Интеграция идентификатора Microsoft Entra с SAP NetWeaver

  • 13 мин

Интеграция SAP NetWeaver с идентификатором Microsoft Entra ID обеспечивает следующие преимущества:

  • Вы можете контролировать идентификатор Microsoft Entra, имеющий доступ к SAP NetWeaver.
  • Вы можете включить автоматический вход пользователей в SAP NetWeaver (единый вход) с помощью учетных записей Microsoft Entra.
  • Вы можете управлять учетными записями централизованно на портале Azure.

Чтобы настроить интеграцию Microsoft Entra с SAP NetWeaver, вам потребуется:

  • Подписка Microsoft Entra
  • подписка на SAP NetWeaver с поддержкой единого входа;
  • Требуется версия SAP NetWeaver не ниже 7.20

SAP NetWeaver поддерживает единый вход, инициированный поставщиком услуг.

Чтобы настроить интеграцию SAP NetWeaver с идентификатором Microsoft Entra ID, сначала добавьте SAP NetWeaver из коллекции в список управляемых приложений SaaS.

Настройка и проверка единого входа Microsoft Entra

Чтобы настроить единый вход Microsoft Entra в SAP NetWeaver, необходимо выполнить следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
  2. Настройте единый вход SAP NetWeaver, чтобы настроить параметры единого входа на стороне приложения.
  3. Назначьте тестового пользователя Microsoft Entra ID приложению Microsoft Entra.
  4. Создание пользователей SAP NetWeaver, связанных с учетными записями пользователей Microsoft Entra.

Настройка единого входа Microsoft Entra

Чтобы настроить единый вход Microsoft Entra в SAP NetWeaver, выполните следующие действия.

  1. Откройте новое окно веб-браузера и войдите на корпоративный сайт SAP NetWeaver в качестве администратора.

  2. Убедитесь, что службы HTTP и HTTPS активны, а в SMICM T-Code назначены соответствующие порты.

  3. Войдите в бизнес-клиент SAP System (T01), где требуется единый вход и активируйте управление сеансами безопасности HTTP.

  4. Перейдите к коду транзакции SICF_SESSIONS. Проверьте все параметры профиля. Измените их в соответствии с требованиями организации, а затем перезапустите систему SAP.

  5. Дважды щелкните соответствующий клиент, чтобы включить сеанс безопасности HTTP.

  6. Активируйте следующие службы SICF.

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (Только включает и отключает трассировку)

  7. Перейдите к коду транзакции SAML2 в бизнес-клиенте для системы SAP [T01/122]. Откроется пользовательский интерфейс в браузере.

  8. Укажите имя пользователя и пароль, чтобы войти в пользовательский интерфейс, и щелкните Edit (Изменить).

  9. Измените значение Provider Name (Имя поставщика) с T01122 на <http://T01122> и щелкните Save (Сохранить).

  10. По умолчанию имя поставщика форматируется как [sid][client] , но идентификатор Microsoft Entra ожидает имя в формате protocol://[sid][client]. Рекомендуется сохранить имя поставщика как https://[sid][client] , чтобы разрешить настройку нескольких обработчиков ABAP SAP NetWeaver в идентификаторе Microsoft Entra ID.

  11. Создайте метаданные поставщика услуг. После настройки параметров локального поставщика и доверенных поставщиков в пользовательском интерфейсе SAML 2.0 необходимо создать файл метаданных поставщика услуг (который будет содержать все параметры, контексты проверки подлинности и другие конфигурации в SAP).

  12. На вкладке Local Provider (Локальный поставщик услуг) выберите Metadata (Метаданные).

  13. Сохраните созданный XML-файл метаданных на компьютере и отправьте его в разделе "Базовая конфигурация SAML", чтобы автоматически заполнить значения идентификатора и URL-адреса ответа в портал Azure.

  14. На портале Azure откройте страницу Интеграция с приложением SAP NetWeaver и выберите Единый вход.

  15. В диалоговом окне Выбрать метод единого входа выберите режим SAML/WS-Fed, чтобы включить единый вход.

  16. На странице Настройка единого входа с помощью SAML щелкните значок Правка, чтобы открыть диалоговое окно Базовая конфигурация SAML.

  17. В разделе Базовая конфигурация SAML выполните приведенные ниже действия.

