Självstudie: Microsoft Entra SSO-integrering med SAP Business Technology Platform
I den här självstudien får du lära dig hur du integrerar SAP Business Technology Platform med Microsoft Entra ID. När du integrerar SAP Business Technology Platform med Microsoft Entra-ID kan du:
- Kontrollera i Microsoft Entra ID vem som har åtkomst till SAP Business Technology Platform.
- Gör så att dina användare automatiskt loggas in på SAP Business Technology Platform med sina Microsoft Entra-konton.
- Hantera dina konton på en central plats.
Förutsättningar
För att komma igång behöver du följande:
- Ett Microsoft Entra-abonnemang. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
- SAP Business Technology Platform-prenumeration med enkel inloggning (SSO) aktiverat.
Viktig
Du måste distribuera ditt eget program eller prenumerera på ett program på ditt SAP Business Technology Platform-konto för att testa enkel inloggning. I den här handledningen distribueras ett program i kontot.
Scenariobeskrivning
I den här självstudien konfigurerar och testar du enkel inloggning med Microsoft Entra i en testmiljö.
- SAP Business Technology Platform stöder SP SSO initierad.
Lägga till SAP Business Technology Platform från galleriet
För att konfigurera integreringen av SAP Business Technology Platform i Microsoft Entra-ID måste du lägga till SAP Business Technology Platform från galleriet till din lista över hanterade SaaS-appar.
- Logga in på administrationscentret för Microsoft Entra som minst en molnapplikationsadministratör.
- Bläddra till Identity>Program>Företagsprogram>Nytt program.
- I avsnittet Lägg till från galleriet skriver du SAP Business Technology Platform i sökrutan.
- Välj SAP Business Technology Platform från resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.
Alternativt kan du också använda Konfigurationsguiden för Enterprise-appar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.
Konfigurera och testa Microsoft Entra SSO för SAP Business Technology Platform
Konfigurera och testa Microsoft Entra SSO med SAP Business Technology Platform med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i SAP Business Technology Platform.
Utför följande steg för att konfigurera och testa Microsoft Entra SSO med SAP Business Technology Platform:
-
Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
- Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med Britta Simon.
- Tilldela Microsoft Entra-testanvändaren – så att Britta Simon kan använda enkel inloggning med Microsoft Entra.
-
Konfigurera SAP Business Technology Platform SSO – för att konfigurera inställningarna för enkel Sign-On på programsidan.
- Skapa SAP Business Technology Platform-testanvändare – för att ha en motsvarighet till Britta Simon i SAP Business Technology Platform som är länkad till Microsoft Entra-representationen av användaren.
- Testa SSO- – för att kontrollera om konfigurationen fungerar.
Konfigurera Microsoft Entra SSO
Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.
Logga in på Microsoft Entra-administrationscentret som minst Molnprogramadministratör.
Bläddra till Identity>Applications>Företagsapplikationer>SAP Business Technology Platform>Single sign-on.
På sidan där du väljer en enkel inloggningsmetod, väljer du SAML.
På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.
I avsnittet Grundläggande SAML-konfiguration anger du värdena för följande fält:
a. I textrutan Identifier ska du ange en URL för din SAP Business Technology Platform med något av följande mönster:
identifierare https://hanatrial.ondemand.com/<instancename>
https://hana.ondemand.com/<instancename>
https://us1.hana.ondemand.com/<instancename>
https://ap1.hana.ondemand.com/<instancename>
b. I textrutan Svars-URL skriver du en URL med något av följande mönster:
svars-URL https://<subdomain>.hanatrial.ondemand.com/<instancename>
https://<subdomain>.hana.ondemand.com/<instancename>
https://<subdomain>.us1.hana.ondemand.com/<instancename>
https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
https://<subdomain>.ap1.hana.ondemand.com/<instancename>
https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>
c. I textrutan Inloggnings-URL skriver du den URL som användarna använder för att logga in på ditt SAP Business Technology Platform-program. Det här är den kontospecifika URL:en för en skyddad resurs i ditt SAP Business Technology Platform-program. URL:en baseras på följande mönster:
https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>
Not
Det här är URL:en i ditt SAP Business Technology Platform-program som kräver att användaren autentiserar.
