Integrera Microsoft Entra-ID med SAP Fiori

  • 11 minuter

Genom att integrera SAP Fiori med Microsoft Entra ID får du följande fördelar:

  • Du kan använda Microsoft Entra-ID för att styra vem som har åtkomst till SAP Fiori.
  • Användare kan automatiskt loggas in på SAP Fiori med sina Microsoft Entra-konton (enkel inloggning).
  • Du kan hantera dina konton på en central plats, Azure-portalen.

För att konfigurera Microsoft Entra-integrering med SAP Fiori behöver du följande:

  • En Microsoft Entra-prenumeration.
  • En SAP Fiori-prenumeration med enkel inloggning aktiverat.
  • SAP Fiori 7.20 eller senare krävs.

För att integrera SAP Fiori med Microsoft Entra-ID måste du först lägga till SAP Fiori från SaaS-programgalleriet i din lista över hanterade SaaS-appar.

Konfigurera enkel inloggning med Microsoft Entra med SAP Fiori

För att enkel inloggning ska fungera måste du upprätta en länkad relation mellan en Microsoft Entra-användare och den relaterade användaren i SAP Fiori. Slutför följande uppgifter:

  1. Konfigurera enkel inloggning med Microsoft Entra så att användarna kan använda den här funktionen.
  2. Konfigurera enkel inloggning med SAP Fiori.
  3. Tilldela Microsoft Entra-användare till SAP Fiori-programmet.
  4. Skapa SAP Fiori-användare som är länkade till sina Microsoft Entra-användarkonton.

Konfigurera enkel inloggning med Microsoft Entra

  1. Öppna ett nytt webbläsarfönster och logga in på din SAP Fiori-företagswebbplats som administratör. Kontrollera att http- och https-tjänsterna är aktiva och att relevanta portar har tilldelats till transaktionskoden SMICM.

  2. Logga in på SAP Business Client för SAP-system T01, där enkel inloggning krävs. Aktivera sedan HANTERING av HTTP-säkerhetssessioner. Gå till transaktionskod SICF_SESSIONS och granska profilparametrarna. Justera parametrarna baserat på organisationens krav och starta om SAP-systemet.

  3. Aktivera följande SICF-tjänster:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (detta är bara för att aktivera/inaktivera spårning)

  4. Gå till transaktionskoden SAML2 i Business Client för SAP-systemet [T01/122]. Konfigurationsgränssnittet öppnas i ett nytt webbläsarfönster. Ange ditt användarnamn och lösenord och välj sedan Logga in.

  5. I rutan Providernamn ersätter du T01122 med <http://T01122>och väljer sedan Spara.

    Kommentar

    Som standard är providernamnet i formatet _sid-client_. Microsoft Entra ID förväntar sig namnet i formatet protocol://name. Vi rekommenderar att du underhåller providernamnet som https:// _sid-client_ så att du kan konfigurera flera SAP Fiori ABAP-motorer i Microsoft Entra-ID.

  6. Välj fliken Lokal provider / Metadata. I dialogrutan SAML 2.0-metadata laddar du ned den genererade XML-filen för metadata och sparar den på datorn.

  7. I Azure Portal går du till programintegreringsfönstret för SAP Fiori och väljer Enkel inloggning.

  8. I fönstret Välj en metod för enkel inloggning väljer du SAML - eller SAML/WS-Fed-läge för att aktivera enkel inloggning.

  9. I fönstret Konfigurera enkel inloggning med SAML väljer du Redigera (pennikonen) för att öppna fönstret Grundläggande SAML-konfiguration .

  10. I avsnittet Grundläggande SAML-konfiguration väljer du Ladda upp metadatafil och använder alternativet Ladda upp metadatafil för att ladda upp metadatafilen som du laddade ned tidigare.

  11. När metadatafilen har laddats upp fylls värdena för Identifierare och Svars-URL automatiskt i fönstret Grundläggande SAML-konfiguration . I rutan Inloggnings-URL anger du en URL som har följande mönster: https://[din företagsinstans av SAP Fiori].

  12. SAP Fiori-programmet förväntar sig att SAML-försäkran är i ett specifikt format. Anspråken inklusive förnamn, efternamn, e-postadress, namn och unik användaridentifierare. Om du vill hantera deras värden går du till fönstret Konfigurera enkel inloggning med SAML och väljer Redigera.

  13. I fönstret Användarattribut och anspråk konfigurerar du SAML-tokenattributen. Utför sedan följande steg:

    • Välj Redigera för att öppna fönstret Hantera användaranspråk .
    • I listan Transformering väljer du ExtractMailPrefix().
    • I listan Parameter 1 väljer du user.userprinicipalname.

  14. I fönstret Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och väljer Ladda ned bredvid XML för federationsmetadata.

  15. Välj ett nedladdningsalternativ baserat på dina krav. Spara certifikatet på datorn.

  16. I avsnittet Konfigurera SAP Fiori kopierar du följande URL:er baserat på dina krav:

    • Inloggnings-URL
    • Microsoft Entra-identifierare
    • Utloggnings-URL

Konfigurera enkel inloggning med SAP Fiori

  1. Logga in på SAP-systemet och gå till transaktionskoden SAML2. Ett nytt webbläsarfönster öppnas med SAML-konfigurationssidan.

  2. Om du vill konfigurera slutpunkter för en betrodd identitetsprovider (Microsoft Entra-ID) väljer du fliken Betrodda leverantörer .

  3. Välj Lägg till och välj sedan Ladda upp metadatafil på snabbmenyn.

  4. Ladda upp metadatafilen som du laddade ned i Azure Portal.

  5. Ange ett godtyckligt aliasnamn i rutan Alias på nästa sida.

  6. Kontrollera att värdet i rutan Sammanfattad algoritm är SHA-256.

  7. Under Slutpunkter för enkel inloggning väljer du HTTP POST.

  8. Under Slutpunkter för enkel utloggning väljer du HTTP-omdirigering.

  9. Acceptera standardinställningarna för artefaktslutpunkter och autentiseringskrav.

  10. Välj Betrodd provideridentitetsfederation / och namn-IID-format som inte stöds.

  11. Värdena för användar-ID-källa och mappningsläge för användar-ID avgör länken mellan SAP-användaren och Microsoft Entra-anspråket. Det finns två scenarier som stöds:

    • Scenario 1: SAP-användare till Microsoft Entra-användarmappning
    • Scenario 2: Välj SAP-användar-ID baserat på den konfigurerade e-postadressen i SU01. I det här fallet ska e-post-ID:t konfigureras i SU01 för varje användare som behöver enkel inloggning.

Tilldela Microsoft Entra-användare

  1. I Azure Portal väljer du Företagsprogram, Alla program och sedan SAP Fiori.

  2. I programlistan väljer du SAP Fiori.

  3. När identitetsprovidern Microsoft Entra-ID har aktiverats i SAP Fiori kan du kontrollera resultatet genom att försöka komma åt någon av följande URL:er för att testa enkel inloggning som tilldelad användare (du bör inte uppmanas att ange ett användarnamn och lösenord):