Integre o Microsoft Entra ID ao SAP NetWeaver

  • 13 minutos

A integração do SAP NetWeaver com o Microsoft Entra ID oferece os seguintes benefícios:

  • Você pode controlar no Microsoft Entra ID quem tem acesso ao SAP NetWeaver.
  • Você pode permitir que seus usuários façam login automaticamente no SAP NetWeaver (logon único) com suas contas do Microsoft Entra.
  • Você pode gerenciar suas contas em um local central - o portal do Azure.

Para configurar a integração do Microsoft Entra com o SAP NetWeaver, você precisa dos seguintes itens:

  • Uma subscrição do Microsoft Entra
  • Assinatura habilitada para logon único do SAP NetWeaver
  • SAP NetWeaver V7.20 necessário pelo menos

O SAP NetWeaver suporta SSO iniciado por SP.

Para configurar a integração do SAP NetWeaver no Microsoft Entra ID, primeiro adicione o SAP NetWeaver da galeria à sua lista de aplicativos SaaS gerenciados.

Configurar e testar o logon único do Microsoft Entra

Para configurar o logon único do Microsoft Entra com o SAP NetWeaver, você precisa usar as seguintes etapas:

  1. Configure o logon único do Microsoft Entra - para permitir que os usuários usem esse recurso.
  2. Configure o logon único do SAP NetWeaver - para configurar as configurações de logon único no lado do aplicativo.
  3. Atribua o usuário de teste do Microsoft Entra ID ao aplicativo Microsoft Entra.
  4. Crie usuários do SAP NetWeaver vinculados às suas contas de usuário do Microsoft Entra.

Configurar o logon único do Microsoft Entra

Para configurar o logon único do Microsoft Entra com o SAP NetWeaver, execute as seguintes etapas:

  1. Abra uma nova janela do navegador da Web e faça login no site da empresa SAP NetWeaver como administrador.

  2. Certifique-se de que os serviços http e https estão ativos e que as portas apropriadas estão atribuídas no SMICM T-Code.

  3. inicie sessão no cliente empresarial do SAP System (T01), onde o SSO é necessário, e ative a Gestão de Sessões de Segurança HTTP.

  4. Vá para Código de transação SICF_SESSIONS. Analise todos os parâmetros do perfil. Ajuste de acordo com os requisitos da sua organização e, em seguida, reinicie o sistema SAP.

  5. Clique duas vezes no cliente relevante para ativar uma sessão de segurança HTTP.

  6. Ative os seguintes serviços SICF:

    • /sap/public/bc/seg/saml2
    • /sap/public/bc/seg/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (Isto é apenas para ativar / desativar o rastreamento)

  7. Vá para o código de transação SAML2 no cliente de negócios do sistema SAP [T01/122]. Ele abre uma interface de usuário em um navegador.

  8. Forneça seu nome de usuário e senha para entrar na interface do usuário e selecione Editar.

  9. Altere o nome do provedor de T01122 para <http://T01122> e selecione Salvar.

  10. Por padrão, o nome do provedor é formatado como formato [sid][client], mas o Microsoft Entra ID espera o nome no formato protocol://[sid][client]. Recomendamos que você mantenha o nome do provedor como https://[sid][client] para permitir que vários mecanismos SAP NetWeaver ABAP sejam configurados no Microsoft Entra ID.

  11. Gerar metadados do provedor de serviços: depois de concluir a configuração das configurações do provedor local e dos provedores confiáveis na interface do usuário SAML 2.0, a próxima etapa envolve a geração do arquivo de metadados do provedor de serviços (que conteria todas as configurações, contextos de autenticação e outras configurações no SAP).

  12. Na guia Provedor Local, selecione Metadados.

  13. Salve o arquivo XML de Metadados gerado em seu computador e carregue-o na seção Configuração Básica de SAML para preencher automaticamente os valores de URL de Identificador e Resposta no portal do Azure.

  14. No portal do Azure, na página de integração de aplicativos SAP NetWeaver, selecione Logon único.

  15. Na caixa de diálogo Selecionar um método de logon único, selecione o modo SAML/WS-Fed para habilitar o logon único.

  16. Na página Configurar Logon Único com SAML, selecione o ícone Editar para abrir a caixa de diálogo Configuração Básica de SAML.

