整合 Microsoft Entra ID 與 SAP NetWeaver

13 分鐘

整合 SAP NetWeaver 與 Microsoft Entra ID 可提供下列優點:

您可以在 Microsoft Entra ID 中控制可存取 SAP NetWeaver 的人員。
您可以讓使用者使用其 Microsoft Entra 帳戶自動登入 SAP NetWeaver (單一登入)。
您可以在 Azure 入口網站中集中管理您的帳戶。

若要設定 Microsoft Entra 與 SAP NetWeaver 的整合，您需要下列項目:

Microsoft Entra 訂用帳戶
啟用 SAP NetWeaver 單一登入的訂用帳戶
至少需要 SAP NetWeaver V7.20

SAP NetWeaver 支援 SP 起始的 SSO。

從資源庫新增 SAP NetWeaver

若要設定 SAP NetWeaver 與 Microsoft Entra ID 整合，首先需要從資源庫將 SAP NetWeaver 新增到受控 SaaS 應用程式清單中。

設定及測試 Microsoft Entra 單一登入

若要使用 SAP NetWeaver 設定 Microsoft Entra 單一登入，您需要使用下列步驟:

設定 Microsoft Entra 單一登入，讓使用者能夠使用此功能。
設定 SAP NetWeaver 單一登入 - 在應用程式端設定單一登入設定。
將 Microsoft Entra ID 測試使用者指派給 Microsoft Entra 應用程式。
建立 SAP NetWeaver 使用者與其 Microsoft Entra 使用者帳戶的連結。

設定 Microsoft Entra 單一登入

若要使用 SAP NetWeaver 設定 Microsoft Entra 單一登入，請執行下列步驟:

開啟新的 Web 瀏覽器視窗，以系統管理員身分登入您的 SAP NetWeaver 公司網站
確定 http 和 https 服務為作用中，並已在 SMICM T-Code 中指派適當的連接埠。
登入 SAP 系統 (T01) 的商務用戶端 (需要 SSO)，並啟用 HTTP 安全性工作階段管理。
移至交易代碼 SICF_SESSIONS。檢閱所有設定檔參數。根據您的組織需求進行調整，然後重新開機 SAP 系統。
按兩下相關用戶端，以啟用 HTTP 安全性工作階段。
啟用下列 SICF 服務：
- /sap/public/bc/sec/saml2
- /sap/public/bc/sec/cdc_ext_service
- /sap/bc/webdynpro/sap/saml2
- /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
在 SAP 系統 [T01/122] 的商務用戶端中，移至交易代碼 SAML2。它會在瀏覽器中開啟使用者介面。
提供您的使用者名稱和密碼以進入使用者介面，然後選取 [編輯]。
將 [提供者名稱] 從 T01122 變更為 <http://T01122>，然後選取 [儲存]。
根據預設，提供者名稱的格式為 [sid][client] 格式，但 Microsoft Entra ID 預期格式為 protocol://[sid][client]。建議您將提供者名稱維護為 https://[sid][client]，以允許在 Microsoft Entra ID 中設定多個 SAP NetWeaver ABAP 引擎。
產生服務提供者中繼資料：當您在 SAML 2.0 使用者介面上設定好 [本機提供者] 和 [信任的提供者] 設定後，下一個步驟涉及產生服務提供者的中繼資料檔案 (其中包含 SAP 中的所有設定、驗證內容和其他組態)。
在 [本機提供者] 索引標籤上，選取 [中繼資料]。
在電腦上儲存產生的 [中繼資料 XML 檔案]，然後在 [基本 SAML 設定] 區段中上傳該檔案，以在 Azure 入口網站中自動填入 [識別碼] 和 [回覆 URL] 值。
在 Azure 入口網站的 [SAP NetWeaver 應用程式整合] 頁面上，選取 [單一登入]。
在 [選取單一登入方法] 對話方塊中，選取 [SAML/WS-Fed] 模式以啟用單一登入。
在 [以 SAML 設定單一登入] 頁面上選取 [編輯] 圖示，以開啟 [基本 SAML 設定] 對話方塊。
在 [基本 SAML 組態] 區段上，執行下列步驟：
1. 選取 [上傳中繼資料] 檔案，上傳您稍早取得的 [服務提供者中繼資料檔案]。
2. 選取資料夾標誌以選取中繼資料檔案，然後選取 [上傳]。
3. 當中繼資料檔案成功上傳後，會自動在 [基本 SAML 設定] 區段文字方塊中填入 [識別碼] 及 [回覆 URL] 值，如下所示：
4. 在 [登入 URL] 文字方塊中，使用以下模式輸入 URL：https://[SAP NetWeaver 的公司執行個體]
SAP NetWeaver 應用程式需要特定格式的 SAML 判斷提示。宣告包括 givenname、surname、emailaddress、name 和 Unique User Identifier。您可以在應用程式整合頁面的 [使用者屬性] 區段中，管理這些屬性的值。
在 [以 SAML 設定單一登入] 頁面上選取 [編輯] 按鈕，以開啟 [使用者屬性] 對話方塊。
在 [使用者屬性] 對話方塊的 [使用者宣告] 區段中，設定 SAML 權杖屬性，然後執行下列步驟：
1. 選取 [編輯] 圖示以開啟 [管理使用者宣告] 對話方塊。
2. 從 [轉換] 清單中，選取 [ExtractMailPrefix()]。
3. 從 [參數 1] 清單中，選取 [user.userprinicipalname]。
4. 選取 [儲存]。
在 [以 SAML 設定單一登入] 頁面的 [SAML 簽署憑證] 區段中，選取 [下載]，以依據您的需求從指定選項下載同盟中繼資料 XML，並儲存在您的電腦上。
在 [設定 SAP NetWeaver] 區段上，依據您的需求複製適當的 URL。
- 登入 URL
- Microsoft Entra 識別碼
- 登出 URL

