Руководство по интеграции единого входа Microsoft Entra с SAP Fiori

  • Статья

В этом руководстве вы узнаете, как интегрировать SAP Fiori с идентификатором Microsoft Entra. Интеграция SAP Fiori с идентификатором Microsoft Entra позволяет:

  • Управляйте идентификатором Microsoft Entra, имеющим доступ к SAP Fiori.
  • Включите автоматический вход пользователей в SAP Fiori с помощью учетных записей Microsoft Entra.
  • Управление учетными записями в одном центральном расположении.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Подписка SAP Fiori с поддержкой единого входа.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • SAP Fiori поддерживает единый вход, инициированный поставщиком служб.

Примечание.

Для проверки подлинности IFRAME, инициированной SAP Fiori, мы рекомендуем использовать параметр IsPassive в SAML AuthnRequest для автоматической проверки подлинности. Дополнительные сведения о параметре IsPassive см. в сведениях о едином входе Microsoft Entra SAML.

Чтобы настроить интеграцию SAP Fiori с идентификатором Microsoft Entra ID, необходимо добавить SAP Fiori из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите SAP Fiori.
  4. Выберите SAP Fiori в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для SAP Fiori

Настройте и проверьте единый вход Microsoft Entra в SAP Fiori с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в SAP Fiori.

Чтобы настроить и проверить единый вход Microsoft Entra в SAP Fiori, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
  2. Настройка единого входа в SAP Fiori необходима, чтобы настроить параметры единого входа на стороне приложения.
    1. Создание тестового пользователя SAP Fiori требуется для того, чтобы в SAP Fiori был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Откройте новое окно веб-браузера и войдите на свой корпоративный сайт SAP Fiori как администратор.

  2. Убедитесь, что службы http и https активны, а в коде транзакции SMICM назначены соответствующие порты.

  3. Войдите в бизнес-клиент SAP для системы SAP T01, где требуется единый вход. После этого активируйте управление сеансами безопасности HTTP.

    1. Перейдите к коду транзакции SICF_SESSIONS. В нем отображаются все параметры соответствующего профиля с текущими значениями. Они должны выглядеть, как показано ниже.

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Примечание.

      Настройте параметры в соответствии с требованиями организации. Описанные выше параметры приведены только в качестве примера.

    2. При необходимости настройте параметры в профиле экземпляра (используемого по умолчанию) системы SAP и перезапустите систему SAP.

    3. Дважды щелкните соответствующий клиент, чтобы включить сеанс безопасности HTTP.

      The Current Values of Relevant Profile Parameters page in SAP

    4. Активируйте следующие службы SICF.

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Перейдите к коду транзакции SAML2 в бизнес-клиенте для системы SAP [T01/122]. В новом окне браузера откроется пользовательский интерфейс настройки. В этом примере мы используем бизнес-клиент для системы SAP 122.

    The SAP Fiori Business Client sign-in page

  5. Введите имя пользователя и пароль, а затем щелкните Вход.

    The SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  6. В поле Имя поставщика замените T01122 на http://T01122, а затем щелкните Сохранить.

    Примечание.

    По умолчанию имя поставщика имеет формат <sid><клиент>. Идентификатор Microsoft Entra ожидает имя в формате <protocol>://<name>. Рекомендуется сохранить имя поставщика как клиент> https://< sid><, чтобы настроить несколько ядер SAP Fiori ABAP в идентификаторе Microsoft Entra ID.

    The updated provider name in the SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  7. Выберите вкладку Local Provider (Локальный поставщик) >Metadata (Метаданные).

  8. В диалоговом окне SAML 2.0 Metadata (Метаданные SAML 2.0) скачайте созданный XML-файл метаданных и сохраните его на компьютере.

    The Download Metadata link in the SAP SAML 2.0 Metadata dialog box

  9. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  10. Перейдите к приложениям>Identity>Applications>Enterprise SAP Fiori>Single sign-on.

  11. На странице Выбрать метод единого входа выберите SAML.

  12. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Edit Basic SAML Configuration

  13. Если у вас есть файл метаданных поставщика служб, выполните следующие действия в разделе Базовая конфигурация SAML:

    1. Щелкните Отправить файл метаданных.

      Upload metadata file

    2. Щелкните значок папки, выберите файл метаданных и нажмите кнопку Отправить.

      choose metadata file

    3. После успешной передачи файла метаданных значения параметров Идентификатор и URL-адрес ответа в области Базовая конфигурация SAML будут заполнены автоматически. В поле URL-адрес для входа введите URL-адрес в следующем формате: https://<your company instance of SAP Fiori>.

      Примечание.

      Некоторые клиенты столкнулись с ошибкой неправильного URL-адреса ответа, настроенного для своего экземпляра. Если вы получаете такую ошибку, используйте эти команды PowerShell. Сначала обновите URL-адреса ответа в объекте приложения с URL-адресом ответа, а затем обновите субъект-службу. Используйте Метод Get-MgServicePrincipal, чтобы получить значение идентификатора субъекта-службы.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. Приложение SAP Fiori ожидает утверждения SAML в определенном формате. Настройте следующие утверждения для этого приложения. Чтобы изменить значения этих атрибутов, в области Настройка единого входа с помощью SAML выберите Изменить.

    The User attributes pane

  15. В области Утверждения и атрибуты пользователя настройте атрибуты токена SAML, как показано на предыдущем рисунке. Затем сделайте следующее:

    1. Выберите Изменить, чтобы открыть область Управление утверждениями пользователя.

