Integrera Microsoft Entra-ID med SAP NetWeaver

  • 13 minuter

Integreringen av SAP NetWeaver med Microsoft Entra ID medför följande fördelar:

  • Du kan i Microsoft Entra ID styra vem som har åtkomst till SAP NetWeaver.
  • Du kan göra så att dina användare automatiskt loggas in på SAP NetWeaver (enkel inloggning) med sina Microsoft Entra-konton.
  • Du kan hantera dina konton på en central plats – Azure-portalen.

För att konfigurera Microsoft Entra-integrering med SAP NetWeaver behöver du följande:

  • En Microsoft Entra-prenumeration
  • SAP NetWeaver-prenumeration med enkel inloggning aktiverat
  • SAP NetWeaver V7.20 krävs minst

SAP NetWeaver stöder SP-initierad enkel inloggning.

Om du vill konfigurera integreringen av SAP NetWeaver i Microsoft Entra-ID lägger du först till SAP NetWeaver från galleriet i din lista över hanterade SaaS-appar.

Konfigurera och testa enkel inloggning med Microsoft Entra

Om du vill konfigurera enkel inloggning med Microsoft Entra med SAP NetWeaver måste du använda följande steg:

  1. Konfigurera enkel inloggning med Microsoft Entra – så att användarna kan använda den här funktionen.
  2. Konfigurera enkel inloggning med SAP NetWeaver – för att konfigurera inställningarna för enkel inloggning på programsidan.
  3. Tilldela Microsoft Entra ID-testanvändaren till Microsoft Entra-programmet.
  4. Skapa SAP NetWeaver-användare som är länkade till sina Microsoft Entra-användarkonton.

Konfigurera enkel inloggning med Microsoft Entra

Utför följande steg för att konfigurera enkel inloggning med Microsoft Entra med SAP NetWeaver:

  1. Öppna ett nytt webbläsarfönster och logga in på din SAP NetWeaver-företagswebbplats som administratör.

  2. Kontrollera att http- och https-tjänsterna är aktiva och att lämpliga portar har tilldelats i SMICM T-Code.

  3. logga in på företagsklienten för SAP System (T01), där enkel inloggning krävs, och aktivera HANTERING av HTTP-säkerhetssessioner.

  4. Gå till transaktionskod SICF_SESSIONS. Granska alla profilparametrar. Justera enligt organisationens krav och starta sedan om SAP-systemet.

  5. Dubbelklicka på relevant klient för att aktivera en HTTP-säkerhetssession.

  6. Aktivera följande SICF-tjänster:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (detta är bara för att aktivera/inaktivera spårning)

  7. Gå till Transaktionskod SAML2 i affärsklienten för SAP-systemet [T01/122]. Det öppnar ett användargränssnitt i en webbläsare.

  8. Ange ditt användarnamn och lösenord för att ange användargränssnittet och välj Redigera.

  9. Ändra providernamn från T01122 till <http://T01122> och välj Spara.

  10. Som standard formateras providernamnet som [sid][klient] -format, men Microsoft Entra-ID förväntar sig namnet i formatet protocol://[sid][klient]. Vi rekommenderar att du underhåller providernamnet som https://[sid][klient] för att tillåta att flera SAP NetWeaver ABAP-motorer konfigureras i Microsoft Entra-ID.

  11. Generera metadata för tjänstprovidern: När du är klar med att konfigurera inställningarna för lokal provider och betrodda providers i SAML 2.0-användargränssnittet, innebär nästa steg att generera tjänstleverantörens metadatafil (som skulle innehålla alla inställningar, autentiseringskontexter och andra konfigurationer i SAP).

  12. På fliken Lokal provider väljer du Metadata.

  13. Spara den genererade XML-filen för metadata på datorn och ladda upp den i avsnittet Grundläggande SAML-konfiguration för att automatiskt fylla i värdena för identifierare och svars-URL i Azure Portal.

  14. I Azure Portal går du till programintegreringssidan för SAP NetWeaver och väljer Enkel inloggning.

  15. I dialogrutan Välj en metod för enkel inloggning väljer du läget SAML/WS-Fed för att aktivera enkel inloggning.

  16. På sidan Konfigurera enkel inloggning med SAML väljer du ikonen Redigera för att öppna dialogrutan Grundläggande SAML-konfiguration .

