Integrar o Microsoft Entra ID ao SAP Cloud Platform Identity Authentication

Concluído

A integração do SAP Cloud Platform Identity Authentication com o Microsoft Entra ID oferece os seguintes benefícios:

• Você pode controlar no Microsoft Entra ID quem tem acesso à Autenticação de Identidade da SAP Cloud Platform.
• Ele permite que os usuários sejam conectados automaticamente à SAP Cloud Platform Identity Authentication com suas contas do Microsoft Entra.
• Você pode gerenciar suas contas em um único local central – o portal do Azure.

Adicionar Autenticação de Identidade da SAP Cloud Platform por meio da galeria

Para configurar a integração da Sap Cloud Platform Identity Authentication ao Microsoft Entra ID, primeiro adicione o SAP Cloud Platform Identity Authentication da galeria de aplicativos do Microsoft Entra à sua lista de aplicativos SaaS gerenciados.

Configurar e testar o logon único baseado no Microsoft Entra ID

Em seguida, você precisa configurar e testar o SSO baseado no Microsoft Entra ID usando a seguinte sequência de etapas:

1. Configure o logon único do Microsoft Entra para permitir que os usuários usem esse recurso.
2. Configurar o logon único do SAP Cloud Platform Identity Authentication – para definir as configurações de logon único no lado do aplicativo.
3. Atribua usuários do Microsoft Entra ao SAP Cloud Platform Identity Authentication.

Configurar o logon único do Microsoft Entra

1. No portal do Azure, na página de Integração do aplicativo SAP Cloud Platform Identity Authentication, selecione Logon único.

2. Na página Selecionar um método de logon único, selecione o modo SAML/WS-Fed para habilitar o logon único.

3. Na página Configurar Logon Único com SAML, selecione o ícone Editar para abrir a caixa de diálogo Configuração Básica de SAML.

4. Na seção Configuração Básica de SAML:

   • Para configurar o modo iniciado por IDP, especifique o identificador de locatário de IAS do SAP Cloud Platform (ID da entidade) e a URL de resposta correspondente (URL do Serviço do Consumidor de Declaração).
   • Para configurar o aplicativo no modo iniciado por SP, selecione Definir URLs adicionais e forneça a URL de logon.

Para obter esses valores, você pode entrar em contato com a equipe de suporte técnico do SAP Cloud Platform Identity Authentication.

O aplicativo de SAP Cloud Platform Identity Authentication espera as asserções SAML em um formato específico. Configure as declarações relevantes para este aplicativo, incluindo givenname, surname, emailaddress, name e o Identificador Exclusivo do Usuário. Você pode gerenciar os valores desses atributos da seção Atributos de Usuário na página de integração do aplicativo.

Configurar logon único do SAP Cloud Platform Identity Authentication

Para configurar o SSO para o aplicativo, vá para o console de administração do SAP Cloud Platform Identity Authentication. Em Provedores de Identidade, escolha o bloco Provedores de Identidade Corporativa. Escolha o botão Adicionar para criar um provedor de identidade corporativa do Microsoft Entra. Em SAML 2.0, escolha Configuração de SAML 2.0.

Carregue o arquivo XML de metadados do Microsoft Entra ou configure manualmente os seguintes campos:

• Nome: a ID da entidade do provedor de identidade corporativa.
• URL do Ponto de Extremidade de Logon Único: a URL do ponto de extremidade de logon único do provedor de identidade que recebe solicitações de autenticação. Para Associação, escolha aquela que corresponde ao respectivo ponto de extremidade de logon único.
• URL do Ponto de Extremidade de Logoff Único: a URL do ponto de extremidade de logoff único do provedor de identidade que recebe mensagens de logoff. Para Associação, escolha aquela que corresponde ao respectivo ponto de extremidade de logoff único.
• Certificado de Autenticação: o certificado codificado em base64 usado pelo provedor de identidade para assinar digitalmente as mensagens do protocolo SAML enviadas para o Identity Authentication.

Atribuir usuários do Microsoft Entra

1. No portal do Azure, selecione Aplicativos Empresariais, Todos os aplicativose SAP Cloud Platform Identity Authentication.

2. Na lista de aplicativos, selecione SAP Cloud Platform Identity Authentication.

3. No portal do Azure, selecione Usuários e grupos.

4. Clique no botão Adicionar usuário e selecione os usuários e grupos que pretende atribuir ao aplicativo na caixa de diálogo Adicionar Atribuição.

5. Se você estiver esperando qualquer valor de função na declaração SAML, na caixa de diálogo Selecionar Função, selecione a função apropriada para o usuário na lista e clique no botão Selecionar na parte inferior da tela. Na caixa de diálogo Adicionar Atribuição selecione o botão Atribuir.

   Observação

   Você não precisa criar um usuário na Autenticação de Identidade da SAP Cloud Platform. Os usuários que estão no repositório de usuários do Microsoft Entra podem utilizar a funcionalidade SSO. O SAP Cloud Platform Identity Authentication é compatível com a opção de Federação de Identidades. Essa opção permite que o aplicativo verifique se os usuários autenticados pelo provedor de identidade corporativa existem no repositório de usuários da Autenticação de Identidade da SAP Cloud Platform. A opção de Federação de Identidades é desabilitada por padrão. Se a Federação de Identidades estiver habilitada, somente os usuários que são importados na Autenticação de Identidade da SAP Cloud Platform poderão acessar o aplicativo.

6. Para verificar o resultado, selecione o bloco SAP Cloud Platform Identity Authentication no Painel de Acesso. Você será conectado automaticamente ao SAP Cloud Platform Identity Authentication, para o qual configurou o SSO.