Integrar o Microsoft Entra ID ao SAP NetWeaver

  • 13 minutos

A integração do SAP NetWeaver ao Microsoft Entra ID oferece os seguintes benefícios:

  • Controle no Microsoft Entra ID quem tem acesso ao SAP NetWeaver.
  • Você pode permitir que seus usuários se conectem automaticamente ao SAP NetWeaver (logon único) com suas contas do Microsoft Entra.
  • Você pode gerenciar suas contas em um único local central – o portal do Azure.

Para configurar a integração do Microsoft Entra com o SAP Fiori, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra
  • Assinatura habilitada para logon único do SAP NetWeaver
  • SAP NetWeaver versão 7.20 no mínimo

O SAP NetWeaver dá suporte ao SSO iniciado por SP.

Para configurar a integração do SAP NetWeaver no Microsoft Entra ID, você precisa adicionar o SAP NetWeaver da galeria à sua lista de aplicativos SaaS gerenciados.

Configurar e testar o logon único do Microsoft Entra

Para configurar o logon único do Microsoft Entra com o SAP NetWeaver, você precisa seguir as seguintes etapas:

  1. Configure o logon único do Microsoft Entra para permitir que os usuários usem esse recurso.
  2. Configure o logon único do SAP NetWeaver – para definir as configurações de logon único no lado do aplicativo.
  3. Atribua o usuário de teste do Microsoft Entra ID ao aplicativo Microsoft Entra.
  4. Crie usuários do SAP NetWeaver vinculados às respectivas contas de usuário do Microsoft Entra.

Configurar o logon único do Microsoft Entra

Para configurar o logon único do Microsoft Entra com o SAP NetWeaver, execute as seguintes etapas:

  1. Abra uma nova janela do navegador da Web e faça logon no site da empresa do SAP NetWeaver como administrador.

  2. Verifique se os serviços http e https estão ativos e se as portas apropriadas estão atribuídas no T-Code (código de transação) SMICM.

  3. conecte-se ao cliente de negócios do sistema SAP (T01), onde o SSO é necessário, e ative o gerenciamento de sessão de segurança HTTP.

  4. Vá para Código de transação SICF_SESSIONS. Examine todos os parâmetros de perfil. Ajuste de acordo com os requisitos da sua organização e reinicie o sistema SAP.

  5. Clique duas vezes no cliente relevante para habilitar uma sessão de segurança HTTP.

  6. Ative os seguintes serviços SICF:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (isso é apenas para habilitar/desabilitar o rastreamento)

  7. Vá para o Código de transação SAML2 no cliente empresarial do sistema SAP [T01/122]. Isso abrirá uma interface do usuário em um navegador.

  8. Forneça seu nome de usuário e senha para inserir a interface do usuário e selecione Editar.

  9. Altere o Nome do Provedor de T01122 para <http://T01122> e selecione Salvar.

  10. Por padrão, o nome do provedor tem o formato [sid] [client], mas o Microsoft Entra ID espera o nome no formato protocol://[sid][client]. Recomendamos que você mantenha o nome do provedor como https://[sid][client] para permitir que vários mecanismos ABAP do SAP NetWeaver sejam configurados no Microsoft Entra ID.

  11. Gerar metadados do provedor de serviços: depois de definir as configurações do provedor local e provedores confiáveis na interface do usuário SAML 2.0, a próxima etapa envolve a geração do arquivo de metadados do provedor de serviços (que conteria todas as configurações, contextos de autenticação e outras configurações no SAP).

  12. No Provedor Local, selecione Metadados.

  13. Salve o arquivo XML de metadados gerado em seu computador e carregue-o na seção Configuração básica de SAML para preencher automaticamente os valores Identificador e URL de resposta no portal do Azure.

  14. No portal do Azure, na página Integração de aplicativos do SAP NetWeaver, selecione Logon único.

  15. Na caixa de diálogo Selecionar um método de logon único, selecione o modo SAML/WS-Fed para habilitar o logon único.

  16. Na página Configurar Logon Único com SAML, selecione o ícone Editar para abrir a caixa de diálogo Configuração Básica de SAML.

