Öğretici: SAP Cloud Identity Services ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesi

Bu öğreticide SAP Cloud Identity Services'ı Microsoft Entra Id ile tümleştirmeyi öğreneceksiniz. SAP Cloud Identity Services'ı Microsoft Entra ID ile tümleştirdiğinizde şunları yapabilirsiniz:

  • SAP Cloud Identity Services'a kimlerin erişimi olduğunu Microsoft Entra Id'de denetleyin.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla SAP Cloud Identity Services'da otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

İpucu

Kurulumu kullanıma hazır hale getirmek için "SAP platformlarına ve uygulamalarına erişimi güvenli hale getirmek için Microsoft Entra Id kullanma" önerilerini ve en iyi uygulama kılavuzunu izleyin.

Önkoşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

  • Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
  • SAP Cloud Identity Services çoklu oturum açma (SSO) özellikli abonelik.

Senaryo açıklaması

Bu öğreticide, bir test ortamında Microsoft Entra çoklu oturum açmayı yapılandırıp test edin.

  • SAP Cloud Identity Services, SP ve IDP tarafından başlatılan SSO'ları destekler.
  • SAP Cloud Identity Services, Otomatik kullanıcı sağlamayı destekler.

Teknik ayrıntıları incelemeden önce, bakacağınız kavramları anlamak çok önemlidir. SAP Cloud Identity Services ve Active Directory Federasyon Hizmetleri (AD FS), SAP Cloud Identity Services tarafından korunan SAP uygulamaları ve hizmetleriyle Microsoft Entra Id (IdP olarak) ile korunan uygulamalar veya hizmetler arasında SSO uygulamanıza olanak tanır.

Şu anda SAP Cloud Identity Services, SAP uygulamaları için bir Proxy Kimlik Sağlayıcısı olarak görev yapmaktadır. Buna karşılık Microsoft Entra Id, bu kurulumda önde gelen Kimlik Sağlayıcısı görevi görür.

Aşağıdaki diyagramda bu ilişki gösterilmektedir:

Microsoft Entra test kullanıcısı oluşturma

Bu kurulumla SAP Cloud Identity Services kiracınız Microsoft Entra Id'de güvenilir bir uygulama olarak yapılandırılır.

Bu şekilde korumak istediğiniz tüm SAP uygulamaları ve hizmetleri daha sonra SAP Cloud Identity Services yönetim konsolunda yapılandırılır.

Bu nedenle SAP uygulamalarına ve hizmetlerine erişim izni verme yetkilendirmesinin SAP Cloud Identity Services'da (Microsoft Entra Id yerine) gerçekleştirilmiş olması gerekir.

SAP Cloud Identity Services'ı Microsoft Entra Market aracılığıyla bir uygulama olarak yapılandırarak tek tek beyanları veya SAML onaylarını yapılandırmanız gerekmez.

Not

Şu anda yalnızca Web SSO her iki taraf tarafından test edilmiştir. Uygulamadan API'ye veya API'ye iletişim için gerekli olan akışlar çalışmalıdır ancak henüz test edilmemiştir. Sonraki etkinlikler sırasında test edileceklerdir.

SAP Cloud Identity Services'ın Microsoft Entra ID ile tümleştirilmesini yapılandırmak için galerideki SAP Cloud Identity Services'i yönetilen SaaS uygulamaları listenize eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna SAP Cloud Identity Services yazın.
  4. Sonuçlar panelinden SAP Cloud Identity Services'i seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

SAP Cloud Identity Services için Microsoft Entra SSO yapılandırma ve test

B.Simon adlı bir test kullanıcısını kullanarak SAP Cloud Identity Services ile Microsoft Entra SSO'yi yapılandırın ve test edin. SSO'nun çalışması için Bir Microsoft Entra kullanıcısı ile SAP Cloud Identity Services'daki ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

SAP Cloud Identity Services ile Microsoft Entra SSO'yı yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.
    1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
  2. UYGULAMA tarafında çoklu oturum açma ayarlarını yapılandırmak için SAP Cloud Identity Services SSO'sunu yapılandırın.
    1. SAP Cloud Identity Services test kullanıcısı oluşturma - KULLANıCıNıN Microsoft Entra gösterimine bağlı SAP Cloud Identity Services'da B.Simon'ın bir karşılığına sahip olmak için.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP Cloud Identity Services>Çoklu oturum açma'ya göz atın.

  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  4. SAML ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.

