kurz: Azure Active Directory integraci jednotného přihlašování pomocí SAP NetWeaver

V tomto kurzu se dozvíte, jak integrovat SAP NetWeaver s Azure Active Directory (Azure AD). Když integrujete SAP NetWeaver s Azure AD, můžete:

• Řízení ve službě Azure AD, která má přístup k SAP NetWeaver.
• Umožněte uživatelům, aby se do SAP NetWeaver automaticky přihlásili pomocí svých účtů Azure AD.
• Spravujte svoje účty v jednom centrálním umístění – Azure Portal.

Požadavky

Chcete-li začít, potřebujete následující položky:

• Předplatné služby Azure AD. Pokud předplatné nemáte, můžete získat bezplatný účet.
• Předplatné SAP NetWeaver s jednotným přihlašováním (SSO).
• NetWeaver SAP 7.20 V vyžaduje minimálně

Popis scénáře

• SAP NetWeaver podporuje protokol SAML (SSO iniciovaná SP) i OAuth. V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Azure AD v testovacím prostředí.

Přidání SAP NetWeaver z Galerie

Pokud chcete nakonfigurovat integraci SAP NetWeaver do služby Azure AD, musíte přidat SAP NetWeaver z Galerie do seznamu spravovaných aplikací SaaS.

1. Přihlaste se k Azure Portal pomocí pracovního nebo školního účtu nebo osobního účet Microsoft.
2. v levém navigačním podokně vyberte službu Azure Active Directory .
3. přejděte na Enterprise aplikace a pak vyberte všechny aplikace.
4. Chcete-li přidat novou aplikaci, vyberte možnost Nová aplikace.
5. V části Přidat z Galerie zadejte do vyhledávacího pole SAP NetWeaver .
6. Z panelu výsledků vyberte SAP NetWeaver a pak aplikaci přidejte. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Konfigurace a testování jednotného přihlašování Azure AD pro SAP NetWeaver

Nakonfigurujte a otestujte jednotné přihlašování Azure AD pomocí SAP NetWeaver pomocí testovacího uživatele s názvem B. Simon. Aby jednotné přihlašování fungovalo, je potřeba vytvořit propojení mezi uživatelem služby Azure AD a souvisejícím uživatelem v SAP NetWeaver.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Azure AD pomocí SAP NetWeaver, proveďte následující kroky:

1. NAKONFIGURUJTE jednotné přihlašování Azure AD , aby vaši uživatelé mohli používat tuto funkci.
   1. Vytvořte testovacího uživatele Azure AD pro testování jednotného přihlašování Azure AD pomocí B. Simon.
   2. Pokud chcete povolit B. Simon používat jednotné přihlašování Azure AD, přiřaďte testovacímu uživateli Azure AD .
2. NAKONFIGURUJTE SAP NetWeaver pomocí SAML ke konfiguraci nastavení jednotného přihlašování na straně aplikace.
   1. Vytvořte testovacího uživatele SAP NetWeaver , aby měl protějšek B. Simon v SAP NetWeaveru, která je propojená s reprezentací uživatele v Azure AD.
3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.
4. NAKONFIGURUJTE SAP NetWeaver pro OAuth pro konfiguraci nastavení OAuth na straně aplikace.

Konfigurace jednotného přihlašování v Azure AD

V této části povolíte jednotné přihlašování Azure AD v Azure Portal.

Pokud chcete nakonfigurovat jednotné přihlašování Azure AD pomocí SAP NetWeaver, proveďte následující kroky:

1. Otevřete nové okno webového prohlížeče a přihlaste se k firemnímu webu SAP NetWeaver jako správce.

2. Ujistěte se, že jsou služby http a https aktivní a že se k nim přiřadí příslušné porty SMICM T-Code.

3. Přihlaste se k firemnímu klientovi se systémem SAP (T01), kde je vyžadováno jednotné přihlašování a aktivujte správu relace zabezpečení HTTP.

   a. Přejít na kód transakce SICF_SESSIONS. Zobrazí všechny relevantní parametry profilu s aktuálními hodnotami. Vypadají jako v následujícím příkladu:-

   login/create_sso2_ticket = 2
   login/accept_sso2_ticket = 1
   login/ticketcache_entries_max = 1000
   login/ticketcache_off = 0  login/ticket_only_by_https = 0 
   icf/set_HTTPonly_flag_on_cookies = 3
   icf/user_recheck = 0  http/security_session_timeout = 1800
   http/security_context_cache_size = 2500
   rdisp/plugin_auto_logout = 1800
   rdisp/autothtime = 60
   

   Poznámka

   Upravte výše uvedené parametry podle požadavků vaší organizace. výše uvedené parametry jsou uvedeny pouze jako indikace.

   b. V případě potřeby upravte parametry v části instance/výchozí profil systému SAP a restartujte systém SAP.

   c. Dvojím kliknutím na relevantního klienta povolte relaci zabezpečení protokolu HTTP.

