将 Microsoft Entra ID 与 SAP Cloud Platform Identity Authentication 集成

  • 9 分钟

将 SAP Cloud Platform Identity Authentication 与 Microsoft Entra ID 集成具有以下优势:

  • 可以在 Microsoft Entra ID 中控制谁有权访问 SAP Cloud Platform Identity Authentication。
  • 它使用户能够通过其 Microsoft Entra 帐户自动登录到 SAP Cloud Platform Identity Authentication。
  • 可在中心位置(即 Azure 门户)管理帐户。

要配置 SAP Cloud Platform Identity Authentication 到 Microsoft Entra ID 中的集成,请首先将 SAP Cloud Platform Identity Authentication 从 Microsoft Entra 应用程序库添加到托管型 SaaS 应用的列表。

配置并测试基于 Microsoft Entra ID 的单一登录

接下来,需要使用以下一系列步骤来配置和测试基于 Microsoft Entra ID 的 SSO:

  1. 配置 Microsoft Entra 单一登录 - 使用户能够使用此功能。
  2. 配置 SAP Cloud Platform Identity Authentication 单一登录 - 在应用程序端配置单一登录设置。
  3. 将 Microsoft Entra 用户分配到 SAP Cloud Platform Identity Authentication。

配置 Microsoft Entra 单一登录

  1. 在 Azure 门户中的“SAP Cloud Platform Identity Authentication 应用程序集成”页上,选择“单一登录”。

  2. 在“选择单一登录方法”页上,选择“SAML/WS-Fed”模式以启用单一登录。

  3. 在“设置 SAML 单一登录”页上,选择“编辑”图标以打开“基本 SAML 配置”对话框。

  4. 在“基本 SAML 配置”部分:

    • 若要配置“IDP 启动的”模式,请指定 SAP Cloud Platform IAS 租户标识符(实体 ID)和相应的回复 URL(断言使用者服务 URL)。
    • 若要在“SP 启动的”模式下配置应用程序,请选择“设置其他 URL”并提供登录 URL。

若要获取这些值,可以联系 SAP Cloud Platform Identity Authentication Client 支持团队

SAP Cloud Platform Identity Authentication 应用程序要求 SAML 断言采用特定格式。 为此应用程序配置相关声明,包括姓氏、名字、电子邮件、名称和唯一用户标识符。 可以在应用程序集成页的“用户属性”部分管理这些属性的值。

配置 SAP Cloud Platform Identity Authentication 单一登录

若要为应用程序配置 SSO,请导航到“SAP Cloud Platform Identity Authentication 管理控制台”。 在“标识提供者”下,选择“企业标识提供者”磁贴。 选择“添加”按钮,创建 Microsoft Entra 企业标识提供者。 在“SAML 2.0”下,选择“SAML 2.0 配置”。

上传 Microsoft Entra 元数据 XML 文件或手动配置以下字段:

  • 名称:企业标识提供者的实体 ID。
  • 单一登录终结点 URL:接收身份验证请求的标识提供者单一登录终结点的 URL。 对于“绑定”,请选择对应于相应的单一登录终结点的绑定。
  • 单一注销终结点 URL:标识提供者的单一注销终结点的 URL,用于接收注销消息。 对于“绑定”,请选择对应于各自单一注销终结点的绑定。
  • 签名证书:标识提供者用来对发送到 Identity Authentication 的 SAML 协议消息进行数字签名的 base64 编码证书。

分配 Microsoft Entra 用户

  1. 在 Azure 门户中依次选择“企业应用程序”、“所有应用程序”、“SAP Cloud Platform Identity Authentication”。

  2. 在应用程序列表中,选择“SAP Cloud Platform Identity Authentication”

  3. 在 Azure 门户中,选择“用户和组”。

  4. 选择“添加用户”按钮,然后在“添加分配”对话框中选择要分配给应用程序的用户和组。

  5. 如果你预计 SAML 断言中存在角色值,则在“选择角色”对话框中从列表中为用户选择适当的角色,然后单击屏幕底部的“选择”按钮。 在“添加分配”对话框中,选择“分配”按钮。

    备注

    无需在 SAP Cloud Platform Identity Authentication 上创建用户。 Microsoft Entra 用户存储中的用户可以使用 SSO 功能。 SAP Cloud Platform Identity Authentication 支持“联合身份验证”选项。 使用此选项,应用可以检查 SAP Cloud Platform Identity Authentication 的用户存储中是否有经过公司标识提供者验证的用户。 “联合身份验证”选项默认处于禁用状态。 如果启用了“联合身份验证”,只有已导入 SAP Cloud Platform Identity Authentication 的用户才能访问应用。

  6. 若要验证结果,请选择访问面板中的“SAP Cloud Platform Identity Authentication”磁贴。 应会自动登录到为其设置了 SSO 的 SAP Cloud Platform Identity Authentication。