整合 Microsoft Entra ID 與 SAP Cloud Platform Identity Authentication

9 分鐘

整合 SAP Cloud Platform Identity Authentication 與 Microsoft Entra ID，提供下列優點：

您可以在 Microsoft Entra ID 中控制可存取 SAP Cloud Platform Identity Authentication 的人員。
讓使用者使用其 Microsoft Entra 帳戶自動登入 SAP Cloud Platform Identity Authentication。
您可以在 Azure 入口網站中集中管理您的帳戶。

從資源庫新增 SAP Cloud Platform Identity Authentication

若要設定將 SAP Cloud Platform Identity Authentication 整合到 Microsoft Entra ID 中，請先將 SAP Cloud Platform Identity Authentication，從 Microsoft Entra 應用程式庫新增到受控 SaaS 應用程式清單中。

設定及測試 Microsoft Entra ID 型單一登入

接下來，您必須使用下列一連串步驟，設定及測試以 Microsoft Entra ID 為基礎的 SSO：

設定 Microsoft Entra 單一登入，讓使用者能夠使用此功能。
設定 SAP Cloud Platform Identity Authentication 單一登入 - 在應用程式端設定單一登入設定。
將 Microsoft Entra 使用者指派給 SAP Cloud Platform Identity Authentication。

設定 Microsoft Entra 單一登入

在 Azure 入口網站的 [SAP Cloud Platform Identity Authentication 應用程式整合] 頁面上，選取 [單一登入]。
在 [選取單一登入方法] 頁面中，選取 [SAML/WS-Fed] 模式以啟用單一登入。
在 [以 SAML 設定單一登入] 頁面上選取 [編輯] 圖示，以開啟 [基本 SAML 設定] 對話方塊。
在 [基本 SAML 組態] 區段上：
- 若要設定 IDP 起始模式，請指定 SAP Cloud Platform IAS 租用戶識別碼 (實體識別碼) 和對應的回覆 URL (判斷提示取用者服務 URL)。
- 若要以 SP 起始模式設定應用程式，請選取 [設定其他 URL]，然後提供登入 URL。

若要取得這些值，您可以連絡 SAP Cloud Platform Identity Authentication 用戶端支援小組。

SAP Cloud Platform Identity Authentication 應用程式需要特定格式的 SAML 判斷提示。設定此應用程式的相關宣告，包括 givenname、surname、emailaddress、name 和不重複使用者識別碼。您可以在應用程式整合頁面的 [使用者屬性] 區段中管理這些屬性的值。

設定 SAP Cloud Platform Identity Authentication 單一登入

若要為您的應用程式設定 SSO，請瀏覽至 SAP Cloud Platform Identity Authentication 管理主控台。在 [識別提供者] 中，選擇 [公司識別提供者] 圖格。選擇 [新增] 按鈕以建立 Microsoft Entra 公司識別提供者。在 [SAML 2.0] 中，選擇 [SAML 2.0 設定]。

上傳 Microsoft Entra 中繼資料 XML 檔案，或手動設定下列欄位：

名稱：公司識別提供者的實體識別碼。
單一登入端點 URL：接收驗證要求的識別提供者單一登入端點 URL。針對 [繫結]，請選擇對應至個別單一登入端點的繫結。
單一登出端點 URL：識別提供者單一登出端點的 URL，用於接收登出訊息。針對 [繫結]，請選擇對應至個別單一登出端點的繫結。
簽署憑證：身分識別提供者使用的 base64 編碼憑證，以數位方式簽署傳送至 Identity Authentication 的 SAML 通訊協定訊息。

指派 Microsoft Entra 使用者