設定 SAP NetWeaver 單一登入

登入 SAP 系統並移至交易代碼 SAML2。這會開啟連往 SAML 組態畫面的新瀏覽器視窗。
若要設定信任的識別提供者 (Microsoft Entra ID) 的端點，請移至 [信任的提供者] 索引標籤。
按下 [新增]，然後從操作功能表中選取 [上傳中繼資料檔案]。
上傳您從 Azure 入口網站下載的中繼資料檔案。
在下一個畫面中輸入任意 [別名] 名稱。確定 [摘要演算法] 應該是 SHA-256，而不需要任何變更，並且按 [下一步]。
在 [單一登入端點] 上，使用 [HTTP POST] 並且選取 [下一步] 繼續。
在 [單一登入端點] 上，選取 [HTTPRedirect] 並且選取 [下一步] 繼續。
在 [成品端點]，按 [下一步] 繼續。
在 [驗證需求]上，接受預設設定，然後選取 [完成]。
移至 [信任提供者] 索引標籤，然後移至 [身分識別同盟]。
選取編輯。
選取 [身分識別同盟] 索引標籤下的 [新增]。
在快顯視窗中，從 [支援的 NameID 格式] 中選取 [未指定]，然後選取 [確定]。 [使用者識別碼來源] 和 [使用者識別碼對應模式] 值會決定 SAP 使用者與 Microsoft Entra 宣告之間的連結。
有兩種可能發生的案例：
- 案例：SAP 使用者與 Microsoft Entra 使用者對應。
- 案例：根據在 SU01 中設定的電子郵件地址選取 SAP 使用者識別碼。在此情況下，應針對每位需要 SSO 的使用者在 su01 中設定電子郵件識別碼。
選取 [儲存]，然後選取 [啟用] 以啟用識別提供者。

指派 Microsoft Entra 使用者

在 Azure 入口網站中，依序選取 [企業應用程式]、[所有應用程式] 及 [SAP NetWeaver]。在應用程式清單中，選取 [SAP NetWeaver]。

建立 SAP NetWeaver 使用者

若要讓 Microsoft Entra 使用者登入 SAP NetWeaver，您必須在 SAP NetWeaver 中佈建這些使用者。請與您內部的 SAP 專家小組或貴組織的 SAP 夥伴合作，在 SAP NetWeaver 平台中新增使用者。
若要確認結果，請在啟用識別提供者 Microsoft Entra ID 之後，存取 <https://sapurl/sap/bc/bsp/sap/it00/default.htm> (用實際的 SAP 主機名稱取代 sapurl) 以檢查 SSO。系統應該不會提示要求使用者名稱和密碼。