整合 Microsoft Entra ID 與 SAP Fiori

  • 11 分鐘

整合 SAP Fiori 與 Microsoft Entra ID 可提供下列優點:

  • 您可以使用 Microsoft Entra ID 來控制可以存取 SAP Fiori 的使用者。
  • 使用者可以使用其 Microsoft Entra 帳戶自動登入 SAP Fiori (單一登入)。
  • 您可以在 Azure 入口網站中集中管理您的帳戶。

若要設定 Microsoft Entra 與 SAP Fiori 整合,您需要下列項目:

  • Microsoft Entra 訂用帳戶。
  • 已啟用單一登入的 SAP Fiori 訂用帳戶。
  • 需要 SAP Fiori 7.20 或更新版本。

若要整合 SAP Fiori 與 Microsoft Entra ID,您必須先將 SAP Fiori 從 SaaS 應用程式庫新增至受控 SaaS 應用程式清單。

設定 SAP Fiori 的 Microsoft Entra 單一登入

若要讓單一登入能夠運作,您必須建立 Microsoft Entra 使用者與 SAP Fiori 中相關使用者之間的連結關聯性。 請完成下列工作:

  1. 設定 Microsoft Entra 單一登入,讓使用者能夠使用此功能。
  2. 設定 SAP Fiori 單一登入。
  3. 將 Microsoft Entra 使用者指派給 SAP Fiori 應用程式。
  4. 建立 SAP Fiori 使用者與其 Microsoft Entra 使用者帳戶的連結。

設定 Microsoft Entra 單一登入

  1. 開啟新的網頁瀏覽器視窗,並以系統管理員身分登入您的 SAP Fiori 公司網站。 確定 http 和 https 服務為作用中,且相關連接埠已指派給交易代碼 SMICM。

  2. 登入 SAP 系統 T01 的 SAP 商務用戶端,此為需要單一登入之處。 接著,啟動 HTTP 安全性工作階段管理。 移至交易碼 SICF_SESSIONS 並檢閱設定檔參數。 根據貴組織的需求調整參數,然後重新啟動 SAP 系統。

  3. 啟用下列 SICF 服務:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. 在 SAP 系統 [T01/122] 的商務用戶端中,移至交易代碼 SAML2。 設定 UI 會在新的瀏覽器視窗中開啟。 輸入您的使用者名稱和密碼,然後選取 [登入]

  5. 在 [提供者名稱] 方塊中,將 T01122 取代為 <http://T01122>,然後選取 [儲存]

    注意

    根據預設,提供者名稱會採用 sid>client> 的格式。 Microsoft Entra ID 預期該名稱應採用 protocol://name 的格式。 建議您保留 https:// _sid-client_ 格式的提供者名稱,以便在 Microsoft Entra ID 中設定多個 SAP Fiori ABAP 引擎。

  6. 選取 [本機提供者] 索引標籤/[中繼資料]。 在 [SAML 2.0 中繼資料] 對話方塊中,下載產生的中繼資料 XML 檔案,並將其儲存在您的電腦上。

  7. 在 Azure 入口網站的 [SAP Fiori 應用程式整合] 窗格中,選取 [單一登入]

  8. 在 [選取單一登入方法] 窗格中,選取 [SAML] 或 [SAML/WS-Fed] 模式以啟用單一登入。

  9. 在 [設定使用 SAML 的單一登入] 窗格中選取 [編輯] (鉛筆圖示),以開啟 [基本 SAML 設定] 窗格。

  10. 在 [基本 SAML 設定] 區端中,選取 [上傳中繼資料檔案] 並使用 [上傳中繼資料檔案] 選項,上船稍早所下載的中繼資料檔案。

  11. 成功上傳中繼資料檔案後,就會在 [基本 SAML 設定] 窗格中自動填入 [識別碼] 和 [回覆 URL] 值。 在 [登入 URL] 方塊中,輸入具有下列模式的 URL:https://[SAP Fiori 的貴公司執行個體]

  12. SAP Fiori 應用程式需要特定格式的 SAML 判斷提示。 宣告包括 givennamesurnameemailaddressnameUnique User Identifier。 若要管理這些值,請在 [以 SAML 設定單一登入] 窗格中選取 [編輯]

  13. 在 [使用者屬性和宣告] 窗格中,設定 SAML 權杖屬性。 然後完成下列步驟:

    • 選取 [編輯] 以開啟 [管理使用者宣告] 窗格。
    • 在 [轉換] 清單中,選取 [ExtractMailPrefix()]
    • 在 [參數 1] 清單中,選取 [user.userprinicipalname]

  14. 在 [設定使用 SAML 的單一登入] 窗格的 [SAML 簽署憑證] 區段中,選取 [同盟中繼資料 XML] 旁邊的 [下載]

  15. 根據您的需求選取下載選項。 將憑證儲存在您的電腦上。

  16. 在 [設定 SAP Fiori] 區段中,依據您的需求複製下列 URL:

    • 登入 URL
    • Microsoft Entra 識別碼
    • 登出 URL

設定 SAP Fiori 單一登入

  1. 登入 SAP 系統並移至交易代碼 SAML2。 在新瀏覽器視窗中開啟 SAML 設定頁面。

  2. 若要設定信任的識別提供者 (Microsoft Entra ID) 的端點,請選取 [信任的提供者] 索引標籤。

  3. 選取 [新增],然後從操作功能表中選取 [上傳中繼資料檔案]

  4. 上傳您在 Azure 入口網站中下載的中繼資料檔案。

  5. 在下一個頁面的 [別名] 方塊中,輸入任意別名名稱。

  6. 確定 [演算法] 方塊中的值為 SHA-256

  7. 在 [單一登入端點] 下方選取 [HTTP POST]

  8. 在 [單一登出端點] 下方選取 [HTTP 重新導向]

  9. 接受成品端點驗證需求的預設設定。

  10. 依序選取 [受信任的提供者] / [識別同盟和未指定的支援 NameID 格式]

  11. [使用者識別碼來源] 和 [使用者識別碼對應模式] 的值會決定 SAP 使用者與 Microsoft Entra 宣告之間的連結。 支援的案例有兩種:

    • 案例 1:SAP 使用者與 Microsoft Entra 使用者對應
    • 案例 2:根據 SU01 中已設定的電子郵件地址選取 SAP 使用者識別碼。 在此情況下,應針對每個需要 SSO 的使用者在 SU01 中設定電子郵件識別碼。

指派 Microsoft Entra 使用者

  1. 在 Azure 入口網站中,依序選取 [企業應用程式]、[所有應用程式] 及 [SAP Fiori]

  2. 在應用程式清單中,選取 [SAP Fiori]

  3. 若要在 SAP Fiori 中啟用識別提供者 Microsoft Entra ID 之後驗證結果,請嘗試存取下列其中一個 URL,以指派的使用者身分測試單一登入 (系統應該不會提示您輸入使用者名稱和密碼):