Tutorial: Integração do logon único (SSO) do Microsoft Entra com o SAP Fiori
Neste tutorial, você aprenderá a integrar o SAP Fiori ao Microsoft Entra ID. Ao integrar o SAP Fiori ao Microsoft Entra ID, você pode:
- Controle no Microsoft Entra ID quem tem acesso ao SAP Fiori.
- Permita que seus usuários façam login automaticamente no SAP Fiori com suas contas Microsoft Entra.
- Gerencie suas contas em um local central.
Pré-requisitos
Para começar, você precisa dos seguintes itens:
- Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
- Assinatura habilitada para logon único (SSO) do SAP Fiori.
Descrição do cenário
Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.
- O SAP Fiori suporta SSO iniciado por SP
Nota
Para a autenticação iFrame iniciada pelo SAP Fiori, recomendamos o uso do parâmetro IsPassive no SAML AuthnRequest para autenticação silenciosa. Para obter mais detalhes sobre o parâmetro IsPassive consulte Informações de logon único do Microsoft Entra SAML.
Adicionando o SAP Fiori da galeria
Para configurar a integração do SAP Fiori no Microsoft Entra ID, você precisa adicionar o SAP Fiori da galeria à sua lista de aplicativos SaaS gerenciados.
- Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
- Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
- Na seção Adicionar da galeria, digite SAP Fiori na caixa de pesquisa.
- Selecione SAP Fiori no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.
Configurar e testar o Microsoft Entra SSO para SAP Fiori
Configure e teste o Microsoft Entra SSO com o SAP Fiori usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no SAP Fiori.
Para configurar e testar o Microsoft Entra SSO com o SAP Fiori, execute as seguintes etapas:
- Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
- Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
- Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
- Configure o SAP Fiori SSO - para configurar as configurações de logon único no lado do aplicativo.
- Teste SSO - para verificar se a configuração funciona.
Configurar o Microsoft Entra SSO
Siga estas etapas para habilitar o Microsoft Entra SSO.
Abra uma nova janela do navegador da Web e faça login no site da empresa SAP Fiori como administrador.
Certifique-se de que os serviços http e https estão ativos e que as portas relevantes estão atribuídas ao código de transação SMICM.
Faça login no SAP Business Client para SAP system T01, onde o logon único é necessário. Em seguida, ative o Gerenciamento de Sessão de Segurança HTTP.
Vá para o código de transação SICF_SESSIONS. Todos os parâmetros de perfil relevantes com valores atuais são mostrados. Eles se parecem com o seguinte exemplo:
login/create_sso2_ticket = 2 login/accept_sso2_ticket = 1 login/ticketcache_entries_max = 1000 login/ticketcache_off = 0 login/ticket_only_by_https = 0 icf/set_HTTPonly_flag_on_cookies = 3 icf/user_recheck = 0 http/security_session_timeout = 1800 http/security_context_cache_size = 2500 rdisp/plugin_auto_logout = 1800 rdisp/autothtime = 60
Nota
Ajuste os parâmetros com base nos requisitos da sua organização. Os parâmetros anteriores são dados apenas como exemplo.
Se necessário, ajuste os parâmetros no perfil da instância (padrão) do sistema SAP e reinicie o sistema SAP.
Clique duas vezes no cliente relevante para habilitar uma sessão de segurança HTTP.
Ative os seguintes serviços SICF:
/sap/public/bc/sec/saml2 /sap/public/bc/sec/cdc_ext_service /sap/bc/webdynpro/sap/saml2 /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
Vá para o código de transação SAML2 no sistema Business Client for SAP [T01/122]. A interface do usuário de configuração é aberta em uma nova janela do navegador. Neste exemplo, usamos o sistema Business Client for SAP 122.
Introduza o seu nome de utilizador e palavra-passe e, em seguida, selecione Iniciar sessão.
Na caixa Nome do Provedor, substitua T01122 por http://T01122e selecione Salvar.
Nota
Por padrão, o nome do provedor está no formato <sid><client>. Microsoft Entra ID espera o nome no formato <protocol>://<name>. Recomendamos que você mantenha o nome do provedor como cliente> https://< sid><para que possa configurar vários mecanismos SAP Fiori ABAP no Microsoft Entra ID.
Selecione Metadados da guia> Provedor Local.
Na caixa de diálogo Metadados SAML 2.0, baixe o arquivo XML de metadados gerado e salve-o em seu computador.
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Identity>Applications>Enterprise applications>SAP Fiori>Single sign-on.
Na página Selecione um método de logon único, selecione SAML.
Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.
Na seção Configuração Básica do SAML, se você tiver o arquivo de metadados do Provedor de Serviços, execute as seguintes etapas:
Clique em Carregar arquivo de metadados.
Clique no logotipo da pasta para selecionar o arquivo de metadados e clique em Carregar.
Quando o arquivo de metadados é carregado com êxito, os valores de URL de Identificador e Resposta são preenchidos automaticamente no painel Configuração Básica do SAML. Na caixa URL de início de sessão, introduza um URL com o seguinte padrão:
https://<your company instance of SAP Fiori>
.Nota
Alguns clientes encontraram um erro de uma URL de resposta incorreta configurada para sua instância. Se você receber esse erro, use esses comandos do PowerShell. Primeiro, atualize as URLs de resposta no objeto de aplicativo com a URL de resposta e, em seguida, atualize a entidade de serviço. Use o Get-MgServicePrincipal para obter o valor da ID da entidade de serviço.