  17. Na seção Configuração Básica do SAML, execute as seguintes etapas:

    1. Selecione Carregar arquivo de metadados para carregar o arquivo de metadados do provedor de serviços, obtido anteriormente.
    2. Selecione no logotipo da pasta para selecionar o arquivo de metadados e, em seguida, selecione Carregar.
    3. Depois que o arquivo de metadados é carregado com êxito, os valores de URL de Identificador e Resposta são preenchidos automaticamente na caixa de texto da seção Configuração Básica de SAML, conforme mostrado:
    4. Na caixa de texto URL de início de sessão, escreva um URL utilizando o seguinte padrão: https://[instância da sua empresa do SAP NetWeaver]

  18. O aplicativo SAP NetWeaver espera as asserções SAML em um formato específico. As reivindicações, incluindo nome próprio, sobrenome, endereço de e-mail, nome e identificador de usuário exclusivo. Você pode gerenciar seus valores na seção Atributos do usuário na página de integração de aplicativos.

  19. Na página Configurar Logon Único com SAML, selecione o botão Editar para abrir a caixa de diálogo Atributos do Usuário.

  20. Na seção Declarações do Usuário na caixa de diálogo Atributos do Usuário, configure o atributo de token SAML e execute as seguintes etapas:

    1. Selecione o ícone Editar para abrir a caixa de diálogo Gerenciar declarações do usuário.
    2. Na lista Transformação , selecione ExtractMailPrefix().
    3. Na lista Parâmetro 1 , selecione user.userprinicipalname.
    4. Selecione Guardar.

  21. Na página Configurar Logon Único com SAML, na seção Certificado de Assinatura SAML, selecione Download para baixar o XML de Metadados de Federação das opções fornecidas de acordo com sua exigência e salve-o em seu computador.

  22. Na seção Configurar o SAP NetWeaver , copie o(s) URL(s) apropriado(s) de acordo com sua necessidade.

    • Iniciar Sessão no URL
    • Identificador Microsoft Entra
    • URL de fim de sessão

Configurar o logon único do SAP NetWeaver

  1. Entre no sistema SAP e vá para o código de transação SAML2. Ele abre uma nova janela do navegador para a tela de configuração SAML.

  2. Para configurar pontos de extremidade para provedor de identidade confiável (ID do Microsoft Entra), vá para a guia Provedores confiáveis .

  3. Pressione Adicionar e selecione Carregar arquivo de metadados no menu de contexto.

  4. Carregue o arquivo de metadados, que você baixou do portal do Azure.

  5. Na tela seguinte, digite um nome de alias arbitrário. Certifique-se de que seu algoritmo Digest deve ser SHA-256 e não requer nenhuma alteração e pressione Next.

  6. Em Pontos de Extremidade de Logon Único, use HTTP POST e selecione Avançar para continuar.

  7. Em Pontos de extremidade de logout único, selecione HTTPRedirect e selecione Avançar para continuar.

  8. Em Pontos de extremidade de artefato, pressione Avançar para continuar.

  9. Em Requisitos de autenticação, aceite as configurações padrão e selecione Concluir.

  10. Vá para a guia Provedor Confiável e, em seguida , Federação de Identidades.

  11. Selecione Editar.

  12. Selecione Adicionar na guia Federação de Identidades.

  13. Na janela pop-up, selecione Não especificado nos formatos NameID suportados e selecione OK. Os valores do modo de mapeamento de ID de usuário e de origem de ID de usuário determinam o vínculo entre o usuário SAP e a declaração do Microsoft Entra.

  14. Existem dois cenários possíveis:

    • Cenário: Mapeamento de usuário SAP para Microsoft Entra.
    • Cenário: Selecione o ID de usuário SAP com base no endereço de e-mail configurado no SU01. Neste caso, o ID de e-mail deve ser configurado em su01 para cada usuário que requer SSO.

  15. Selecione Salvar e, em seguida, selecione Habilitar para habilitar o provedor de identidade.

Atribuir usuários do Microsoft Entra

No portal do Azure, selecione Aplicativos Corporativos, selecione Todos os aplicativos e selecione SAP NetWeaver. Na lista de aplicativos, selecione SAP NetWeaver.

Criar usuários do SAP NetWeaver

  1. Para permitir que os usuários do Microsoft Entra entrem no SAP NetWeaver, você deve provisioná-los no SAP NetWeaver. Trabalhe com sua equipe interna de especialistas SAP ou com seu parceiro SAP da organização para adicionar os usuários na plataforma SAP NetWeaver.
  2. Para verificar o resultado, depois que o provedor de identidade Microsoft Entra ID foi ativado, acesse <https://sapurl/sap/bc/bsp/sap/it00/default.htm> (substitua sapurl pelo nome de host SAP real) para verificar o SSO. Não deve haver solicitação de nome de usuário e senha.