Kurz: Azure Active Directory jednotného přihlašování (SSO) se SAPi

  • Článek
  • 8 min ke čtení

V tomto kurzu se dozvíte, jak integrovat SAPi s Azure Active Directory (Azure AD). Při integraci SAP Azure s Azure AD můžete:

  • Řízení ve službě Azure AD, která má přístup k SAP SASu
  • Umožnte uživatelům, aby se automaticky přihlásili k SAP Sap Sapi pomocí svých účtů Azure AD.
  • Spravujte své účty v jednom centrálním umístění – v Azure Portal.

Požadavky

Abyste začali, potřebujete následující položky:

  • Předplatné Azure AD. Pokud předplatné nemáte, můžete získat bezplatný účet.
  • Předplatné s povoleným jednotným přihlašováním SAP

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Azure AD v testovacím prostředí.

  • SAP Umožňuje podporu jednotného přihlašování iniciované aplikací SP.

Poznámka

V případě ověřování iFrame iniciované aplikací SAP Můžete použít parametr IsPassive v požadavku SAML AuthnRequest pro bezobslužné ověřování. Další podrobnosti o parametru IsPassive najdete v tématu Informace o jednotném přihlašování SAML pro Azure AD.

Pokud chcete nakonfigurovat integraci SAP SAS do Azure AD, musíte přidat SAP SAS z galerie do seznamu spravovaných aplikací SaaS.

  1. Přihlaste se k Azure Portal pomocí pracovního nebo školního účtu nebo osobního účet Microsoft.
  2. V levém navigačním podokně vyberte Azure Active Directory služby.
  3. Přejděte na Enterprise Aplikace a pak vyberte Všechny aplikace.
  4. Pokud chcete přidat novou aplikaci, vyberte Nová aplikace.
  5. V části Přidat z galerie zadejte do vyhledávacího pole SAP Uži.
  6. Na panelu výsledků vyberte SAP Řešení a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Konfigurace a testování jednotného přihlašování k Azure AD pro SAP SAI

Nakonfigurujte a otestujte jednotné přihlašování k Azure AD se SAP Službou s použitím testovacího uživatele B.Simona. Aby jednotné přihlašování fungovalo, musíte vytvořit relaci propojení mezi uživatelem Služby Azure AD a souvisejícím uživatelem v SAP Needi.

Pokud chcete konfigurovat a testovat jednotné přihlašování k Azure AD pomocí SAP SASu, proveďte následující kroky:

  1. Konfigurace jednotného přihlašování k Azure AD – abyste uživatelům umožnili používat tuto funkci.
    1. Vytvoření testovacího uživatele Azure AD – k otestování jednotného přihlašování Azure AD pomocí B.Simon.
    2. Přiřazení testovacího uživatele Azure AD – pokud chcete B.Simonu povolit použití jednotného přihlašování Azure AD.
  2. Konfigurace jednotného přihlašování SAPSso – ke konfiguraci nastavení jednotného přihlašování na straně aplikace.
    1. Vytvořte testovacího uživatele SAP Azure – pokud chcete mít protějšek B.Simona v SAP SASu, který je propojený s reprezentací uživatele v Azure AD.
  3. Testování jednotného přihlašování – k ověření, jestli konfigurace funguje.

Konfigurace jednotného přihlašování v Azure AD

Postupujte podle těchto kroků a povolte jednotné přihlašování Azure AD v Azure Portal.

  1. Otevřete nové okno webového prohlížeče a přihlaste se k webu společnosti SAP Uži jako správce.

  2. Ujistěte se, že jsou služby http a https aktivní a že jsou příslušné porty přiřazené kódu transakce SMICM.

  3. Přihlaste se k systému SAP Business Client for SAP T01, kde se vyžaduje jednotné přihlašování. Pak aktivujte správu relace zabezpečení HTTP.

    1. Přejděte na kód transakce SICF_SESSIONS. Zobrazí se všechny relevantní parametry profilu s aktuálními hodnotami. Vypadají jako v následujícím příkladu:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Poznámka

      Upravte parametry podle požadavků vaší organizace. Předchozí parametry jsou uvedeny pouze jako příklad.

    2. V případě potřeby upravte parametry v profilu instance (výchozí) systému SAP a restartujte systém SAP.

    3. Dvojím kliknutím na příslušného klienta povolte relaci zabezpečení HTTP.

      Stránka Aktuální hodnoty relevantních parametrů profilu v SASu

    4. Aktivujte následující služby SICF:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Přejděte na kód transakce SAML2 v systému SAP Business Client [T01/122]. Uživatelské rozhraní konfigurace se otevře v novém okně prohlížeče. V tomto příkladu používáme Business Client pro systém SAP 122.

