Интеграция Microsoft Entra SSO с платформой SAP Business Technology

В этой статье вы узнаете, как интегрировать SAP Business Technology Platform с идентификатором Microsoft Entra ID. Интеграция SAP Business Technology Platform с идентификатором Microsoft Entra позволяет:

• Определение, кто имеет доступ к платформе SAP Business Technology Platform, с помощью Microsoft Entra ID.
• Включите автоматический вход пользователей в SAP Business Technology Platform с помощью учетных записей Microsoft Entra.
• Управляйте учетными записями в одном месте.

Необходимые условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • администратор облачных приложений
  • Владелец приложения.

• Подписка SAP Business Technology Platform с функцией единого входа.

Важный

Чтобы проверить единый вход, необходимо развернуть собственное приложение или подписаться на приложение в учетной записи SAP Business Technology Platform. В этой статье приложение развертывается в учетной записи.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• SAP Business Technology Platform поддерживает SSO, инициированный .

Добавьте SAP Business Technology Platform из галереи

Чтобы настроить интеграцию SAP Business Technology Platform с идентификатором Microsoft Entra ID, необходимо добавить SAP Business Technology Platform из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.
2. Перейдите к Identity и Enterprise приложениям>>>Новое приложение.
3. В разделе Добавление из коллекции в поле поиска введите SAP Business Technology Platform.
4. Выберите платформу SAP Business Technology Platform на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в клиент.

Кроме того, можно использовать мастер настройки корпоративных приложений . В этом мастере вы можете добавить приложение в клиентскую среду, добавить пользователей и группы в приложение, назначить роли, а также подробно рассмотреть настройку единого входа в систему. Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для SAP Business Technology Platform

Настройте и проверьте конфигурацию единого входа Microsoft Entra в SAP Business Technology Platform, используя тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Платформе бизнес-технологий SAP.

Чтобы настроить и проверить единый вход Microsoft Entra в SAP Business Technology Platform, выполните следующие действия.

1. Настроить Microsoft Entra SSO, чтобы пользователи могли использовать эту функцию.
   1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью Britta Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить пользователю Britta Simon использовать единый вход Microsoft Entra.
2. Настроить единую аутентификацию (SSO) на платформе SAP Business Technology Platform для настройки параметров Single Sign-On на стороне приложения.
   1. Создайте тестового пользователя SAP Business Technology Platform, чтобы иметь эквивалент пользователя Britta Simon в SAP Business Technology Platform, связанного с учетной записью Microsoft Entra.
3. Тестирование SSO - для проверки, работает ли конфигурация.

Настроить SSO Microsoft Entra

Выполните следующие действия, чтобы настроить SSO для Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора облачных приложений, по крайней мере.

2. Перейдите к приложениям Identity>>Корпоративные приложения>SAP Business Technology Platform>единый вход.

3. На странице выбора метода единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

   

5. В разделе Базовая конфигурация SAML введите значения для следующих полей:

   a. В текстовом поле идентификатора укажите URL-адрес для вашей платформы SAP Business Technology Platform, используя один из следующих шаблонов:

   Идентификатор
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. В текстовом поле URL-адрес ответа введите адрес, используя один из следующих шаблонов:

   URL-адрес ответа
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   с. В текстовом поле URL-адрес входа введите URL-адрес, используемый пользователями для входа в приложение SAP Business Technology Platform. Это URL-адрес ресурса, защищенного для конкретной учетной записи, в приложении SAP Business Technology Platform. URL-адрес основан на следующем шаблоне: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Заметка

   Это URL-адрес приложения SAP Business Technology Platform, который требует проверки подлинности пользователя.

   URL-адрес входа
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Заметка

   Эти значения не являются реальными. Обновите эти значения фактическим идентификатором, URL-адресом ответа и URL-адресом входа. Чтобы получить URL-адрес и идентификатор Sign-On, обратитесь в службу поддержки клиентов SAP Business Technology Platform. URL-адрес ответа вы можете получить из раздела управления доверием, который описан далее в статье.

6. На странице Настройка единого Sign-On с помощью SAML в разделе SAML Сертификата подписи щелкните Скачать, чтобы загрузить XML-метаданные федерации из доступных параметров в соответствии с вашими требованиями и сохраните файл на компьютере.

   

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в центр администрирования Microsoft Entra по крайней мере с правами администратора пользователей.
2. Перейдите к Identity>Users>Все пользователи.
3. Выберите Новый пользователь>Создать нового пользователяв верхней части экрана.
4. В свойствах user выполните следующие действия.
   1. В поле Отображаемое имя введите B.Simon.
   2. В поле имя пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль, а затем запишите значение, отображаемое в поле Password.
   4. Выберите Проверка и создание.
5. Выберите Создать.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к SAP Business Technology Platform.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора облачных приложений или выше.
2. Перейдите к Идентификация>Приложения>Корпоративные приложения>Платформа бизнес-технологий SAP.
3. На странице обзора приложения выберите Пользователи и группы.
4. Выберите пользователей или групп, затем выберите Пользователи и группы в диалоговом окне Добавление назначения.
   1. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
   2. Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке Выбрать роль. Если для этого приложения не была настроена никакая роль, вы увидите, что выбрана роль "Доступ по умолчанию".
   3. В диалоговом окне Добавление задания нажмите кнопку Назначить.

Настройка единого входа для SAP Business Technology Platform

1. В другом окне веб-браузера войдите в SAP Business Technology Platform Cockpit на https://account.<landscape host>.ondemand.com/cockpit(например: https://account.hanatrial.ondemand.com/cockpit).

