Integrar o Microsoft Entra ID ao SAP Fiori

  • 11 minutos

A integração do SAP Fiori ao Microsoft Entra oferece os seguintes benefícios:

  • Você pode usar o Microsoft Entra ID para controlar quem tem acesso ao SAP Fiori.
  • Os usuários podem ser conectados automaticamente ao SAP Fiori com suas contas do Microsoft Entra (logon único).
  • Você pode gerenciar suas contas em um único local, o portal clássico do Azure.

Para configurar a integração do Microsoft Entra com o SAP Fiori, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra.
  • Uma assinatura do SAP Fiori com logon único habilitado.
  • O SAP Fiori 7.20 ou posterior é obrigatório.

Para integrar o SAP Fiori ao Microsoft Entra ID, primeiro você deve adicionar o SAP Fiori da galeria de aplicativos SaaS à sua lista de aplicativos SaaS gerenciados.

Configurar o logon único do Microsoft Entra com o SAP Fiori

Para que o logon único funcione, você deve estabelecer uma relação vinculada entre um usuário do Microsoft Entra e o usuário relacionado do SAP Fiori. Conclua as seguintes tarefas:

  1. Configure o logon único do Microsoft Entra para permitir que os usuários usem esse recurso.
  2. Configure o logon único do SAP Fiori.
  3. Atribua usuários do Microsoft Entra ao aplicativo SAP Fiori.
  4. Crie usuários do SAP Fiori vinculados às respectivas contas de usuário do Microsoft Entra.

Configurar o logon único do Microsoft Entra

  1. Abra uma nova janela do navegador da Web e entre em seu site de empresa do SAP Fiori como administrador. Certifique-se de que os serviços http e https estão ativos e as portas relevantes são atribuídas ao código de transação SMICM.

  2. Entre no cliente do SAP Business para o sistema SAP T01, em que o logon único é necessário. Em seguida, ative o gerenciamento de Sessão de Segurança HTTP. Vá para o código de transação SICF_SESSIONS e revise os parâmetros de perfil. Ajuste os parâmetros com base nos requisitos da sua organização e reinicie o sistema SAP.

  3. Ative os seguintes serviços SICF:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (isso é apenas para habilitar/desabilitar o rastreamento)

  4. Vá para o código de transação SAML2 no cliente de negócios do sistema SAP [T01/122]. A interface do usuário de configuração é aberta em uma nova janela do navegador. Insira seu nome de usuário e senha e selecione Fazer logon.

  5. Na caixa Nome do Provedor, substitua T01122 por <http://T01122> e selecione Salvar.

    Observação

    Por padrão, o nome do provedor está no formato _sid-client_. O Microsoft Entra ID espera o nome no formato protocol://name. Recomendamos que você mantenha o nome do provedor como https:// _sid-client_ para poder configurar vários mecanismos ABAP do SAP Fiori no Microsoft Entra ID.

  6. Selecione a guia Provedor Local//Metadados. Na caixa de diálogo Metadados do SAML 2.0, baixe o arquivo XML de metadados gerado e salve-o em seu computador.

  7. No portal do Azure, no painel de integração de aplicativos do SAP Fiori, selecione Logon único.

  8. No painel Selecionar um método de logon único, selecione o modo SAML ou SAML/WS-Fed para habilitar o logon único.

  9. No painel Configurar logon único com SAML, selecione Editar (o ícone de lápis) para abrir o painel Configuração Básica de SAML.

  10. Na seção Configuração Básica de SAML, selecione Carregar arquivo de metadados e use a opção Carregar arquivo de metadados para carregar o arquivo de metadados baixado anteriormente.

  11. Depois que o arquivo de metadados for carregado com êxito, os valores de Identificador e URL de Resposta serão populados automaticamente no painel Configuração Básica do SAML. Na caixa URL de Logon,, insira uma URL que tenha o seguinte padrão: https://[instância da sua empresa do SAP Fiori].

  12. O aplicativo SAP Fiori espera que as declarações SAML estejam em um formato específico. As declarações incluindo givenname, surname, emailaddress, name e o Identificador Exclusivo do Usuário. Para gerenciar seus valores, no painel Configurar o Logon Único com SAML, selecione Editar.

  13. No painel Atributos e Declarações do Usuário, configure os atributos do token SAML. Em seguida, conclua as seguintes etapas:

    • Selecione Editar para abrir o painel Gerenciar declarações do usuário.
    • Na lista Transformação, selecione ExtractMailPrefix() .
    • Na lista Parâmetro 1, selecione user.userprinicipalname.

  14. No painel Configurar logon único com SAML, na seção Certificado de Autenticação SAML, selecione Baixar ao lado de XML de Metadados de Federação.

  15. Selecione uma opção de download com base em seus requisitos. Salve o certificado no computador.

  16. Na seção Configurar o SAP Fiori, copie as seguintes URLs com base em seus requisitos:

    • URL de logon
    • Identificador do Microsoft Entra
    • URL de logoff

Configurar o logon único do SAP Fiori

  1. Entre no sistema SAP e acesse o código de transação SAML2. Uma nova janela do navegador é aberta com a página de configuração do SAML.

  2. Para configurar pontos de extremidade para um provedor de identidade confiável (Microsoft Entra ID), selecione a guia Provedores Confiáveis.

  3. Selecione Adicionar e selecione Carregar Arquivo de Metadados no menu de contexto.

  4. Carregue o arquivo de metadados que você baixou do portal do Azure.

  5. Na próxima página, na caixa Alias, insira um nome de alias arbitrário.

  6. Verifique se o valor na caixa Algoritmo Digest é SHA-256.

  7. Em Pontos de Extremidade de Logon Único , selecione HTTP POST.

  8. Em Pontos de Extremidade de Logoff Único, selecione Redirecionamento de HTTP.

  9. Aceite as configurações padrão de Pontos de Extremidade de Artefato e Requisitos de Autenticação.

  10. Selecione Provedor Confiável / Federação de Identidade e Formatos NameID com Suporte Não Especificados.

  11. Os valores de Fonte de ID de usuário e Modo de Mapeamento de ID de Usuário determinam o vínculo entre o usuário do SAP e a declaração do Microsoft Entra. Há dois cenários compatíveis:

    • Cenário 1: mapeamento de usuário SAP para usuário do Microsoft Entra
    • Cenário 2: Selecione a ID de usuário do SAP com base no endereço de email configurado no SU01. Nesse caso, a ID de email deve ser configurada no SU01 para cada usuário que precisar do SSO.

Atribuir usuários do Microsoft Entra

  1. No portal do Azure, selecione Aplicativos Empresariais, Todos os aplicativos e, em seguida, SAP Fiori.

  2. Na lista de aplicativos, selecione SAP Fiori.

  3. Para verificar o resultado, após o provedor de identidade do Microsoft Entra ID ser ativado no SAP Fiori, tente acessar uma das URLs a seguir para testar o logon único como um usuário atribuído (você não deve ser solicitado a fornecer um nome de usuário e uma senha):