    Přihlašovací stránka SAP s firemním klientem

  5. Zadejte své uživatelské jméno a heslo a pak vyberte Log on (Přihlásit se).

    Stránka Konfigurace SAML 2.0 systému jazyk ABAP T01/122 v SYSTÉMU SAP

  6. V poli Název poskytovatele nahraďte T01122 za http: / /T01122 a pak vyberte Uložit.

    Poznámka

    Ve výchozím nastavení má název zprostředkovatele formát <sid> <client> . Azure AD očekává název ve formátu <protocol> :// <name> . Doporučujeme udržovat název zprostředkovatele jako https, abyste mohli v Azure AD nakonfigurovat více jazyk ABAP : // <sid> <client> SAP Jazyk ABAP.

    Aktualizovaný název poskytovatele na stránce SAML 2.0 Configuration of jazyk ABAP System T01/122 v SYSTÉMU SAP

  7. Vyberte kartu Místní > zprostředkovatel Metadata.

  8. V dialogovém okně Metadata SAML 2.0 stáhněte vygenerovaný soubor XML metadat a uložte ho do počítače.

    Odkaz Download Metadata (Stáhnout metadata) v dialogovém okně SAP SAML 2.0 Metadata (Metadata SAP SAML 2.0)

  9. V Azure Portal na stránce integrace aplikace SAPi vyhledejte část Spravovat a vyberte jednotné přihlašování.

  10. Na stránce Select a single sign-on method (Výběr metody jednotného přihlašování) vyberte SAML.

  11. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Úprava základní konfigurace SAML

  12. Pokud máte soubor metadat poskytovatele služeb v části Základní konfigurace SAML, proveďte následující kroky:

    1. Klikněte Upload soubor metadat.

      Upload souboru metadat

    2. Kliknutím na logo složky vyberte soubor metadat a klikněte na Upload.

      výběr souboru metadat

    3. Po úspěšném nahrání souboru metadat se hodnoty Identifikátor a Adresa URL odpovědi automaticky vyplní v podokně Základní konfigurace SAML. Do pole Přihlašovací adresa URL zadejte adresu URL, která má následující vzor: https://<your company instance of SAP Fiori> .

      Poznámka

      Několik zákazníků hlásí chyby související s nesprávně nakonfigurovanou hodnotou adresy URL odpovědi. Pokud se zobrazí tato chyba, můžete pomocí následujícího skriptu PowerShellu nastavit správnou adresu URL odpovědi pro vaši instanci:

      Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"

      Před spuštěním skriptu můžete ID objektu nastavit sami, nebo ServicePrincipal ho můžete předat tady.

  13. Aplikace SAPCii očekává, že kontrolní výrazy SAML budou v určitém formátu. Nakonfigurujte pro tuto aplikaci následující deklarace identity. Pokud chcete tyto hodnoty atributů spravovat, vyberte v podokně Sign-On s SAML možnost Upravit.

    Podokno Atributy uživatele

  14. V podokně Atributy uživatele & deklarace identity nakonfigurujte atributy tokenu SAML, jak je znázorněno na předchozím obrázku. Pak proveďte následující kroky:

    1. Vyberte Upravit a otevřete podokno Spravovat deklarace identity uživatelů.

    2. V seznamu Transformace vyberte ExtractMailPrefix().

    3. V seznamu Parametr 1 vyberte user.userprincipalname.

    4. Vyberte Uložit.

      Podokno Spravovat deklarace identity uživatelů

      Část Transformace v podokně Spravovat deklarace identity uživatelů

  15. Na stránce Nastavení jednotného přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte SOUBOR XML federačních metadat a výběrem možnosti Stáhnout stáhněte certifikát a uložte ho do počítače.

    Odkaz na stažení certifikátu

  16. V části Nastavení SAP Můžete zkopírovat příslušné adresy URL podle vašich požadavků.

    Kopírování adres URL konfigurace

Vytvoření testovacího uživatele Azure AD

V této části vytvoříte testovacího uživatele v testovacím Azure Portal B.Simon.

  1. V levém podokně na panelu Azure Portal vyberte Azure Active Directory, vyberte Uživatelé a pak vyberte Všichni uživatelé.
  2. V horní části obrazovky vyberte Nový uživatel.
  3. Ve vlastnostech uživatele proveďte následující kroky:
    1. Do pole Název zadejte B.Simon.
    2. Do pole uživatelské jméno zadejte username@companydomain.extension . Například, B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a pak zapište hodnotu, která se zobrazí v poli heslo .
    4. Klikněte na Vytvořit.

Přiřazení testovacího uživatele Azure AD

V této části povolíte B. Simon pro použití jednotného přihlašování Azure tím, že udělíte přístup k SAP Fiori.

  1. v Azure Portal vyberte Enterprise aplikace a pak vyberte všechny aplikace.
  2. V seznamu aplikace vyberte SAP Fiori.
  3. Na stránce Přehled aplikace najděte část Správa a vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny .
  5. V dialogovém okně Uživatelé a skupiny vyberte v seznamu uživatelé možnost B. Simon a pak klikněte na tlačítko Vybrat v dolní části obrazovky.
  6. Pokud očekáváte, že role má být přiřazena uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci není nastavená žádná role, zobrazí se vybraná role výchozí přístup.
  7. V dialogovém okně Přidat přiřazení klikněte na tlačítko přiřadit .