$params = @{ web = @{ redirectUris = "<Your Correct Reply URL>" } } Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
O aplicativo SAP Fiori espera que as asserções SAML estejam em um formato específico. Configure as seguintes declarações para este aplicativo. Para gerenciar esses valores de atributo, no painel Configurar Logon Único com SAML , selecione Editar.
No painel Atributos do Usuário & Declarações , configure os atributos de token SAML conforme mostrado na imagem anterior. Em seguida, conclua as seguintes etapas:
Selecione Editarpara abrir o painel Gerenciar declarações do usuário.
Na lista Transformação, selecione ExtractMailPrefix().
Na lista Parâmetro 1, selecione user.userprincipalname.
Selecione Guardar.
Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize XML de Metadados de Federação e selecione Download para baixar o certificado e salvá-lo em seu computador.
Na seção Configurar o SAP Fiori, copie o(s) URL(s) apropriado(s) com base em sua necessidade.
Criar um usuário de teste do Microsoft Entra
Nesta seção, você criará um usuário de teste chamado B.Simon.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
- Aceder a Identidade>Utilizadores>Todos os Utilizadores.
- Selecione Novo usuário Criar novo usuário>, na parte superior da tela.
- Nas propriedades do usuário , siga estas etapas:
- No campo Nome para exibição , digite
B.Simon
. - No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo,
B.Simon@contoso.com
. - Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
- Selecione Rever + criar.
- No campo Nome para exibição , digite
- Selecione Criar.
Atribuir o usuário de teste do Microsoft Entra
Nesta seção, você permitirá que B.Simon use o logon único concedendo acesso ao SAP Fiori.
- Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
- Navegue até Identity>Applications>Enterprise applications>SAP Fiori.
- Na página de visão geral do aplicativo, selecione Usuários e grupos.
- Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
- Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
- Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
- Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.
Configurar o SAP Fiori SSO
Entre no sistema SAP e vá para o código de transação SAML2. Uma nova janela do navegador é aberta com a página de configuração SAML.
Para configurar pontos de extremidade para um provedor de identidade confiável (ID do Microsoft Entra), selecione a guia Provedores Confiáveis .
Selecione Adicionar e, em seguida, selecione Carregar arquivo de metadados no menu de contexto.
Carregue o arquivo de metadados que você baixou. Selecione Seguinte.
Na página seguinte, na caixa Alias , digite o nome do alias. Por exemplo, aadsts. Selecione Seguinte.
Certifique-se de que o valor na caixa Algoritmo Digest é SHA-256. Selecione Seguinte.
Em Pontos de extremidade de logon único, selecione HTTP POST e, em seguida, selecione Avançar.
Em Pontos de extremidade de logout único, selecione Redirecionamento HTTP e, em seguida, selecione Avançar.
Em Pontos de extremidade de artefato, selecione Avançar para continuar.
Em Requisitos de autenticação, selecione Concluir.
Selecione Federação de Identidade de Provedor Confiável>(na parte inferior da página). Selecione Editar.
Selecione Adicionar.
Na caixa de diálogo Formatos de NameID Suportados , selecione Não especificado. Selecione OK.
Os valores para User ID Source e User ID Mapping Mode determinam o vínculo entre o usuário SAP e a declaração Microsoft Entra.
Cenário 1: Mapeamento de usuário SAP para usuário Microsoft Entra
No SAP, em Detalhes do formato NameID "Não especificado", observe os detalhes:
No portal do Azure, em User Attributes & Claims, observe as declarações necessárias do Microsoft Entra ID.
Cenário 2: Selecione o ID de usuário SAP com base no endereço de e-mail configurado no SU01. Neste caso, o ID de e-mail deve ser configurado em SU01 para cada usuário que requer SSO.
No SAP, em Detalhes do formato NameID "Não especificado", observe os detalhes:
No portal do Azure, em User Attributes & Claims, observe as declarações necessárias do Microsoft Entra ID.
Selecione Salvar e, em seguida, selecione Habilitar para habilitar o provedor de identidade.
Selecione OK quando solicitado.
Criar usuário de teste do SAP Fiori
Nesta seção, você cria um usuário chamado Brenda Fernandes no SAP Fiori. Trabalhe com sua equipe interna de especialistas SAP ou com seu parceiro SAP da organização para adicionar o usuário à plataforma SAP Fiori.
SSO de teste
Depois que o provedor de identidade Microsoft Entra ID for ativado no SAP Fiori, tente acessar uma das seguintes URLs para testar o logon único (você não deve ser solicitado a fornecer um nome de usuário e senha):
https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
Nota
Substitua
<sap-url>
pelo nome real do host SAP.A URL de teste deve levá-lo para a seguinte página do aplicativo de teste no SAP. Se a página for aberta, o logon único do Microsoft Entra será configurado com êxito.
Se for solicitado um nome de usuário e uma senha, habilite o rastreamento para ajudar a diagnosticar o problema. Use a seguinte URL para o rastreamento:
https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#
.
Próximos passos
Depois de configurar o SAP Fiori, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.