Tutorial: Integração do Microsoft Entra SSO com o SAP Business Technology Platform

Neste tutorial, você aprenderá como integrar o SAP Business Technology Platform ao Microsoft Entra ID. Ao integrar o SAP Business Technology Platform com o Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso ao SAP Business Technology Platform.
• Permita que seus usuários façam login automaticamente no SAP Business Technology Platform com suas contas Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

• Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
• Assinatura habilitada para logon único (SSO) do SAP Business Technology Platform.

Importante

Você precisa implantar seu próprio aplicativo ou assinar um aplicativo em sua conta do SAP Business Technology Platform para testar o logon único. Neste tutorial, um aplicativo é implantado na conta.

Descrição do cenário

Neste tutorial, você configura e testa o logon único do Microsoft Entra em um ambiente de teste.

• O SAP Business Technology Platform suporta SP SSO iniciado.

Adicionar SAP Business Technology Platform da galeria

Para configurar a integração do SAP Business Technology Platform no Microsoft Entra ID, você precisa adicionar o SAP Business Technology Platform da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de Aplicações na Nuvem .
2. Navegue até Identity>Applications>Enterprise applications>New application.
3. Na secção Adicionar da galeria, digite SAP Business Technology Platform na caixa de pesquisa.
4. Selecione SAP Business Technology Platform no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração do Enterprise App. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO for SAP Business Technology Platform

Configure e teste o Microsoft Entra SSO com SAP Business Technology Platform usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no SAP Business Technology Platform.

Para configurar e testar o Microsoft Entra SSO com o SAP Business Technology Platform, execute as seguintes etapas:

1. Configurar o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
   1. Criar um utilizador de teste do Microsoft Entra - para testar o início de sessão único do Microsoft Entra com Britta Simon.
   2. Atribua o usuário de teste do Microsoft Entra - para permitir que Britta Simon use o início de sessão único do Microsoft Entra.
2. Configurar o SAP Business Technology Platform SSO - para configurar as configurações de Sign-On único no lado do aplicativo.
   1. Criar um utilizador de teste da SAP Business Technology Platform - para ter uma contraparte de Britta Simon na SAP Business Technology Platform que esteja ligada à representação do utilizador no Microsoft Entra.
3. Teste SSO - para verificar se a configuração funciona.

Configurar Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicações na Nuvem.

2. Navegue até Identity>Aplicações>Aplicações empresariais>SAP Business Technology Platform>Início de sessão único.

3. Na página Selecione um método de início de sessão único, selecione SAML.

4. Na página Configurar autenticação única com SAML, clique no ícone de lápis para Configuração Básica SAML para editar as definições.

   

5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

   a. Na caixa de texto Identificador, você fornecerá um URL para a sua plataforma SAP Business Technology utilizando um dos seguintes padrões:

   Identificador
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. Na caixa de texto URL de resposta, digite uma URL usando um dos seguintes padrões:

   URL de resposta
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. Na caixa de texto URL de Logon, digite a URL usada pelos seus utilizadores para iniciar sessão na sua aplicação SAP Business Technology Platform. Este é o URL específico da conta de um recurso protegido em seu aplicativo SAP Business Technology Platform. O URL baseia-se no seguinte padrão: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Observação

   Este é o URL em seu aplicativo SAP Business Technology Platform que requer a autenticação do usuário.

   URL de início de sessão
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Observação

   Estes valores não são reais. Atualize esses valores com o identificador real, URL de resposta e URL de logon. Entre em contato com a equipe de suporte ao cliente do SAP Business Technology Platform para obter o URL e Identificador Sign-On. URL de resposta que você pode obter na seção de gerenciamento de confiança, que é explicada mais adiante no tutorial.

6. Na página Configurar Sign-On Único com SAML, na seção de Certificado de Assinatura SAML, clique em Download para baixar o XML de Metadados de Federação das opções fornecidas de acordo com sua necessidade e salvá-lo em seu computador.

   

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Utilizadores.
2. Navegue até Identidade>Utilizadores>Todos os utilizadores.
3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
4. Nas propriedades User, siga estes passos:
   1. No campo Nome para exibição, digite B.Simon.
   2. No campo Nome principal do usuário, digite o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
   3. Selecione a caixa de verificação Mostrar palavra-passe e, em seguida, escreva o valor exibido na caixa da Palavra-passe.
   4. Selecione Revisar + criar.
5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Simon use o logon único concedendo acesso ao SAP Business Technology Platform.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicações na Nuvem .
2. Navegue até Identity>Applications>Enterprise applications>SAP Business Technology Platform.
3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
4. Selecione Adicionar utilizador/grupoe, em seguida, selecione Utilizadores e grupos na caixa de diálogo Adicionar Atribuição.
   1. Na caixa de diálogo de Usuários e grupos, selecione B.Simon na lista de Usuários e clique no botão Selecionar na parte inferior da tela.
   2. Se aguarda que um papel seja atribuído aos utilizadores, pode selecioná-lo no menu de seleção Selecionar um papel. Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
   3. Na caixa de diálogo Adicionar Atribuição, clique no botão Atribuir.

Configurar o SSO do SAP Business Technology Platform

1. Em uma janela diferente do navegador da Web, faça logon no SAP Business Technology Platform Cockpit em https://account.<landscape host>.ondemand.com/cockpit(por exemplo: https://account.hanatrial.ondemand.com/cockpit).

