Поделиться через

Руководство по интеграции единого входа Microsoft Entra с SAP Business Technology Platform

  • Статья

В этом руководстве описано, как интегрировать SAP Business Technology Platform с идентификатором Microsoft Entra ID. Интеграция SAP Business Technology Platform с идентификатором Microsoft Entra позволяет:

  • Контроль доступа к SAP Business Technology Platform с помощью идентификатора Microsoft Entra ID.
  • Включите автоматический вход пользователей в SAP Business Technology Platform с помощью учетных записей Microsoft Entra.
  • Управление учетными записями в одном центральном расположении.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Подписка SAP Business Technology Platform с поддержкой единого входа.

Важно!

Чтобы проверить единый вход, необходимо развернуть собственное приложение или подписаться на приложение в учетной записи SAP Business Technology Platform. В этом учебнике используется развертывание приложения в учетной записи.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • SAP Business Technology Platform поддерживает единый вход, инициированный поставщиком службы.

Чтобы настроить интеграцию SAP Business Technology Platform с идентификатором Microsoft Entra ID, необходимо добавить SAP Business Technology Platform из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе "Добавление из коллекции" в поле поиска введите SAP Business Technology Platform.
  4. Выберите SAP Business Technology Platform на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для SAP Business Technology Platform

Настройте и проверьте единый вход Microsoft Entra в SAP Business Technology Platform с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в SAP Business Technology Platform.

Чтобы настроить и проверить единый вход Microsoft Entra в SAP Business Technology Platform, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью Britta Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить пользователю Britta Simon использовать единый вход Microsoft Entra.
  2. Настройте единый вход платформы SAP Business Technology Platform, чтобы настроить параметры единого входа на стороне приложения.
    1. Создание тестового пользователя SAP Business Technology Platform требуется для того, чтобы в SAP Business Technology Platform был создан пользователь Britta Simon, связанный с представлением пользователя Microsoft Entra.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите к приложениям>Identity>Applications>Enterprise SAP Business Technology Platform>с единым входом.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Edit Basic SAML Configuration

  5. На странице Базовая конфигурация SAML введите значения следующих полей.

    a. В текстовом поле идентификатора вы укажите URL-адрес платформы SAP Business Technology Platform, используя один из следующих шаблонов:

    Идентификатор
    https://hanatrial.ondemand.com/<instancename>
    https://hana.ondemand.com/<instancename>
    https://us1.hana.ondemand.com/<instancename>
    https://ap1.hana.ondemand.com/<instancename>

    b. В текстовое поле URL-адрес ответа введите URL-адрес в любом из следующих форматов:

    URL-адрес ответа
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>
    https://<subdomain>.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

    c. В текстовом поле URL-адреса входа введите URL-адрес , используемый пользователями для входа в приложение SAP Business Technology Platform . Это URL-адрес защищенного ресурса в приложении SAP Business Technology Platform. URL-адрес имеет следующий формат: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>.

    Примечание.

    Это URL-адрес приложения SAP Business Technology Platform, который требует проверки подлинности пользователя.

    URL-адрес для входа
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>

    Примечание.

    Эти значения приведены для примера. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Чтобы получить URL-адрес и идентификатор входа, обратитесь в службу поддержки клиентов SAP Business Technology Platform. URL-адрес ответа можно получить в разделе управления доверием, который рассматривается далее в этом руководстве.

  6. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML щелкните Скачать, чтобы скачать нужный вам XML-файл метаданных федерации, и сохраните его на компьютере.

    The Certificate download link

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
  2. Перейдите ко всем пользователям удостоверений>>.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Review + create (Просмотреть и создать).
  5. Выберите Создать.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к SAP Business Technology Platform.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите на платформу SAP Business Technology Platform для приложений>>identity>Enterprise.
  3. На странице обзора приложения выберите "Пользователи" и "Группы".
  4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
    1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
    2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
    3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа платформы SAP Business Technology Platform

  1. В другом окне веб-браузера войдите в приложение SAP Business Technology Platform Cockpit ( https://account.<landscape host>.ondemand.com/cockpitнапример: https://account.hanatrial.ondemand.com/cockpit).

  2. Щелкните вкладку Доверие .

    Trust

  3. В разделе управления доверием на вкладке Local Service Provider (Поставщик локальных служб) выполните следующие действия:

    Screenshot that shows the

    a. Выберите Изменить.

    b. Для параметра Configuration Type (Тип конфигурации) выберите значение Custom (Настраиваемая).

    c. В поле Имя поставщика локальных службоставьте значение по умолчанию. Скопируйте это значение и вставьте его в поле идентификатора в конфигурации Microsoft Entra для платформы SAP Business Technology Platform.

    d. Чтобы создать пару ключей Signing Key (Ключ подписывания) и Signing Certificate (Сертификат подписывания), щелкните Generate Key Pair (Создать пару ключей).