   

   d. Aktivovat pod SICF službami:

   /sap/public/bc/sec/saml2
   /sap/public/bc/sec/cdc_ext_service
   /sap/bc/webdynpro/sap/saml2
   /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
   

4. Přejít na kód transakce typu Saml2 v obchodním klientovi systému SAP [T01/122]. Otevře se uživatelské rozhraní v prohlížeči. V tomto příkladu jsme předpokládali 122 jako obchodní klient SAP.

   

5. Zadejte uživatelské jméno a heslo, které chcete zadat v uživatelském rozhraní, a klikněte na Upravit.

   

6. Nahraďte název poskytovatele z T01122 na http://T01122 a klikněte na Uložit.

   Poznámka

   ve výchozím nastavení se název poskytovatele používá jako <sid><client> formát, ale Azure ad očekává název ve formátu. <protocol>://<name> doporučuje se zachovat název poskytovatele, aby https://<sid><client> bylo možné nakonfigurovat více jazyk ABAPch modulů SAP NetWeaver v Azure AD.

   

7. Generují se metadata poskytovatele služby: – Jakmile se dokončí konfigurace nastavení místní zprostředkovatel a důvěryhodní poskytovatelé na uživatelském rozhraní SAML 2,0, bude dalším krokem vygenerování souboru metadat poskytovatele služeb (který by obsahoval všechna nastavení, kontexty ověřování a další konfigurace v SAP). Po vygenerování tohoto souboru je potřeba ho nahrát do Azure AD.

   

   a. Přejít na kartu Místní poskytovatel.

   b. Klikněte na metadata.

   c. Uložte soubor XML generovaných metadat do vašeho počítače a nahrajte ho do základního konfiguračního oddílu SAML , abyste mohli automaticky vyplnit hodnoty identifikátoru adresy URL pro odpovědi v Azure Portal.

Pomocí těchto kroků povolíte jednotné přihlašování služby Azure AD v Azure Portal.

1. V Azure Portal na stránce integrace aplikací SAP NetWeaver najděte část Správa a vyberte jednotné přihlašování.

2. Na stránce Vyberte metodu jednotného přihlašování vyberte SAML.

3. Na stránce nastavit jeden Sign-On se stránkou SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

   

4. Pokud chcete nakonfigurovat aplikaci v režimu iniciované IDP , proveďte v základní části Konfigurace SAML následující krok:

   a. kliknutím na Upload soubor metadat nahrajte soubor metadat poskytovatele služeb, který jste získali dříve.

   b. Kliknutím na logo složky vyberte soubor metadat a klikněte na Upload.

   c. Po úspěšném nahrání souboru metadat se hodnoty adresy URL identifikátoru a odpovědi získají automaticky v základním textovém poli konfiguračního oddílu SAML, jak je znázorněno níže:

   d. Do textového pole přihlašovací adresa URL zadejte adresu URL pomocí následujícího vzoru: https://<your company instance of SAP NetWeaver>

   Poznámka

   Zjistili jsme, že někteří zákazníci hlásí chybu nesprávné adresy URL odpovědi nakonfigurované pro jejich instanci. Pokud se zobrazí nějaká chybová zpráva, můžete k nastavení správné adresy URL odpovědi pro vaši instanci použít následující skript PowerShellu jako pracovní.:

   Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"
   

   ID objektu ServicePrincipal je třeba nastavit sami sami nebo ho můžete předat také zde.

5. Aplikace SAP NetWeaver očekává kontrolní výrazy SAML v určitém formátu, což vyžaduje přidání mapování vlastních atributů do konfigurace atributů tokenu SAML. Následující snímek obrazovky ukazuje seznam výchozích atributů. Kliknutím na tlačítko Upravit ikonu otevřete dialogové okno atributy uživatele.