2. Clique na guia Confiança.

   

3. Na seção Gerenciamento de Confiança, em Provedor de Serviços Local, execute as seguintes etapas:

   pt-PT:

   um. Clique Editar.

   b. Como Tipo de configuração, selecione Custom.

   c. Como Nome do Provedor Local, deixe o valor padrão. Copie esse valor e cole-o no campo Identificador na configuração do Microsoft Entra para a SAP Business Technology Platform.

   d. Para gerar um de Chave de Assinatura e um Certificado de Assinatura de par de chaves, clique em Gerar Par de Chaves.

   e. Como Propagação Principal, selecione Desativado.

   f. Como Force Authentication, selecione Disabled.

   g. Clique em Guardar.

4. Depois de salvar as configurações do Provedor de Serviços Local , execute o seguinte procedimento para obter a URL de resposta:

   

   a. Faça download do arquivo de metadados do SAP Business Technology Platform clicando em Obter metadados.

   b. Abra o arquivo XML de metadados do SAP Business Technology Platform baixado e localize a tag ns3:AssertionConsumerService.

   c. Copie o valor do atributo Location e cole-o no campo URL de resposta na configuração do Microsoft Entra para SAP Business Technology Platform.

5. Clique na guia Provedor de Identidade Confiável e, em seguida, clique em Adicionar Provedor de Identidade Confiável.

   

   Observação

   Para gerenciar a lista de provedores de identidade confiáveis, você precisa ter escolhido o tipo de configuração Personalizada na seção Provedor de Serviços Local. Para o tipo de configuração Default, você tem uma confiança implícita e não editável para o SAP ID Service. Para Nenhum, você não tem nenhuma configuração de confiança.

6. Clique no separador Geral e, em seguida, clique em Procurar para carregar o ficheiro de metadados descarregado.

   

   Observação

   Depois de carregar o ficheiro de metadados, os valores de URL de Logon Único, URL de Logout Únicoe Certificado de Assinatura são preenchidos automaticamente.

7. Clique na aba Atributos.

8. Na guia Atributos, execute a seguinte etapa:

   

   uma. Clique em Adicionar Assertion-Based Atributoe em seguida adicione os seguintes atributos baseados em afirmações:

   Atributo de asserção	Atributo principal
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	Nome próprio
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	Apelido
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	Correio eletrónico

   Observação

   A configuração dos Atributos depende de como o(s) aplicativo(s) no SCP são desenvolvidos, ou seja, quais atributos eles esperam na resposta SAML e sob qual nome (Atributo Principal) eles acessam esse atributo no código.

   b. O Atributo Padrão na captura de tela é apenas para fins de ilustração. Não é necessário fazer o cenário funcionar.

   c. Os nomes e valores para Atributo Principal mostrados na captura de tela dependem de como o aplicativo é desenvolvido. É possível que seu aplicativo exija mapeamentos diferentes.

Grupos baseados em asserções

Como etapa opcional, você pode configurar grupos baseados em asserção para seu provedor de identidade do Microsoft Entra.

O uso de grupos no SAP Business Technology Platform permite atribuir dinamicamente um ou mais usuários a uma ou mais funções em seus aplicativos SAP Business Technology Platform, determinados por valores de atributos na afirmação SAML 2.0.

Por exemplo, se a asserção contiver o atributo "contract=temporary", você pode desejar que todos os usuários afetados sejam adicionados ao grupo "TEMPORARY". O grupo "TEMPORARY" pode conter uma ou mais funções de um ou mais aplicativos implantados em sua conta do SAP Business Technology Platform.

Use grupos baseados em asserção quando quiser atribuir simultaneamente muitos usuários a uma ou mais funções de aplicativos em sua conta do SAP Business Technology Platform. Se você quiser atribuir apenas um ou um pequeno número de usuários a funções específicas, recomendamos atribuí-los diretamente na guia "Authorizations" do cockpit do SAP Business Technology Platform.

Criar usuário de teste do SAP Business Technology Platform

Para permitir que os usuários do Microsoft Entra façam login no SAP Business Technology Platform, você deve atribuir funções na SAP Business Technology Platform a eles.

Para atribuir uma função a um usuário, execute as seguintes etapas:

1. Faça login no seu cockpit SAP Business Technology Platform.

2. Execute o seguinte:

   

   um. Clique em Autorização.

   b. Clique no separador Utilizadores.

   c. Na caixa de texto User, digite o endereço de e-mail do usuário.

   d. Clique em Atribuir para atribuir o usuário a uma função.

   e. Clique Guarde.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Clique em testar esta aplicação, isso redirecionará para o URL de login do SAP Business Technology Platform onde você pode iniciar o fluxo de login.

• Vá diretamente para o URL de logon do SAP Business Technology Platform e inicie o fluxo de login a partir daí.

• Você pode usar o Microsoft My Apps. Ao clicar no bloco SAP Business Technology Platform em Meus aplicativos, você deve estar automaticamente conectado à SAP Business Technology Platform para a qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aoMeus Aplicativos .

Próximos passos

• Depois de configurar o SAP Business Technology Platform, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.
• Gerencie o acesso aos aplicativos SAP BTP por meio de grupos