  17. I avsnittet Grundläggande SAML-konfiguration utför du följande steg:

    1. Välj Ladda upp metadatafil för att ladda upp metadatafilen för tjänstleverantören, som du hämtade tidigare.
    2. Välj på mapplogotypen för att välja metadatafilen och välj sedan Ladda upp.
    3. När metadatafilen har laddats upp fylls värdena för Identifierare och Svars-URL automatiskt i textrutan Grundläggande SAML-konfiguration enligt följande:
    4. I textrutan Inloggnings-URL skriver du en URL med följande mönster: https://[din företagsinstans av SAP NetWeaver]

  18. SAP NetWeaver-programmet förväntar sig SAML-intyg i ett visst format. Anspråken inklusive förnamn, efternamn, e-postadress, namn och unik användaridentifierare. Du kan hantera deras värden från avsnittet Användarattribut på programintegreringssidan.

  19. På sidan Konfigurera enkel inloggning med SAML väljer du knappen Redigera för att öppna dialogrutan Användarattribut .

  20. I avsnittet Användaranspråk i dialogrutan Användarattribut konfigurerar du SAML-tokenattribut och utför följande steg:

    1. Välj ikonen Redigera för att öppna dialogrutan Hantera användaranspråk.
    2. Välj ExtractMailPrefix() i listan Transformering.
    3. Välj user.userprinicipalname i listan Parameter 1.
    4. Välj Spara.

  21. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och väljer Ladda ned för att ladda ned XML för federationsmetadata från de angivna alternativen enligt dina behov och spara den på datorn.

  22. I avsnittet Konfigurera SAP NetWeaver kopierar du lämpliga URL:er enligt dina behov.

    • Inloggnings-URL
    • Microsoft Entra-identifierare
    • Utloggnings-URL

Konfigurera enkel inloggning med SAP NetWeaver

  1. Logga in på SAP-systemet och gå till transaktionskoden SAML2. Det öppnar ett nytt webbläsarfönster till SAML-konfigurationsskärmen.

  2. Om du vill konfigurera slutpunkter för betrodd identitetsprovider (Microsoft Entra-ID) går du till fliken Betrodda leverantörer .

  3. Tryck på Lägg till och välj Ladda upp metadatafil på snabbmenyn.

  4. Ladda upp metadatafilen som du laddade ned från Azure Portal.

  5. På nästa skärm skriver du ett godtyckligt aliasnamn . Se till att din sammandragsalgoritm ska vara SHA-256 och att den inte kräver några ändringar och tryck på Nästa.

  6. slutpunkter för enkel inloggning använder du HTTP POST och väljer Nästa för att fortsätta.

  7. Slutpunkter för enkel utloggning väljer du HTTPRedirect och väljer Nästa för att fortsätta.

  8. Artifact Endpoints (Slutpunkter för artefakter) trycker du på Nästa för att fortsätta.

  9. I Autentiseringskrav godkänner du standardinställningarna och väljer Slutför.

  10. Gå till fliken Betrodd provider och sedan Identitetsfederation.

  11. Välj Redigera.

  12. Välj Lägg till under fliken Identitetsfederation .

  13. I popup-fönstret väljer du Ospecificerat från nameID-format som stöds och väljer OK. Värden för mappningsläge för användar-ID-källa och användar-ID avgör länken mellan SAP-användare och Microsoft Entra-anspråk.

  14. Två möjliga scenarier finns:

    • Scenario: SAP-användare till Microsoft Entra-användarmappning.
    • Scenario: Välj SAP-användar-ID baserat på konfigurerad e-postadress i SU01. I det här fallet ska e-post-ID konfigureras i su01 för varje användare som behöver enkel inloggning.

  15. Välj Spara och välj sedan Aktivera för att aktivera identitetsprovider.

Tilldela Microsoft Entra-användare

I Azure-portalen väljer du Företagsprogram, Alla program och sedan SAP NetWeaver. I listan över program väljer du SAP NetWeaver.

Skapa SAP NetWeaver-användare

  1. Om du vill göra det möjligt för Microsoft Entra-användare att logga in på SAP NetWeaver måste du etablera dem i SAP NetWeaver. Arbeta med ditt interna SAP-expertteam eller din organisations SAP-partner för att lägga till användarna i SAP NetWeaver-plattformen.
  2. När identitetsprovidern Microsoft Entra-ID har aktiverats <https://sapurl/sap/bc/bsp/sap/it00/default.htm> kan du kontrollera enkel inloggning för att kontrollera resultatet (ersätt sapurl med det faktiska SAP-värdnamnet). Det bör inte finnas någon uppmaning om användarnamn och lösenord.