    Temel SAML Yapılandırmasını Düzenle

  5. Temel SAML Yapılandırması bölümünde, Hizmet Sağlayıcısı meta veri dosyanız varsa ve IDP tarafından başlatılan modda yapılandırmak istiyorsanız aşağıdaki adımları gerçekleştirin:

    a. Meta veri dosyasını karşıya yükle'ye tıklayın.

    b. SAP'den indirdiğiniz meta veri dosyasını seçmek için klasör logosuna tıklayın ve Karşıya Yükle'ye tıklayın.

    Meta veri dosyasını seçmeyi gösteren ekran görüntüsü

    c. Meta veri dosyası başarıyla karşıya yüklendikten sonra, Tanımlayıcı ve Yanıt URL'si değerleri Temel SAML Yapılandırması bölümünde otomatik olarak doldurulur.

    URL'leri gösteren ekran görüntüsü.

    Not

    Tanımlayıcı ve Yanıt URL'si değerleri otomatik olarak doldurulmazsa, değerleri gereksinimlerinize göre el ile doldurun.

  6. Uygulamayı SP tarafından başlatılan modda yapılandırmak istiyorsanız:

    Oturum açma URL'si (İsteğe bağlı) metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:{YOUR BUSINESS APPLICATION URL}

    Not

    Bu değer gerçek değildir. Bu değeri gerçek oturum açma URL'si ile güncelleştirin. Lütfen belirli iş uygulamanızın Oturum Açma URL'sini kullanın. Şüpheniz varsa SAP Cloud Identity Services İstemcisi destek ekibine başvurun.

  7. SAP Cloud Identity Services uygulaması SAML onaylarını belirli bir biçimde bekler ve bu da SAML belirteci öznitelikleri yapılandırmanıza özel öznitelik eşlemeleri eklemenizi gerektirir. Aşağıdaki ekran görüntüsünde varsayılan özniteliklerin listesi gösterilmektedir.

    Öznitelikleri gösteren ekran görüntüsü.

  8. Yukarıdakilere ek olarak, SAP Cloud Identity Services uygulaması aşağıda gösterilen SAML yanıtında birkaç özniteliğin daha geçirilmesini bekler. Bu öznitelikler de önceden doldurulmuş olsa da gereksinimlerinize göre bunları gözden geçirebilirsiniz.

    Veri Akışı Adı Kaynak Özniteliği
    firstName user.givenname
  9. SAML ile Çoklu Oturum Açmayı Ayarla sayfasındaki SAML İmzalama Sertifikası bölümünde İndir'e tıklayarak istediğiniz seçeneklerden Meta Veri XML'sini indirin ve bilgisayarınıza kaydedin.

    Sertifika indirme bağlantısı

  10. SAP Cloud Identity Services'ı ayarlama bölümünde, gereksinimlerinize uygun URL'leri kopyalayın.

    Yapılandırma URL'lerini kopyalama

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bir Kullanıcı Yöneticisi olarak oturum açın.
  2. Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur'u belirleyin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, SAP Cloud Identity Services'e erişim vererek B.Simon'un çoklu oturum açma özelliğini kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP Cloud Identity Services'a göz atın.

  3. Uygulamanın genel bakış sayfasında Yönet bölümünü bulun ve Kullanıcılar ve gruplar'ı seçin.

  4. Kullanıcı ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ı seçin.

  5. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın.

  6. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.

  7. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

SAP Cloud Identity Services SSO'sını yapılandırma

  1. SAP Cloud Identity Services yönetim konsolunda oturum açın. URL şu desene sahiptir: https://<tenant-id>.accounts.ondemand.com/admin.

  2. Uygulamalar ve Kaynaklar'ın altında Kiracı Ayarları kutucuğunu seçin.

    Kiracı ayarlarını gösteren ekran görüntüsü.

  3. Çoklu Oturum Açma sekmesinde SAML 2.0 Yapılandırması'na gidin, meta verileri indirmek için Meta Veri Dosyasını İndir düğmesine tıklayın ve daha sonra Entra tarafı yapılandırmasında kullanın.

    Meta verileri indir düğmesini gösteren ekran görüntüsü.

  4. Kimlik Sağlayıcıları'nın altında Kurumsal Kimlik Sağlayıcıları kutucuğunu seçin.

  5. Kimlik sağlayıcısı oluşturmak için + Oluştur'a tıklayın.

    Kimlik Sağlayıcısı'nın gösterildiği ekran görüntüsü.

