Integre o Microsoft Entra ID com o SAP Fiori

  • 11 minutos

A integração do SAP Fiori com o Microsoft Entra ID oferece os seguintes benefícios:

  • Você pode usar o Microsoft Entra ID para controlar quem tem acesso ao SAP Fiori.
  • Os usuários podem ser conectados automaticamente ao SAP Fiori com suas contas Microsoft Entra (logon único).
  • Você pode gerenciar suas contas em um local central, o portal do Azure.

Para configurar a integração do Microsoft Entra com o SAP Fiori, você precisa dos seguintes itens:

  • Uma assinatura do Microsoft Entra.
  • Uma assinatura SAP Fiori com logon único habilitado.
  • É necessário SAP Fiori 7.20 ou posterior.

Para integrar o SAP Fiori com o Microsoft Entra ID, você deve primeiro adicionar o SAP Fiori da galeria de aplicativos SaaS à sua lista de aplicativos SaaS gerenciados.

Configurar o logon único do Microsoft Entra com o SAP Fiori

Para que o logon único funcione, você deve estabelecer uma relação vinculada entre um usuário do Microsoft Entra e o usuário relacionado no SAP Fiori. Conclua as seguintes tarefas:

  1. Configure o logon único do Microsoft Entra para permitir que seus usuários usem esse recurso.
  2. Configure o logon único do SAP Fiori.
  3. Atribua usuários do Microsoft Entra ao aplicativo SAP Fiori.
  4. Crie usuários do SAP Fiori vinculados às suas contas de usuário do Microsoft Entra.

Configurar o logon único do Microsoft Entra

  1. Abra uma nova janela do navegador da Web e faça login no site da empresa SAP Fiori como administrador. Certifique-se de que os serviços http e https estão ativos e que as portas relevantes estão atribuídas ao código de transação SMICM.

  2. Faça login no SAP Business Client para SAP system T01, onde o logon único é necessário. Em seguida, ative o Gerenciamento de Sessão de Segurança HTTP. Vá para o código de transação SICF_SESSIONS e revise os parâmetros do perfil. Ajuste os parâmetros com base nos requisitos da sua organização e reinicie o sistema SAP.

  3. Ative os seguintes serviços SICF:

    • /sap/public/bc/seg/saml2
    • /sap/public/bc/seg/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (Isto é apenas para ativar / desativar o rastreamento)

  4. Vá para o código de transação SAML2 no sistema Business Client for SAP [T01/122]. A interface do usuário de configuração é aberta em uma nova janela do navegador. Introduza o seu nome de utilizador e palavra-passe e, em seguida, selecione Iniciar sessão.

  5. Na caixa Nome do Provedor, substitua T01122 por <http://T01122>e selecione Salvar.

    Nota

    Por padrão, o nome do provedor está no formato _sid-client_. Microsoft Entra ID espera o nome no formato protocol://name. Recomendamos que você mantenha o nome do provedor como https:// _sid-client_ para que possa configurar vários mecanismos SAP Fiori ABAP no Microsoft Entra ID.

  6. Selecione a guia Provedor Local / Metadados. Na caixa de diálogo Metadados SAML 2.0, baixe o arquivo XML de metadados gerado e salve-o em seu computador.

  7. No portal do Azure, no painel de integração de aplicativos SAP Fiori, selecione Logon único.

  8. No painel Selecione um método de logon único, selecione o modo SAML ou SAML/WS-Fed para habilitar o logon único.

  9. No painel Configurar Logon Único com SAML, selecione Editar (o ícone de lápis) para abrir o painel Configuração Básica do SAML.

  10. Na seção Configuração Básica do SAML, selecione Carregar arquivo de metadados e use a opção Carregar arquivo de metadados para carregar o arquivo de metadados baixado anteriormente.

  11. Quando o arquivo de metadados é carregado com êxito, os valores de URL de Identificador e Resposta são preenchidos automaticamente no painel Configuração Básica do SAML. Na caixa URL de logon, insira uma URL com o seguinte padrão: https://[instância da sua empresa do SAP Fiori].

  12. O aplicativo SAP Fiori espera que as asserções SAML estejam em um formato específico. As reivindicações, incluindo nome próprio, sobrenome, endereço de e-mail, nome e identificador de usuário exclusivo. Para gerenciar seus valores, no painel Configurar Logon Único com SAML , selecione Editar.

  13. No painel Atributos do Usuário & Declarações , configure os atributos de token SAML. Em seguida, conclua as seguintes etapas:

    • Selecione Editar para abrir o painel Gerenciar declarações do usuário.
    • Na lista Transformação, selecione ExtractMailPrefix().
    • Na lista Parâmetro 1, selecione user.userprinicipalname.

  14. No painel Configurar Logon Único com SAML, na seção Certificado de Assinatura SAML, selecione Download ao lado de XML de Metadados de Federação.

  15. Selecione uma opção de download com base em suas necessidades. Guarde o certificado no seu computador.

  16. Na seção Configurar o SAP Fiori , copie as seguintes URLs com base em suas necessidades:

    • Iniciar Sessão no URL
    • Identificador Microsoft Entra
    • URL de fim de sessão

Configurar o logon único do SAP Fiori

  1. Entre no sistema SAP e vá para o código de transação SAML2. Uma nova janela do navegador é aberta com a página de configuração SAML.

  2. Para configurar pontos de extremidade para um provedor de identidade confiável (ID do Microsoft Entra), selecione a guia Provedores Confiáveis .

  3. Selecione Adicionar e, em seguida, selecione Carregar arquivo de metadados no menu de contexto.

  4. Carregue o arquivo de metadados que você baixou no portal do Azure.

  5. Na página seguinte, na caixa Alias , insira um nome de alias arbitrário.

  6. Certifique-se de que o valor na caixa Algoritmo Digest é SHA-256.

  7. Em Pontos de extremidade de logon único, selecione HTTP POST.

  8. Em Pontos de extremidade de logout único, selecione Redirecionamento HTTP.

  9. Aceite as configurações padrão de Pontos de extremidade de artefato e requisitos de autenticação.

  10. Selecione Federação de Identidade de Provedor Confiável / e Formatos de NameID Suportados Não Especificados.

  11. Os valores para User ID Source e User ID Mapping Mode determinam o vínculo entre o usuário SAP e a declaração Microsoft Entra. Há dois cenários suportados:

    • Cenário 1: Mapeamento de usuário SAP para usuário Microsoft Entra
    • Cenário 2: Selecione o ID de usuário SAP com base no endereço de e-mail configurado no SU01. Neste caso, o ID de e-mail deve ser configurado em SU01 para cada usuário que requer SSO.

Atribuir usuários do Microsoft Entra

  1. No portal do Azure, selecione Aplicativos Corporativos, selecione Todos os aplicativos e selecione SAP Fiori.

  2. Na lista de aplicativos, selecione SAP Fiori.

  3. Para verificar o resultado, depois que o provedor de identidade Microsoft Entra ID for ativado no SAP Fiori, tente acessar uma das seguintes URLs para testar o logon único como um usuário atribuído (você não deve ser solicitado a fornecer um nome de usuário e senha):