Интеграция идентификатора Microsoft Entra с SAP Cloud Platform Identity Authentication

Завершено

Интеграция SAP Cloud Platform Identity Authentication с идентификатором Microsoft Entra предоставляет следующие преимущества:

• Вы можете контролировать идентификатор Microsoft Entra, имеющий доступ к SAP Cloud Platform Identity Authentication.
• Он позволяет пользователям автоматически входить в SAP Cloud Platform Identity Authentication с помощью учетных записей Microsoft Entra.
• Вы можете управлять учетными записями централизованно на портале Azure.

Добавление приложения SAP Cloud Platform Identity Authentication из коллекции

Чтобы настроить интеграцию SAP Cloud Platform Identity Authentication с идентификатором Microsoft Entra ID, сначала добавьте SAP Cloud Platform Identity Authentication из коллекции приложений Microsoft Entra в список управляемых приложений SaaS.

Настройка и проверка единого входа на основе идентификатора Microsoft Entra

Затем необходимо настроить и проверить единый вход на основе идентификаторов Microsoft Entra с помощью следующей последовательности шагов:

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
2. Настройте единый вход SAP Cloud Platform Identity Authentication, чтобы настроить параметры единого входа на стороне приложения.
3. Назначьте пользователям Microsoft Entra проверку подлинности удостоверений SAP Cloud Platform.

Настройка единого входа Microsoft Entra

1. На портале Azure на странице интеграции с приложением SAP Cloud Platform Identity Authentication выберите Единый вход.

2. На странице Выбрать метод единого входа выберите режим SAML/WS-Fed, чтобы включить единый вход.

3. На странице Настройка единого входа с помощью SAML щелкните значок Правка, чтобы открыть диалоговое окно Базовая конфигурация SAML.

4. В разделе Базовая конфигурация SAML сделайте следующее:

   • Для настройки режима, инициируемого с помощью IDP, укажите идентификатор клиента IAS облачной платформы SAP (идентификатор сущности) и соответствующий URL-адрес ответа (URL-адрес службы обработчика утверждений).
   • Чтобы настроить приложение в режиме, инициируемом поставщиком услуг, выберите элемент Задать дополнительные URL-адреса и укажите URL-адрес входа.

Чтобы получить эти значения, можно обратиться в службу поддержки клиентов SAP Cloud Platform Identity Authentication.

Приложение SAP Cloud Platform Identity Authentication поддерживает утверждения SAML в определенном формате. Настройте соответствующие утверждения для этого приложения, включая givenName, surname, EmailAddress, имя и уникальный идентификатор пользователя. Значениями этих атрибутов можно управлять в разделе Атрибуты пользователя на странице интеграции приложения.

Настройка единого входа в SAP Cloud Platform Identity Authentication

Чтобы настроить единый вход в приложении, перейдите на консоль администрирования SAP Cloud Platform Identity Authentication. В разделе «Поставщики удостоверений» выберите плитку «Поставщики корпоративных удостоверений». Нажмите кнопку "Добавить", чтобы создать поставщика корпоративных удостоверений Microsoft Entra. В разделе SAML 2.0 выберите Конфигурация SAML 2.0.

Отправьте XML-файл метаданных Microsoft Entra или настройте вручную следующие поля:

• Имя: идентификатор сущности у поставщика корпоративных удостоверений.
• URL-адрес конечной точки для единого входа: URL-адрес конечной точки единого входа поставщика удостоверений, который получает запросы проверки подлинности. В области "Привязка" выберите ту, которая соответствует требуемой конечной точке единого входа.
• URL-адрес конечной точки единого выхода: URL-адрес конечной точки единого выхода поставщика удостоверений, который получает сообщения о выходе. Для привязки выберите ту, которая соответствует требуемой конечной точке единого выхода.
• Сертификат для подписи: сертификат в кодировке Base64, используемый поставщиком удостоверений для цифровой подписи сообщений протокола SAML, отправляемых в модуль проверки подлинности удостоверений.

Назначение пользователей Microsoft Entra

1. На портале Azure последовательно выберите Корпоративные приложения, Все приложения и SAP Cloud Platform Identity Authentication.

2. В списке приложений выберите SAP Cloud Platform Identity Authentication.

3. На портале Azure выберите Пользователи и группы.

4. Нажмите кнопку Добавить пользователя, а затем выберите пользователей и группы, которые будут назначены приложению, в диалоговом окне Добавление назначения.

5. Если вы ожидаете любое значение роли в утверждении SAML, в диалоговом окне выбора роли выберите соответствующую роль для пользователя из списка, а затем нажмите кнопку "Выбрать " в нижней части экрана. В диалоговом окне "Добавление назначения" нажмите кнопку "Назначить ".

   Примечание.

   В приложении SAP Cloud Platform Identity Authentication не нужно создавать пользователя. Пользователи, которые находятся в магазине пользователей Microsoft Entra, могут использовать функции единого входа. Приложение SAP Cloud Platform Identity Authentication поддерживает федерацию удостоверений. Это позволяет приложению проверять, существуют ли пользователи, прошедшие аутентификацию через корпоративного поставщика удостоверений, в хранилище пользователей SAP Cloud Platform Identity Authentication. Параметр федерации удостоверений по умолчанию отключен. Если вы включите этот параметр, доступ к приложению смогут получить только те пользователи, которые заранее импортированы в SAP Cloud Platform Identity Authentication.

6. Чтобы проверить результат, щелкните плитку SAP Cloud Platform Identity Authentication на панели доступа. Вы автоматически войдете в приложение SAP Cloud Platform Identity Authentication, для которого настроен единый вход.