    2. Из списка Преобразование выберите ExtractMailPrefix().

    3. Из списка Параметр 1 выберите user.userprincipalname.

    4. Выберите Сохранить.

      The Manage user claims pane

      The Transformation section in the Manage user claims pane

  16. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите элемент XML метаданных федерации и выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.

    The Certificate download link

  17. Требуемые URL-адреса можно скопировать из раздела Настройка SAP Fiori.

    Copy configuration URLs

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Review + create (Просмотреть и создать).
  5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к SAP Fiori.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Application>Enterprise SAP Fiori.
  3. На странице обзора приложения выберите "Пользователи" и "Группы".
  4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
    1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
    2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
    3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа в SAP Fiori

  1. Войдите в систему SAP и перейдите к коду транзакции SAML2. Откроется новое окно браузера со страницей настройки SAML.

  2. Чтобы настроить конечные точки для доверенного поставщика удостоверений (Идентификатор Microsoft Entra), перейдите на вкладку "Доверенные поставщики ".

    The Trusted Providers tab in SAP

  3. Щелкните Add (Добавить) и выберите Upload Metadata File (Отправить файл метаданных) в контекстном меню.

    The Add and Upload Metadata File options in SAP

  4. Отправьте скачанный файл метаданных. Выберите Далее.

    Select the metadata file to upload in SAP

  5. На следующей странице в поле Alias (Псевдоним) введите псевдоним. Например, aadsts. Выберите Далее.

    The Alias box in SAP

  6. Убедитесь, что поле Digest Algorithm (Алгоритм выборки сообщений) содержит значение SHA-256. Выберите Далее.

    Verify the Digest Algorithm value in SAP

  7. В разделе Single Sign-On Endpoints (Конечные точки единого входа) выберите HTTP POST, а затем щелкните Next (Далее).

    Single Sign-On Endpoints options in SAP

  8. В разделе Single Logout Endpoints (Конечные точки единого выхода) выберите HTTP Redirect (Перенаправление протокола HTTP), а затем щелкните Next (Далее).

    Single Logout Endpoints options in SAP

  9. В разделе Artifact Endpoints (Конечные точки артефактов) щелкните Next (Далее), чтобы продолжить.

    Artifact Endpoints options in SAP

  10. В разделе Authentication Requirements (Требования аутентификации) щелкните Finish (Готово).

    Authentication Requirements options and the Finish option in SAP

  11. Выберите Trusted Provider (Надежный поставщик) >Identity Federation (Федерация удостоверений) (внизу страницы). Выберите Изменить.

    The Trusted Provider and Identity Federation tabs in SAP

  12. Выберите Добавить.

    The Add option on the Identity Federation tab

  13. В диалоговом окне Supported NameID Formats (Поддерживаемые форматы NameID) выберите Unspecified (Не указано). Нажмите ОК.

    The Supported NameID Formats dialog box and options in SAP

    Значения для режима сопоставления источника и идентификатора пользователя определяют связь между пользователем SAP и утверждением Microsoft Entra.

    Сценарий 1. Сопоставление пользователей SAP с Microsoft Entra

    1. В SAP в разделе Details of NameID Format "Unspecified" (Сведения о формате NameID "На указано") запишите следующие сведения.

      Screenshot that shows the 'Details of NameID Format

    2. В разделе портал Azure в разделе "Атрибуты пользователя и утверждения" обратите внимание на необходимые утверждения из идентификатора Microsoft Entra.

      Screenshot that shows the

    Сценарий 2. Выберите идентификатор пользователя SAP на основе настроенного адреса электронной почты в SU01. В этом случае идентификатор электронной почты должен быть настроен в SU01 для каждого пользователя, которому требуется единый вход.

    1. В SAP в разделе Details of NameID Format "Unspecified" (Сведения о формате NameID "На указано") запишите следующие сведения.

      The Details of NameID Format

    2. В разделе портал Azure в разделе "Атрибуты пользователя и утверждения" обратите внимание на необходимые утверждения из идентификатора Microsoft Entra.

      The User Attributes and Claims dialog box in the Azure portal

  14. Выберите Save (Сохранить), затем выберите Enable (Включить), чтобы включить поставщик удостоверений.

    The Save and Enable options in SAP

  15. При появлении запроса нажмите кнопку ОК.

    The OK option in SAML 2.0 Configuration dialog box in SAP

Создание тестового пользователя SAP Fiori

В этом разделе описано, как создать пользователя Britta Simon в приложении SAP Fiori. Обратитесь к штатной команде экспертов по SAP или с партнеру SAP своей организации, чтобы добавить пользователей на платформу SAP Fiori.

Проверка единого входа

  1. После активации идентификатора поставщика удостоверений Microsoft Entra в SAP Fiori попробуйте получить доступ к одному из следующих URL-адресов для проверки единого входа (вам не нужно запрашивать имя пользователя и пароль):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Примечание.

    Замените <sap-url> фактическим именем узла SAP.

  2. Тестовый URL-адрес должен открывать приведенную ниже тестовую страницу приложения в SAP. Если откроется страница, единый вход Microsoft Entra успешно настроен.

    The standard test application page in SAP

  3. При появлении запроса имени пользователя и пароля включите трассировку, чтобы диагностировать проблему. Для трассировки используйте следующий URL-адрес:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Следующие шаги

После настройки SAP Fiori вы можете применить управление сеансами, которое в реальном времени защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.