inloggnings-URL https://<subdomain>.hanatrial.ondemand.com/<instancename>
https://<subdomain>.hana.ondemand.com/<instancename>
Not
Dessa värden är inte verkliga. Uppdatera dessa värden med den faktiska identifieraren, svars-URL:en och inloggnings-URL: en. Kontakta supportteamet för SAP Business Technology Platform-klienten för att få Sign-On URL och identifierare. Svar-URL:en kan du få från avsnittet för förtroendehantering, vilket beskrivs senare i handledningen.
På sidan Konfigurera enkel Sign-On med SAML i avsnittet SAML-signeringscertifikat klickar du på Ladda ned för att ladda ned XML-federationsmetadata från de angivna alternativen enligt dina behov och spara den på datorn.
Skapa en Microsoft Entra-testanvändare
I det här avsnittet skapar du en testanvändare med namnet B.Simon.
- Logga in på administrationscentret för Microsoft Entra som minst Användaradministratör.
- Bläddra till Identitet>Användare>Alla Användare.
- Välj Ny användare>Skapa ny användareöverst på skärmen.
- Följ dessa steg i egenskaperna Användare:
- I fältet Visningsnamn anger du
B.Simon
. - I fältet Användarens huvudnamn anger du username@companydomain.extension. Till exempel
B.Simon@contoso.com
. - Markera kryssrutan Visa lösenord och skriv sedan ned värdet som visas i rutan Lösenord.
- Välj Granska + skapa.
- I fältet Visningsnamn anger du
- Välj Skapa.
Tilldela Microsoft Entra-testanvändaren
I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till SAP Business Technology Platform.
- Logga in på administrationscentret för Microsoft Entra som minst en molnprogramadministratör.
- Bläddra till Identity>Applications>Enterprise-applikationer>SAP Business Technology Platform.
- På appens översiktssida väljer du Användare och grupper.
- Välj Lägg till användare/gruppoch välj sedan Användare och grupper i dialogrutan Lägg till tilldelning.
- I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
- Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll. Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
- I dialogrutan Lägg till uppgift klickar du på knappen Tilldela.
Konfigurera SSO för SAP Business Technology Platform.
I ett annat webbläsarfönster loggar du in på SAP Business Technology Platform Cockpit på
https://account.<landscape host>.ondemand.com/cockpit
(till exempel: https://account.hanatrial.ondemand.com/cockpit).Klicka på fliken Förtroende.
Utför följande steg under lokala tjänsteleverantöri avsnittet Förtroendehantering:
a. Klicka på Redigera.
b. Som konfigurationstypväljer du Anpassad.
c. Som lokalt providernamnlämnar du standardvärdet. Kopiera det här värdet och klistra in det i fältet Identifierare i Microsoft Entra-konfigurationen för SAP Business Technology Platform.
d. Om du vill generera en signeringsnyckel och ett signeringscertifikat nyckelpar klickar du på Generera nyckelpar.
e. Som Principal Propagation, välj Inaktiverad.
f. Som Framtvinga autentiseringväljer du Inaktiverad.
g. Klicka på Spara.
När du har sparat inställningarna för lokala tjänstprovidern utför du följande för att hämta svars-URL:en:
a. Ladda ned metadatafilen för SAP Business Technology Platform genom att klicka på Hämta metadata.
b. Öppna den nedladdade XML-filen för SAP Business Technology Platform-metadata och leta sedan upp taggen ns3:AssertionConsumerService.
c. Kopiera värdet för attributet Location och klistra sedan in det i fältet Svars-URL i Microsoft Entra-konfigurationen för SAP Business Technology Platform.
