology Platform a eles.
Para atribuir uma função a um usuário, execute as seguintes etapas:
Faça login no seu cockpit da SAP Business Technology Platform.
Execute o seguinte:
a. Clique em Autorização.
b. Clique na guia Usuários.
c. Na caixa de texto Usuário, digite o endereço de email do usuário.
d. Clique em Atribuir para atribuir o usuário a uma função.
e. Clique em Salvar.
Testar o SSO
Nesta seção, você testará sua configuração de logon único do Microsoft Entra com as seguintes opções.
Clique em Testar este aplicativo, isso redirecionará para a URL de login da SAP Business Technology Platform, onde você poderá iniciar o fluxo de login.
Acesse diretamente a URL de Logon da SAP Business Technology Platform e inicie o fluxo de logon nela.
Você pode usar o Microsoft My Apps. Ao clicar no bloco da SAP Business Technology Platform em Meus Aplicativos, você deverá ser conectado automaticamente à SAP Business Technology Platform, para a qual configurou o SSO. Para obter mais informações sobre Meus Aplicativos, consulte Introdução aoMeus Aplicativos.
Próximas etapas
- Depois de configurar o SAP Business Technology Platform, você poderá impor o controle de sessão, que protege contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.
- Gerenciar o acesso a aplicativos SAP BTP por meio de grupos