  17. Na seção Configuração básica de SAML, realize as seguintes etapas:

    1. Selecione Carregar arquivo de metadados para carregar o arquivo de metadados do provedor de serviços que você obteve anteriormente.
    2. Clique no logotipo da pasta para selecionar o arquivo de metadados e selecione Carregar.
    3. Após o upload bem-sucedido do arquivo de metadados, os valores de Identificador e URL de resposta são preenchidos automaticamente na caixa de texto da seção Configuração básica de SAML, conforme mostrado:
    4. Na caixa de texto URL de Logon, insira uma URL com o seguinte padrão: https://[instância da sua empresa do SAP NetWeaver]

  18. O aplicativo SAP NetWeaver espera que as declarações SAML estejam em um formato específico. As declarações incluindo givenname, surname, emailaddress, name e o Identificador Exclusivo do Usuário. Você pode gerenciar seus valores na seção Atributos do Usuário na página de integração de aplicativos.

  19. Na página Configurar Logon Único com SAML, selecione o botão Editar para abrir a caixa de diálogo Atributos do Usuário.

  20. Na seção Declarações do Usuário, na caixa de diálogo Atributos do Usuário, configure o atributo de token SAML e execute as seguintes etapas:

    1. Clique no ícone Editar para abrir a caixa de diálogo Gerenciar declarações do usuário.
    2. Na lista Transformação, selecione ExtractMailPrefix() .
    3. Na lista Parâmetro 1, selecione user.userprinicipalname.
    4. Selecione Salvar.

  21. Na página Configurar Logon Único com SAML, na seção Certificado de Autenticação SAML, selecione Baixar para baixar o XML de Metadados de Federação usando as opções fornecidas de acordo com seus requisitos e salve-o no computador.

  22. Na seção Configurar o SAP NetWeaver, copie as URLs apropriadas de acordo com suas necessidades.

    • URL de logon
    • Identificador do Microsoft Entra
    • URL de logoff

Configurar o logon único do SAP NetWeaver

  1. Entre no sistema SAP e acesse o código de transação SAML2. Ele abre uma nova janela do navegador na tela de configuração do SAML.

  2. Para configurar os pontos de extremidade para o provedor de identidade confiável (Microsoft Entra ID), acesse a guia Provedores Confiáveis.

  3. Pressione Add e selecione Carregar arquivo de metadados no menu de contexto.

  4. Carregue o arquivo de metadados, que você baixou do portal do Azure.

  5. Na próxima tela, digite um nome de alias arbitrário. Certifique-se de que seu Algoritmo de código hash deve ser SHA-256 e não requer alterações e pressione Próxima.

  6. Em Pontos de Extremidade de Logon Único, use HTTP POST e selecione Avançar para continuar.

  7. Em Pontos de Extremidade de Logoff Único, selecione HTTPRedirect e Avançar para continuar.

  8. Nos pontos de extremidade de artefato, aperte Próxima para continuar.

  9. Em Requisitos de Autenticação, aceite as configurações padrão e selecione Concluir.

  10. Vá para guia Provedor Confiável e Federação de Identidade.

  11. Selecione Editar.

  12. Selecione Adicionar na guia Federação de Identidade.

  13. Na janela pop-up, selecione Não especificado nos formatos NameID com suporte e selecione OK. A Origem da ID do Usuário e do Modo de Mapeamento da ID do Usuário determinam o vínculo entre o usuário SAP e as declarações do Microsoft Entra ID.

  14. Há dois cenários possíveis:

    • Cenário: mapeamento do Usuário SAP para usuários do Microsoft Entra.
    • Cenário: Selecione a ID de usuário do SAP com base no endereço de email configurado no SU01. Nesse caso, a ID de email deve ser configurada no su01 para cada usuário que precisar do SSO.

  15. Selecione Salvar e depois Habilitar para habilitar o provedor de identidade.

Atribuir usuários do Microsoft Entra

No portal do Azure, selecione Aplicativos Empresariais, Todos os aplicativos e, em seguida, SAP NetWeaver. Na lista de aplicativos, selecione SAP NetWeaver.

Criar usuários do SAP NetWeaver

  1. Para permitir que os usuários do Microsoft Entra entrem no SAP NetWeaver, você deve provisioná-los no SAP NetWeaver. Trabalhe com sua equipe interna de especialistas do SAP ou com o parceiro SAP da sua organização para adicionar os usuários na plataforma SAP NetWeaver.
  2. Para verificar o resultado, depois que o Microsoft Entra ID do provedor de identidade foi ativado, acesse <https://sapurl/sap/bc/bsp/sap/it00/default.htm> (substitua sapurl pelo nome de host SAP real) para verificar o SSO. Não deve haver prompts para nome de usuário e senha.