    1. Выберите "Отправить файл метаданных", чтобы отправить файл метаданных поставщика услуг, полученный ранее.
    2. Щелкните значок папки, чтобы выбрать файл метаданных, а затем щелкните Отправить.
    3. После успешной отправки файла метаданных значения идентификатора и URL-адреса ответа автоматически заполняются в текстовом поле "Базовая конфигурация SAML", как показано ниже.
    4. В текстовом поле URL-адрес для входа введите URL-адрес в формате https://[корпоративный экземпляр SAP NetWeaver]

  18. Приложение SAP NetWeaver ожидает утверждения SAML в определенном формате. Утверждения, включая givenname, surname, emailaddress, name и Unique User Identifier. Вы можете управлять этими значениями в разделе Пользовательские атрибуты на странице интеграции с приложением.

  19. На странице Настройка единого входа с помощью SAML нажмите кнопку Правка, чтобы открыть диалоговое окно Пользовательские атрибуты.

  20. В разделе Утверждения пользователя диалогового окна Пользовательские атрибуты настройте атрибут токена SAML и выполните следующие действия.

    1. Щелкните значок Правка, чтобы открыть диалоговое окно Управление утверждениями пользователя.
    2. Из списка Преобразование выберите ExtractMailPrefix().
    3. Из списка Параметр 1 выберите user.userprinicipalname.
    4. Выберите Сохранить.

  21. На странице "Настройка единого входа с помощью SAML" в разделе "Сертификат подписи SAML" выберите "Скачать", чтобы скачать XML-файл метаданных федерации из указанных параметров в соответствии с вашим требованием и сохранить его на компьютере.

  22. Из раздела Настройка SAP NetWeaver скопируйте нужные URL-адреса согласно вашим требованиям.

    • URL-адрес входа
    • Идентификатор Microsoft Entra
    • URL-адрес выхода.

Настройка единого входа SAP NetWeaver

  1. Войдите в систему SAP и перейдите к коду транзакции SAML2. Откроется новое окно браузера с экраном настройки SAML.

  2. Для настройки конечных точек для доверенного поставщика удостоверений (Идентификатор Microsoft Entra) перейдите на вкладку доверенных поставщиков .

  3. Нажмите Добавить и выберите Отправить файл метаданных в контекстном меню.

  4. Отправьте файл метаданных, скачанный с портала Azure.

  5. На следующем экране введите произвольное имя в поле Alias (Псевдоним). Алгоритм хэш-кода должен быть SHA-256, он не требует внесения изменений. Затем нажмите Далее.

  6. В разделе Single Sign-On Endpoints (Конечные точки единого входа) выберите HTTP POST и щелкните Next (Далее), чтобы продолжить.

  7. В разделе Single Logout Endpoints (Конечные точки единого выхода) выберите HTTPRedirect и щелкните Next (Далее), чтобы продолжить.

  8. В разделе Конечные точки артефакта нажмите Далее для продолжения.

  9. На странице Authentication Requirements (Требования к проверке подлинности) подтвердите параметры по умолчанию и щелкните Finish (Готово).

  10. Перейдите на вкладку Trusted Provider (Доверенный поставщик), а затем на выберите Identity Federation (Федерация удостоверений).

  11. Выберите Изменить.

  12. Выберите Add (Добавить) на вкладке Identity Federation (Федерация удостоверений).

  13. Во всплывающем окне выберите "Не указано " в поддерживаемых форматах NameID и нажмите кнопку "ОК". Значения режима сопоставления идентификаторов и источника идентификатора пользователя определяют связь между пользователем SAP и утверждением Microsoft Entra.

  14. Существует два возможных сценария.

    • Сценарий: сопоставление пользователей SAP с Microsoft Entra.
    • Сценарий. Выбор идентификатора пользователя SAP на основе настроенного адреса электронной почты в SU01. В этом случае идентификатор электронной почты должен быть настроен в SU01 для каждого пользователя, которому требуется единый вход.

  15. Щелкните Save (Сохранить), а затем Enable (Включить), чтобы включить поставщик удостоверений.

Назначение пользователей Microsoft Entra

На портале Azure выберите Корпоративные приложения, Все приложения, а затем — SAP NetWeaver. В списке приложений выберите SAP NetWeaver.

Создание пользователей в SAP NetWeaver

  1. Чтобы пользователи Microsoft Entra входить в SAP NetWeaver, необходимо подготовить их в SAP NetWeaver. Чтобы добавить пользователей на платформу SAP NetWeaver, обратитесь к группе экспертов SAP в вашей организации или к партнеру SAP.
  2. Чтобы проверить результат, после активации идентификатора поставщика удостоверений Microsoft Entra ID, перейдите <https://sapurl/sap/bc/bsp/sap/it00/default.htm> (замените sapurl фактическим именем узла SAP), чтобы проверить единый вход. Не должно появляться запроса на ввод имени пользователя и пароля.