Klicka på fliken Betrodd identitetsleverantör och klicka sedan på Lägg till betrodd identitetsleverantör.
Obs
Om du vill hantera listan över betrodda identitetsprovidrar måste du ha valt den anpassade konfigurationstypen i avsnittet Lokal tjänstleverantör. För Standardkonfigurationstyp har du ett icke-redigerbart och implicit förtroende för SAP ID-tjänsten. För Ingen har du inga förtroendeinställningar.
Klicka på fliken Allmänt och klicka sedan på Bläddra för att ladda upp den nedladdade metadatafilen.
Not
När metadatafilen har laddats upp fylls värdena för URL för enkel inloggning, URL för enkel utloggningoch signeringscertifikat automatiskt.
Klicka på fliken Attribut.
Utför följande steg på fliken Attribut:
a. Klicka på Lägg till Assertion-Based Attributoch lägg sedan till följande påstående-baserade attribut:
Påståendattribut Huvudattribut http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
förnamn http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
efternamn http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
E-post Anteckning
Konfigurationen av attributen beror på hur programmen på SCP utvecklas, det vill s. v.s. vilka attribut de förväntar sig i SAML-svaret och under vilket namn (huvudattribut) de kommer åt det här attributet i koden.
b. standardattributet i skärmbilden är bara för illustrationsändamål. Det krävs inte för att scenariot ska fungera.
c. Namnen och värdena för Principal Attribute som visas på skärmbilden beror på hur programmet utvecklas. Det är möjligt att programmet kräver olika mappningar.
Påstående-baserade grupper
Som ett valfritt steg kan du konfigurera kontrollbaserade grupper för din Microsoft Entra-identitetsprovider.
Med hjälp av grupper på SAP Business Technology Platform kan du dynamiskt tilldela en eller flera användare till en eller flera roller i dina SAP Business Technology Platform-program, som bestäms av attributvärden i SAML 2.0-försäkran.
Om försäkran till exempel innehåller attributet "contract=temporary", kanske du vill att alla berörda användare ska läggas till i gruppen "TEMPORARY". Gruppen "TEMPORARY" kan innehålla en eller flera roller från ett eller flera program som distribueras i ditt SAP Business Technology Platform-konto.
Använd kontrollbaserade grupper när du samtidigt vill tilldela många användare till en eller flera programroller i ditt SAP Business Technology Platform-konto. Om du bara vill tilldela ett enskilt eller litet antal användare till specifika roller rekommenderar vi att du tilldelar dem direkt på fliken "Authorizations" i SAP Business Technology Platform-cockpiten.
Skapa SAP Business Technology Platform-testanvändare
För att göra det möjligt för Microsoft Entra-användare att logga in på SAP Business Technology Platform måste du tilldela roller i SAP Business Technology Platform till dem.
Utför följande steg för att tilldela en roll till en användare:
Logga in på din SAP Business Technology Platform cockpit.
Utför följande:
a. Klicka på auktorisering.
b. Klicka på fliken Användare.
c. I textrutan Användare skriver du användarens e-postadress.
d. Klicka på Tilldela för att tilldela användaren till en roll.
e. Klicka på Spara.
Testa SSO
I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.
Klicka på Testa det här programmet. Detta omdirigeras till inloggnings-URL:en för SAP Business Technology Platform där du kan initiera inloggningsflödet.
Gå till inloggnings-URL:en för SAP Business Technology Platform direkt och initiera inloggningsflödet därifrån.
Du kan använda Microsoft My Apps. När du klickar på SAP Business Technology Platform-panelen i Mina appar bör du automatiskt loggas in på SAP Business Technology Platform som du har konfigurerat enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.
Nästa steg
- När du har konfigurerat SAP Business Technology Platform kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för Cloud Apps.
- Hantera åtkomst till SAP BTP-appar via grupper