    д) Для параметра Principal Propagation (Распространение субъектов) выберите значение Disabled (Отключено).

    е) Для параметра Force Authentication (Принудительная аутентификация) выберите значение Disabled (Отключено).

    ж. Щелкните Сохранить.

  4. После сохранения параметров на вкладке Local Service Provider (Поставщик локальных служб) выполните следующие действия, чтобы получить URL-адрес ответа:

    Get Metadata

    a. Скачайте файл метаданных платформы SAP Business Technology Platform, нажав кнопку "Получить метаданные".

    b. Откройте скачанный XML-файл метаданных платформы SAP Business Technology Platform и найдите тег ns3:AssertConsumerService .

    c. Скопируйте значение атрибута Location и вставьте его в поле URL-адреса ответа в конфигурации Microsoft Entra для платформы SAP Business Technology Platform.

  5. Откройте вкладку Trusted Identity Provider (Доверенный поставщик удостоверений) и щелкните Add Trusted Identity Provider (Добавить доверенный поставщик удостоверений).

    Screenshot that shows the

    Примечание.

    Для управления списком доверенных поставщиков удостоверений необходимо выбрать тип конфигурации «Настраиваемая» в разделе «Поставщик локальных служб». В качестве типа конфигурации по умолчанию используется неизменяемое неявное доверие к службе SAP ID Service. Для значения «Нет» параметры доверия отсутствуют.

  6. Откройте вкладку General (Общие) и нажмите кнопку Browse (Обзор), чтобы передать скачанный файл метаданных.

    Trust Management

    Примечание.

    После передачи файла метаданных поля Single Sign-on URL (URL-адрес единого входа), Single Logout URL (URL-адрес единого выхода) и Signing Certificate (Сертификат для подписи) заполняются автоматически.

  7. Перейдите на вкладку Атрибуты .

  8. На вкладке Атрибуты сделайте следующее:

    Attributes

    a. Щелкните Add Assertion-Based Attribute (Добавить атрибут на основе утверждений) и добавьте следующие атрибуты на основе утверждений:

    Атрибут утверждения Атрибут субъекта
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname firstname
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname lastname
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress эл. почта

    Примечание.

    Конфигурация атрибутов зависит от способа разработки приложений в SCP, т. е. какие атрибуты предполагается использовать в ответе SAML и какое имя (атрибут субъекта) используется для доступа к этому атрибуту в коде.

    b. Атрибут по умолчанию на снимке экрана предоставляется только для примера. Он не требуется для того, чтобы сценарий работал.

    c. Имена и значения для атрибута субъекта , показанные на снимке экрана, зависят от способа разработки приложения. Возможно, приложению требуются другие сопоставления.

Группы на основе утверждений

В качестве дополнительного шага можно настроить группы на основе утверждений для поставщика удостоверений Microsoft Entra.

Использование групп на платформе SAP Business Technology Platform позволяет динамически назначать одного или нескольких пользователей одной или нескольким ролям в приложениях платформы SAP Business Technology Platform, определяемыми значениями атрибутов в утверждении SAML 2.0.

Например, если утверждение содержит атрибут contract=temporary, возможно, вам потребуется добавить всех затронутых пользователей в группу TEMPORARY. Группа "ВРЕМЕННЫЙ" может содержать одну или несколько ролей из одного или нескольких приложений, развернутых в учетной записи платформы SAP Business Technology Platform.

Используйте группы на основе утверждений, если вы хотите одновременно назначить многих пользователей одной или нескольким ролям приложений в учетной записи ПЛАТФОРМы SAP Business Technology Platform. Если вы хотите назначить только одно или небольшое количество пользователей определенным ролям, рекомендуется назначить их непосредственно на вкладке "Авторизация" на панели управления платформой SAP Business Technology Platform.

Создание тестового пользователя SAP Business Technology Platform

Чтобы пользователи Microsoft Entra могли войти в SAP Business Technology Platform, необходимо назначить им роли в платформе SAP Business Technology Platform.

Чтобы назначить роль пользователю, сделайте следующее:

  1. Войдите в кабину платформы SAP Business Technology Platform .

  2. Выполните следующие действия.

    Authorizations

    a. Щелкните Авторизация.

    b. Откройте вкладку Пользователи .

    c. В тестовом поле Пользователь введите электронный адрес пользователя.

    d. Щелкните Назначить , чтобы назначить роль пользователю.

    д) Щелкните Сохранить.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

  • Щелкните "Тестировать это приложение", вы будете перенаправлены по URL-адресу для входа в SAP Business Technology Platform, где можно инициировать поток входа.

  • Перейдите по URL-адресу для входа в ПЛАТФОРМу SAP Business Technology Platform и инициируйте поток входа.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку SAP Business Technology Platform в Мои приложения, вы автоматически войдете в приложение SAP Business Technology Platform, для которого настроили единый вход. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Следующие шаги

После настройки SAP Business Technology Platform вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.