Konfigurace protokolu SAP Fiori SSO

  1. Přihlaste se k systému SAP a použijte typu Saml2 kód transakce. Otevře se nové okno prohlížeče se stránkou konfigurace SAML.

  2. Pokud chcete nakonfigurovat koncové body pro důvěryhodného zprostředkovatele identity (Azure AD), vyberte kartu důvěryhodní zprostředkovatelé .

    Karta důvěryhodní zprostředkovatelé v SAP

  3. vyberte přidat a v místní nabídce vyberte Upload soubor metadat .

    možnosti souboru metadat přidat a Upload v SAP

  4. Upload soubor metadat, který jste stáhli v Azure Portal. Vyberte Další.

    Vyberte soubor metadat, který se má nahrát do SAP.

  5. Na další stránce zadejte do pole alias název aliasu. Například aadsts. Vyberte Další.

    Pole alias v SAP

  6. Ujistěte se, že hodnota v poli algoritmus Digest je SHA-256. Vyberte Další.

    Ověření hodnoty algoritmu Digest v SAP

  7. V části koncové body s jedním Sign-On vyberte http post a pak vyberte Další.

    Možnosti jednotlivých koncových bodů Sign-On v SAP

  8. V části koncové body odhlašovacího bodu vyberte přesměrování HTTP a pak vyberte Další.

    Možnosti koncového bodu s jediným odhlášením v SAP

  9. V části koncové body artefaktů pokračujte výběrem Další .

    Možnosti koncových bodů artefaktu v SAP

  10. V části požadavky na ověření vyberte Dokončit.

    Možnosti požadavků na ověření a možnost Dokončit v SAP

  11. Vyberte federace identity důvěryhodných zprostředkovatelů > (ve spodní části stránky). Vyberte Upravit.

    Karty důvěryhodných zprostředkovatelů a federace identit v SAP

  12. Vyberte Přidat.

    Možnost přidat na kartě federace identit

  13. V dialogovém okně podporované formáty NameId vyberte Neurčeno. Vyberte OK.

    Dialogové okno podporované formáty NameID a možnosti v SAP

    Hodnoty pro režim mapování zdrojového ID a ID uživatele URČUJÍ propojení mezi uživatelem SAP a deklarací identity Azure AD.

    Scénář 1: mapování uživatele SAP na Azure AD

    1. V části SAP v části Podrobnosti o formátu NameId "Neurčeno" si všimněte podrobností:

      Snímek obrazovky, který zobrazuje dialogové okno Podrobnosti o nespecifikovaném formátu NameID v S A P

    2. V Azure Portal si v části atributy uživatelů & deklarace identity poznamenejte požadované deklarace identity z Azure AD.

      Snímek obrazovky, který zobrazuje dialogové okno atributy uživatele & deklarace identity.

    Scénář 2: vyberte ID uživatele SAP na základě konfigurované e-mailové adresy v SU01. V takovém případě by se mělo ID e-mailu nakonfigurovat v SU01 pro každého uživatele, který vyžaduje jednotné přihlašování.

    1. V části SAP v části Podrobnosti o formátu NameId "Neurčeno" si všimněte podrobností:

      Dialogové okno Podrobnosti o nespecifikovaném formátu NameID v SAP

    2. V Azure Portal si v části atributy uživatelů & deklarace identity poznamenejte požadované deklarace identity z Azure AD.

      Dialogové okno atributy uživatele a deklarace v Azure Portal

  14. Vyberte Uložit a potom výběrem Povolit povolte poskytovatele identity.

    Možnosti Uložit a povolit v SAP

  15. Po zobrazení výzvy vyberte OK .

    Možnost OK v dialogovém okně Konfigurace SAML 2,0 v SAP

Vytvořit testovacího uživatele SAP Fiori

V této části vytvoříte uživatele s názvem Britta Simon v SAP Fiori. Pokud chcete přidat uživatele na platformě SAP Fiori, spolupracujte s vaším interním týmem pro SAP a odborníky na SAP vaší organizace.

Test SSO

  1. Po aktivaci poskytovatele identity Azure AD v SAP Fiori se pokuste získat přístup k jedné z následujících adres URL pro testování jednotného přihlašování (nemůžete být vyzváni k zadání uživatelského jména a hesla):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Poznámka

    Nahraďte <sap-url> skutečným názvem hostitele SAP.

  2. Adresa URL testu by se měla přebírat na následující stránce testovací aplikace v SAP. Pokud se stránka otevře, jednotné přihlašování Azure AD se úspěšně nastaví.

    Stránka standardní testovací aplikace v SAP

  3. Pokud se zobrazí výzva k zadání uživatelského jména a hesla, povolte trasování, které vám pomůžou problém diagnostikovat. Pro trasování použijte následující adresu URL:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Další kroky

Po nakonfigurování SAP Fiori můžete vynutili řízení relace, které chrání exfiltrace a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relace se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutili řízení relace pomocí programu Microsoft Defender pro cloudové aplikace.