  6. Kimlik Sağlayıcısı Oluştur iletişim kutusunda aşağıdaki adımları gerçekleştirin.

    Kimlik Sağlayıcısı oluşturma işlemini gösteren ekran görüntüsü.

    a. Görünen Ad'da geçerli bir ad verin.

    b. Açılan listeden Microsoft ADFS/Entra ID (SAML 2.0) öğesini seçin.

    c. Oluştur’a tıklayın.

  7. Güven -> SAML 2.0 Yapılandırması'na gidin ve Gözat'a tıklayarak Entra yapılandırmasından indirdiğiniz Meta Veri XML dosyasını karşıya yükleyin.

    Kimlik Sağlayıcısı yapılandırmasını gösteren ekran görüntüsü.

  8. Kaydet'e tıklayın.

  9. Yalnızca başka bir SAP uygulaması için SSO eklemek ve etkinleştirmek istiyorsanız aşağıdakilerle devam edin. Galeriden SAP Cloud Identity Services ekleme bölümünün altındaki adımları yineleyin.

  10. Entra tarafında, SAP Cloud Identity Services uygulama tümleştirme sayfasında Bağlı Oturum Açma'yı seçin.

    Bağlı Oturum Açmayı Yapılandır'ı gösteren ekran görüntüsü

  11. Yapılandırmayı kaydedin.

  12. Daha fazla bilgi için lütfen Microsoft Entra Id ile Tümleştirme bölümünde SAP Cloud Identity Services hakkındaki belgeleri okuyun.

Not

Yeni uygulama, önceki SAP uygulamasının çoklu oturum açma yapılandırmasından yararlanıyor. SAP Cloud Identity Services yönetim konsolunda aynı Kurumsal Kimlik Sağlayıcılarını kullandığınızdan emin olun.

SAP Cloud Identity Services test kullanıcısı oluşturma

SAP Cloud Identity Services'da kullanıcı oluşturmanız gerekmez. Microsoft Entra kullanıcı deposundaki kullanıcılar SSO işlevini kullanabilir.

SAP Cloud Identity Services, Kimlik Federasyonu seçeneğini destekler. Bu seçenek, uygulamanın kurumsal kimlik sağlayıcısı tarafından kimliği doğrulanmış kullanıcıların SAP Cloud Identity Services kullanıcı deposunda bulunup bulunmadığını denetlemesine olanak tanır.

Kimlik Federasyonu seçeneği varsayılan olarak devre dışıdır. Kimlik Federasyonu etkinleştirildiyse, uygulamaya yalnızca SAP Cloud Identity Services'da içeri aktarılan kullanıcılar erişebilir.

SAP Cloud Identity Services ile Kimlik Federasyonu'nun nasıl etkinleştirileceği veya devre dışı bırakileceği hakkında daha fazla bilgi için SAP Cloud Identity Services Kullanıcı Deposu ile Kimlik Federasyonu'nun yapılandırılması konusundaki "SAP Cloud Identity Services ile Kimlik Federasyonu'nun etkinleştirilmesi" bölümüne bakın.

Not

SAP Cloud Identity Services otomatik kullanıcı sağlamayı da destekler. Burada otomatik kullanıcı sağlamayı yapılandırma hakkında daha fazla ayrıntı bulabilirsiniz.

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

SP başlatıldı:

  • Bu uygulamayı test et'e tıklayın; bu, oturum açma akışını başlatabileceğiniz SAP Cloud Identity Services Oturum Açma URL'sine yönlendirilir.

  • DOĞRUDAN SAP Cloud Identity Services Oturum Açma URL'sine gidin ve buradan oturum açma akışını başlatın.

IDP başlatıldı:

  • Bu uygulamayı test et'e tıkladığınızda SSO'nun ayarlandığı SAP Cloud Identity Services'da otomatik olarak oturum açmanız gerekir

Uygulamayı herhangi bir modda test etmek için Microsoft Uygulamalarım de kullanabilirsiniz. Uygulamalarım SAP Cloud Identity Services kutucuğuna tıkladığınızda, SP modunda yapılandırıldıysa oturum açma akışını başlatmaya yönelik uygulama oturum açma sayfasına yönlendirilirsiniz ve IDP modunda yapılandırıldıysanız, SSO'nun ayarlandığı SAP Cloud Identity Services'da otomatik olarak oturum açmanız gerekir. Uygulamalarım hakkında daha fazla bilgi için bkz. Uygulamalarım giriş.

Sonraki adımlar

SAP Cloud Identity Services'ı yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimlerini zorunlu kılabilirsiniz. Oturum denetimleri Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.

Kurulumu kullanıma hazır hale getirmek için önerilere ve en iyi uygulama kılavuzuna başvurun.