2. Перейдите на вкладку доверия.

   

3. В разделе "Управление доверием", под Локальный поставщик услуг, выполните следующие действия:

   

   a. Щелкните Изменить.

   b. Как тип конфигурации, выберите Пользовательский.

   c. В поле Имя локального поставщикаоставьте значение по умолчанию. Скопируйте это значение и вставьте его в поле Идентификатор в конфигурации Microsoft Entra для платформы SAP Business Technology Platform.

   д. Чтобы создать ключа подписи и пару ключей подписывания сертификата, щелкните Создать пару ключей.

   e. Как основную передачу полномочийвыберите Отключено.

   f. В качестве принудительной аутентификации выберите Отключено.

   g. Нажмите кнопку Сохранить.

4. После сохранения параметров локального поставщика услуг выполните следующие действия, чтобы получить URL-адрес ответа:

   

   a. Скачайте метаданные платформы SAP Business Technology Platform, щелкнув Получить метаданные.

   b. Откройте скачанный XML-файл метаданных платформы SAP Business Technology Platform и найдите тег ns3:AssertConsumerService.

   c. Скопируйте значение атрибута Location, а затем вставьте его в поле URL-адрес ответа в конфигурации Microsoft Entra для платформы SAP Business Technology Platform.

5. Щелкните вкладку Доверенный поставщик удостоверений, а затем нажмите Добавить доверенный поставщик удостоверений.

   

   Заметка

   Чтобы управлять списком доверенных поставщиков удостоверений, необходимо выбрать тип настраиваемой конфигурации в разделе "Локальный поставщик услуг". Для типа конфигурации по умолчанию у вас есть неизменяемое и неявное доверие к службе идентификаторов SAP. Для None у вас нет параметров доверия.

6. Перейдите на вкладку "Общие", а затем щелкните "Обзор", чтобы загрузить скачанный файл метаданных.

   

   Заметка

   После загрузки файла метаданных значения для URL-адреса единого входа, URL-адреса единого выходаи сертификата подписи заполняются автоматически.

7. Щелкните вкладку Атрибуты.

8. На вкладке атрибутов выполните следующий шаг:

   

   a. Щелкните Add Assertion-Based Attribute, а затем добавьте следующие атрибуты на основе утверждений:

   Атрибут утверждения	Основной атрибут
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	имя
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	фамилия
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	электронная почта

   Заметка

   Конфигурация атрибутов зависит от того, как разрабатываются приложения на SCP, то есть атрибуты, которые они ожидают в ответе SAML и под каким именем (основной атрибут) они получают доступ к этому атрибуту в коде.

   б. Атрибут по умолчанию на снимке экрана показан только в качестве примера. Для выполнения сценария это не требуется.

   c. Имена и значения для основного атрибута, показанные на снимке экрана, зависят от того, как разрабатывается приложение. Возможно, для вашего приложения требуются различные сопоставления.

Группы, сформированные на основе утверждений

В качестве дополнительного шага можно настроить группы на основе утверждений для поставщика удостоверений Microsoft Entra.

Использование групп на платформе SAP Business Technology Platform позволяет динамически назначать одного или нескольких пользователей одной или нескольким ролям в приложениях платформы SAP Business Technology Platform, определяемыми значениями атрибутов в утверждении SAML 2.0.

Например, если утверждение содержит атрибут "contract=временный", может потребоваться добавить всех затронутых пользователей в группу "ВРЕМЕННЫЙ". Группа "ВРЕМЕННЫЙ" может содержать одну или несколько ролей из одного или нескольких приложений, развернутых в учетной записи платформы SAP Business Technology Platform.

Используйте группы на основе утверждений, если вы хотите одновременно назначить многих пользователей одной или нескольким ролям приложений в учетной записи ПЛАТФОРМы SAP Business Technology Platform. Если вы хотите назначить только одного или небольшое количество пользователей определённым ролям, рекомендуется назначать их непосредственно на вкладке "Авторизации" в интерфейсе SAP Business Technology Platform.

Создание тестового пользователя SAP Business Technology Platform

Чтобы пользователи Microsoft Entra могли войти в SAP Business Technology Platform, необходимо назначить им роли в платформе SAP Business Technology Platform.

Чтобы назначить роль пользователю, выполните следующие действия:

1. Войдите в платформу SAP Business Technology Platform, консоль.

2. Выполните следующее:

   

   a. Щелкните Авторизация.

   b. Перейдите на вкладку Пользователи.

   c. В текстовом поле user введите адрес электронной почты пользователя.

   д. Щелкните Назначить, чтобы назначить пользователю роль.

   e. Нажмите кнопку Сохранить.

Проверка единого входа

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с использованием следующих параметров.

• Щелкните Проверьте это приложение, и вы будете перенаправлены на URL-адрес входа в SAP Business Technology Platform, где можно инициировать процесс входа.

• Перейдите напрямую по URL-адресу страницы входа на платформу SAP Business Technology Platform и инициируйте процесс авторизации.

• Вы можете использовать Microsoft My Apps. Щелкнув плитку SAP Business Technology Platform на вкладке "Мои приложения", вы автоматически войдете в приложение SAP Business Technology Platform, для которого настроили единый вход. Дополнительные сведения о My Apps см. в разделе Введение в "Мои приложения".

Связанное содержимое

• После настройки SAP Business Technology Platform вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Контроль сеанса является продолжением условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.
• Управление доступом к приложениям SAP BTP с помощью групп