将 Microsoft Entra ID 与 SAP Fiori 集成

已完成

将 SAP Fiori 与 Microsoft Entra ID 集成可带来以下优势：

• 可以使用 Microsoft Entra ID 来控制谁有权访问 SAP Fiori。
• 用户可以使用其 Microsoft Entra 帐户（单一登录）自动登录到 SAP Fiori。
• 可在一个中心位置（即 Azure 门户）管理帐户。

若要配置 Microsoft Entra 与 SAP Fiori 的集成，需要以下项：

• 一个 Microsoft Entra 订阅。
• 启用了单一登录的 SAP Fiori 订阅。
• 需要 SAP Fiori 7.20 或更高版本。

从库中添加 SAP Fiori

若要将 SAP Fiori 与 Microsoft Entra ID 集成，必须先将 SAP Fiori 从 SaaS 应用程序库添加到托管 SaaS 应用列表。

为 SAP Fiori 配置 Microsoft Entra 单一登录

要使单一登录生效，必须在 Microsoft Entra 用户与 SAP Fiori 中的相关用户之间建立链接关系。 完成以下任务：

1. 配置 Microsoft Entra 单一登录，使用户能够使用此功能。
2. 配置 SAP Fiori 单一登录。
3. 将 Microsoft Entra 用户分配到 SAP Fiori 应用程序。
4. 创建链接到其 Microsoft Entra 用户帐户的 SAP Fiori 用户。

配置 Microsoft Entra 单一登录

1. 打开新的 Web 浏览器窗口，以管理员身份登录 SAP Fiori 公司站点。 请确保“http”和“https”服务处于活动状态，并且已对事务代码 SMICM 分配相关端口 。

2. 登录适用于 SAP 系统 T01 的 SAP Business Client（需要单一登录） 。 然后，激活 HTTP 安全会话管理。 转到事务代码 SICF_SESSIONS 并查看配置文件参数。 根据组织要求调整参数，并重启 SAP 系统。

3. 激活以下 SICF 服务：

   • /sap/public/bc/sec/saml2
   • /sap/public/bc/sec/cdc_ext_service
   • /sap/bc/webdynpro/sap/saml2
   • /sap/bc/webdynpro/sap/sec_diag_tool（仅用于启用/禁用跟踪）

4. 转到 SAP 系统 [T01/122] 的 Business Client 中的事务代码“SAML2” 。 配置 UI 将在新浏览器窗口中打开。 输入用户名和密码，然后选择“登录” 。

5. 在“提供程序名称”框中，将“T01122”替换为“<http://T01122>”，然后选择“保存”。

   注意

   默认情况下，提供程序名称的格式为 _sid-client_。 Microsoft Entra ID 预期的名称的格式为 protocol://name。 建议将提供程序名称保留为 https:// _sid-client_，以便可以在 Microsoft Entra ID 中配置多个 SAP Fiori ABAP 引擎。

6. 选择“本地提供者”选项卡/“元数据”。 在“SAML 2.0 元数据”对话框中，下载生成的元数据 XML 文件并将其保存在计算机上 。

7. 在 Azure 门户的“SAP Fiori 应用程序集成”窗格中，选择“单一登录”。

8. 在“选择单一登录方法”窗格中，选择“SAML”或“SAML/WS-Fed”模式以启用单一登录 。

9. 在“设置 SAML 单一登录”窗格中，选择“编辑”（铅笔图标）以打开“基本 SAML 配置”窗格 。

10. 在“基本 SAML 配置”部分选择“上传元数据文件”，使用“上传元数据文件”选项来上传之前下载的元数据文件。

11. 成功上传元数据文件后，“标识符”和“回复 URL”值会自动填充在“基本 SAML 配置”窗格中 。 在“登录 URL”框中，输入以下模式的 URL：https://[你的 SAP Fiori 公司实例]。

12. SAP Fiori 应用程序需要特定格式的 SAML 断言。 声明包括姓氏、名字、电子邮件地址、名称和唯一用户标识符。 若要管理其值，请在“设置 SAML 单一登录”窗格中选择“编辑”。

13. 在“用户属性和声明”窗格中，配置 SAML 令牌属性。 然后完成以下步骤：

    • 选择“编辑”以打开“管理用户声明”窗格 。
    • 在“转换”列表中，选择“ExtractMailPrefix()” 。
    • 在“参数 1”列表中，选择“user.userprinicipalname”。

14. 在“设置 SAML 单一登录”页的“SAML 签名证书”部分，选择“联合元数据 XML”旁边的“下载” 。

15. 根据需要选择下载选项。 将证书保存在计算机上。

16. 在“设置 SAP Fiori”部分，根据需要复制以下 URL：

    • 登录 URL
    • Microsoft Entra 标识符
    • 注销 URL

配置 SAP Fiori 单一登录

1. 登录到 SAP 系统并转到事务代码 SAML2 。 将打开显示 SAML 配置页面的新浏览器窗口。

2. 要为受信任的标识提供程序 (Microsoft Entra ID) 配置终结点，请选择“受信任的提供程序”选项卡。

3. 选择“添加”，然后从上下文菜单选择“上传元数据文件” 。

4. 上传从 Azure 门户下载的元数据文件。

5. 在下一页的“别名”框中，输入任意别名。

6. 确保“摘要算法”框中的值为 SHA-256 。

7. 在“单一登录终结点”下，选择“HTTP POST”。

8. 在“单一注销终结点”下，选择“HTTP 重定向”。

9. 接受“项目终结点”和“身份验证要求”的默认设置。

10. 选择“受信任的提供者” / “联合身份验证和未指定的受支持的 NameID 格式”。

11. “用户 ID 源”和“用户 ID 映射模式”的值确定 SAP 用户与 Microsoft Entra 声明之间的链接。 支持以下两种方案：

    • 方案 1：SAP 用户到 Microsoft Entra 用户映射
    • 场景 2：根据 SU01 中配置的电子邮件地址选择 SAP 用户 ID。 在这种情况下，应在 SU01 中为每个需要 SSO 的用户配置电子邮件 ID。

分配 Microsoft Entra 用户

1. 在 Azure 门户中，依次选择“企业应用程序”、“所有应用程序”、“SAP Fiori”。

2. 在“应用程序”列表中，选择“SAP Fiori” 。

3. 若要验证结果，请在 SAP Fiori 中激活标识提供者 Microsoft Entra ID 后尝试访问以下 URL 之一，以便测试以已分配用户身份进行的单一登录（系统不会提示你输入用户名和密码）：

   • https://help.sap.com/doc/saphelp_nw73ehp1/7.31.19/en-US/49/4594d63a293b5be10000000a42189b/content.htm
   • https://help.sap.com/doc/saphelp_nw73ehp1/7.31.19/en-US/49/4594d63a293b5be10000000a42189b/content.htm