为 SAP 采购解决方案配置身份验证
SAP ERP 连接器旨在用于多人可以同时访问和使用一个应用程序;因此,连接不是共享的。 用户凭据在连接中提供,而连接到 SAP 系统所需的其他详细信息(如服务器详细信息和安全配置)则作为操作的一部分提供。
启用单一登录 (SSO) 可以轻松地从 SAP 刷新数据,同时遵守 SAP 中配置的用户级权限。 您可以通过多种方式设置 SSO 以进行简化的身份和访问管理。
SAP ERP 连接器支持以下身份验证类型:
| Authentication type | 用户如何连接 | 配置步骤 |
|---|---|---|
| SAP 身份验证 | 使用 SAP 用户名和密码访问 SAP 服务器。 | 第 4 步 |
| Windows 身份验证 | 使用 Windows 用户名和密码访问 SAP 服务器。 | 步骤 1、2、3、4 |
| Microsoft Entra ID 身份验证 | 使用 Microsoft Entra ID 访问 SAP 服务器。 | 步骤 1、2、3、4 |
备注
在 Microsoft Entra ID 和 SAP 中设置 SSO 需要特定管理权限。 在设置 SSO 之前,请务必获取每个系统所需的管理员权限。
详细信息:
步骤 1:配置 Kerberos 约束委派
Kerberos 约束委派(KCD) 提供对管理员允许的资源的安全用户或服务访问,而无需多次请求凭据。 为 Windows 和 Microsoft Entra ID 身份验证配置 Kerberos 约束委派。
作为域帐户使用服务主体名称 (SPN) (SetSPN) 运行网关 Windows 服务。
配置任务:
调整网关的通信设置。 启用出站 Microsoft Entra ID 连接并检查防火墙和端口设置以确保通信正常。
配置标准 Kerberos 约束委派。 作为域管理员,请为服务配置域帐户,从而限制该帐户在单个域上运行。
在网关计算机上向网关服务帐户授予本地策略权限。
在网关计算机上设置用户映射配置参数。
将网关服务账户更改为域账户。 在标准安装中,网关作为默认计算机本地服务帐户 NT Service\PBIEgwService 运行。 它必须作为域帐户运行,才能为 SSO 简化 Kerberos 票证。
详细信息:
步骤 2:配置 SAP ERP 以允许使用 CommonCryptoLib (sapcrypto.dll)
要使用 SSO 访问 SAP 服务器,请确保:
- 您使用 CommonCryptoLib 作为其安全网络通信 (SNC) 库为 Kerberos SSO 配置 SAP 服务器。
- 您的 SNC 名称以 CN 开头。
重要提示
确保 SAP 安全登录客户端 (SLC) 未在安装了网关的计算机上运行。 SLC 缓存 Kerberos 票证的方式可能会影响网关使用 Kerberos 进行 SSO 的能力。 有关详细信息,请查看SAP 备注 2780475(需要 s 用户)。
从 SAP Launchpad 下载 64 位 CommonCryptoLib()
sapcrypto.dll版本 8.5.25 或更高版本,并将其复制到网关计算机上的文件夹中。在用于复制
sapcrypto.dll的同一目录中,创建一个名为sapcrypto.ini的文件,该文件包含以下内容:ccl/snc/enable_kerberos_in_client_role = 1.ini文件包含 CommonCryptoLib 在网关方案中启用 SSO 所需的配置信息。 确保路径(如c:\sapcryptolib\)包含sapcrypto.ini和sapcrypto.dll。.dll和.ini文件必须位于同一位置。将
.ini和.dll文件的权限授予已经过身份验证的用户组。 网关服务用户和服务用户模拟的 Active Directory 用户均需要这两个文件的读取和执行权限。创建
CCL_PROFILE系统环境变量,并将其值设置为路径sapcrypto.ini。重启网关服务。
详细信息:使用 CommonCryptoLib 将适用于 SSO 的 Kerberos 单一登录用于 SAP BW
步骤 3:为 Azure AD 和 Windows 身份验证启用 SAP SNC
SAP ERP 连接器通过启用 SAP 的安全网络通信 (SNC),支持 Microsoft Entra ID 和 Windows Server AD 身份验证。 SNC 是 SAP 系统架构中的一个软件层,它提供一个外部安全产品接口,因此可以安全地单一登录到 SAP 环境。 以下属性指南可帮助进行设置。
| 属性 | 说明 |
|---|---|
| 使用 SNC | 如果要启用 SNC,请设置为是。 |
| SNC 库 | SNC 库名称或 NCo 安装位置的相对路径或绝对路径。 示例为 sapcrypto.dll 或 c:\sapcryptolib\sapcryptolib.dll。 |
| SNC SSO | 指定连接器是否将使用服务标识或最终用户凭据。 设置为打开以使用最终用户的标识。 |
| SNC 合作伙伴名称 | 后端 SNC 服务器的名称。 示例 p:CN=SAPserver。 |
| SNC 保护质量 | 用于此特定目标或服务器的 SNC 通信的服务质量。 默认值由后端系统定义。 最大值由用于 SNC 的安全产品定义。 |
用户的 SAP SNC 名称必须与用户的 Active Directory 完全限定域名相同。 例如,p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM 必须与 JANEDOE@REDMOND.CORP.CONTOSO.COM 相同。
备注
仅 Microsoft Entra ID 身份验证 — Active DirectorySAP 服务主体帐户必须在 msDS-SupportedEncryptionType 属性上定义 AES 128 或 AES 256。
步骤 4:设置 SAP 服务器和用户帐户以允许操作
查看 SAP 备注 460089 - 外部 RFC 程序的最低授权配置文件,了解有关支持的用户帐户类型和每个操作类型所需的最低授权的更多信息,如远程函数调用 (RFC)、业务应用程序编程接口 (BAPI) 和中间文档 (IDOC)。
SAP 用户帐户需要访问 RFC_Metadata 功能组和以下操作的相应功能模块:
| 操作 | 访问功能模块 |
|---|---|
| RFC 操作 | RFC_GROUP_SEARCH 和 DD_LANGU_TO_ISOLA |
| 读取表操作 | 是 RFC BBP_RFC_READ_TABLE 或者 RFC_READ_TABLE |
| 为您的 SAP 连接授予对 SAP 服务器的严格最低访问权限 | RFC_METADATA_GET 和 RFC_METADATA_GET_TIMESTAMP |
相关内容
- [SAP 单一登录](https://help.sap.com/docs/SAP_SINGLE_SIGN-ON
- 适用于 SAP 单点登录的安全登录实施指南
- SAP Identity and Access Management(IAM)帮助门户
- SAP ERP 连接器
- Azure 逻辑应用 SAP 连接器
- 数据丢失防护(DLP)策略
- 混合架构设计