Integre o Microsoft Entra ID com o SAP Cloud Platform Identity Authentication

  • 9 minutos

A integração do SAP Cloud Platform Identity Authentication com o Microsoft Entra ID oferece os seguintes benefícios:

  • Você pode controlar no Microsoft Entra ID quem tem acesso ao SAP Cloud Platform Identity Authentication.
  • Ele permite que seus usuários façam login automaticamente no SAP Cloud Platform Identity Authentication com suas contas Microsoft Entra.
  • Você pode gerenciar suas contas em um local central - o portal do Azure.

Para configurar a integração do SAP Cloud Platform Identity Authentication no Microsoft Entra ID, primeiro adicione o SAP Cloud Platform Identity Authentication da galeria de aplicativos do Microsoft Entra à sua lista de aplicativos SaaS gerenciados.

Configurar e testar o logon único baseado em ID do Microsoft Entra

Em seguida, você precisa configurar e testar o SSO baseado em ID do Microsoft Entra usando a seguinte sequência de etapas:

  1. Configure o logon único do Microsoft Entra - para permitir que seus usuários usem esse recurso.
  2. Configure o logon único do SAP Cloud Platform Identity Authentication - para configurar as configurações de logon único no lado do aplicativo.
  3. Atribua usuários do Microsoft Entra à autenticação de identidade do SAP Cloud Platform.

Configurar o logon único do Microsoft Entra

  1. No portal do Azure, na página de integração de aplicativos do SAP Cloud Platform Identity Authentication, selecione Logon único.

  2. Na página Selecionar um método de logon único, selecione o modo SAML/WS-Fed para habilitar o logon único.

  3. Na página Configurar Logon Único com SAML, selecione o ícone Editar para abrir a caixa de diálogo Configuração Básica de SAML.

  4. Na seção Configuração Básica do SAML:

    • Para configurar o modo iniciado pelo IDP, especifique o identificador de locatário do SAP Cloud Platform IAS (ID da entidade) e a URL de resposta correspondente (URL do Assertion Consumer Service).
    • Para configurar o aplicativo no modo iniciado pela controladora de armazenamento, selecione Definir URLs adicionais e forneça a URL de entrada.

Para obter esses valores, entre em contato com a equipe de suporte do SAP Cloud Platform Identity Authentication Client.

O aplicativo SAP Cloud Platform Identity Authentication espera as asserções SAML em um formato específico. Configure as declarações relevantes para este aplicativo, incluindo nome próprio, sobrenome, endereço de e-mail, nome e identificador de usuário exclusivo. Você pode gerenciar os valores desses atributos na seção Atributos do usuário na página de integração do aplicativo.

Configurar o logon único do SAP Cloud Platform Identity Authentication

Para configurar o SSO para seu aplicativo, navegue até o console de administração do SAP Cloud Platform Identity Authentication. Em Provedores de identidade, escolha o bloco Provedores de identidade corporativa. Escolha o botão Adicionar para criar um provedor de identidade corporativa do Microsoft Entra. Em SAML 2.0, escolha Configuração do SAML 2.0.

Carregue o arquivo XML de metadados do Microsoft Entra ou configure manualmente os seguintes campos:

  • Nome: O ID da entidade do provedor de identidade corporativa.
  • URL do ponto de extremidade de logon único: a URL do ponto de extremidade de logon único do provedor de identidade que recebe solicitações de autenticação. Para Vinculação, escolha aquele que corresponde a um ponto de extremidade de logon único respetivo.
  • URL do ponto de extremidade de logout único: a URL do ponto de extremidade de logout único do provedor de identidade que recebe mensagens de logout. Para Vinculação, escolha aquele que corresponde ao respetivo ponto de extremidade de logout único.
  • Certificado de assinatura: o certificado codificado em base64 usado pelo provedor de identidade para assinar digitalmente mensagens de protocolo SAML enviadas para a Autenticação de Identidade.

Atribuir usuários do Microsoft Entra

  1. No portal do Azure, selecione Aplicativos Corporativos, selecione Todos os aplicativos e selecione Autenticação de identidade do SAP Cloud Platform.

  2. Na lista de aplicativos, selecione SAP Cloud Platform Identity Authentication.

  3. No portal do Azure, selecione Usuários e grupos.

  4. Selecione o botão Adicionar usuário e, em seguida, selecione os usuários e grupos que você pretende atribuir ao aplicativo na caixa de diálogo Adicionar atribuição .

  5. Se você estiver esperando qualquer valor de função na asserção SAML, na caixa de diálogo Selecionar função , selecione a função apropriada para o usuário na lista e clique no botão Selecionar na parte inferior da tela. Na caixa de diálogo Adicionar atribuição, selecione o botão Atribuir .

    Nota

    Não é necessário criar um usuário no SAP Cloud Platform Identity Authentication. Os usuários que estão no repositório de usuários do Microsoft Entra podem usar a funcionalidade SSO. O SAP Cloud Platform Identity Authentication suporta a opção Federação de identidades. Essa opção permite que o aplicativo verifique se os usuários autenticados pelo provedor de identidade corporativa existem no repositório de usuários do SAP Cloud Platform Identity Authentication. A opção Federação de Identidades está desativada por padrão. Se a Federação de Identidades estiver ativada, somente os usuários importados no SAP Cloud Platform Identity Authentication poderão acessar o aplicativo.

  6. Para verificar o resultado, selecione o bloco SAP Cloud Platform Identity Authentication no Painel de acesso. Você deve estar automaticamente conectado ao SAP Cloud Platform Identity Authentication para o qual configurou o SSO.