   

6. V části deklarace identity uživatelů v dialogu atributy uživatele NAKONFIGURUJTE atribut tokenu SAML, jak je znázorněno na obrázku výše, a proveďte následující kroky:

   a. Kliknutím na ikonu Upravit otevřete dialogové okno Spravovat deklarace identity uživatelů .

   

   

   b. V seznamu transformace vyberte ExtractMailPrefix ().

   c. V seznamu parametrů 1 vyberte User. userPrincipalName.

   d. Klikněte na Uložit.

7. Na stránce nastavit jeden Sign-On se stránkou SAML v části podpisový certifikát SAML Najděte XML metadata federace a vyberte Stáhnout a Stáhněte certifikát a uložte ho do svého počítače.

   

8. V části nastavení SAP NetWeaver zkopírujte příslušné adresy URL na základě vašeho požadavku.

   

Vytvoření testovacího uživatele Azure AD

V této části vytvoříte testovacího uživatele ve Azure Portal s názvem B. Simon.

1. v levém podokně Azure Portal vyberte možnost Azure Active Directory, vyberte možnost uživatelé a potom vyberte možnost všichni uživatelé.
2. V horní části obrazovky vyberte Nový uživatel .
3. Ve vlastnostech uživatele proveďte následující kroky:
   1. Do pole Název zadejte B.Simon.
   2. Do pole uživatelské jméno zadejte username@companydomain.extension . Například, B.Simon@contoso.com.
   3. Zaškrtněte políčko Zobrazit heslo a pak zapište hodnotu, která se zobrazí v poli heslo .
   4. Klikněte na Vytvořit.

Přiřazení testovacího uživatele Azure AD

V této části povolíte B. Simon pro použití jednotného přihlašování Azure tím, že udělíte přístup k SAP NetWeaver.

1. v Azure Portal vyberte Enterprise aplikace a pak vyberte všechny aplikace.
2. V seznamu aplikace vyberte SAP NetWeaver.
3. Na stránce Přehled aplikace najděte část Správa a vyberte Uživatelé a skupiny.
4. Vyberte Přidat uživatele a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny .
5. V dialogovém okně Uživatelé a skupiny vyberte v seznamu uživatelé možnost B. Simon a pak klikněte na tlačítko Vybrat v dolní části obrazovky. Pokud očekáváte, že role má být přiřazena uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci není nastavená žádná role, zobrazí se vybraná role výchozí přístup.
6. V dialogovém okně Přidat přiřazení klikněte na tlačítko přiřadit .

Konfigurace SAP NetWeaver pomocí SAML

1. Přihlaste se k systému SAP a použijte typu Saml2 kód transakce. Otevře se nové okno prohlížeče s obrazovkou konfigurace SAML.

2. Konfigurace koncových bodů pro důvěryhodného zprostředkovatele identity (Azure AD) přejít na kartu důvěryhodní zprostředkovatelé .

   

3. v místní nabídce stiskněte přidat a vyberte Upload soubor metadat .

   

4. Upload soubor metadat, který jste stáhli z Azure Portal.

   

5. Na další obrazovce zadejte název aliasu. Například aadsts a pokračujte stisknutím klávesy Next .

   

6. Ujistěte se, že algoritmus Digest by měl být SHA-256 a nevyžaduje žádné změny, a stiskněte tlačítko Další.

   

7. U jednoho koncového bodu Sign-On použijte http post a pokračujte kliknutím na Další .

   

8. V případě jednoho koncového bodu odhlášení vyberte HttpRedirect a pokračujte kliknutím na Další .

   

9. V koncových bodech artefaktu pokračujte stisknutím klávesy Next .

   

10. V nabídce požadavky na ověřování klikněte na Dokončit.

    

11. Přejít na kartu ID federace důvěryhodných zprostředkovatelů > (z dolní části obrazovky). Klikněte na Upravit.

    

12. Na kartě federace identit (dolní okno) klikněte na Přidat .

    

13. V místním okně vyberte Neurčeno z podporovaných formátů NameId a klikněte na OK.

    

14. Udělte zdrojové hodnotě ID uživatele jako atribut kontrolního výrazu, hodnotu režimu mapování ID uživatele jako e-mail a název atributu kontrolního výrazu http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name .

    

15. Všimněte si, že hodnoty zdrojového ID a mapování ID uživatele URČUJÍ propojení mezi uživatelem SAP a deklarací Azure AD.

    Scénář: uživatel SAP k mapování uživatelů Azure AD.

    a. NameID Podrobnosti obrazovky z SAP.

    

    b. Snímek obrazovky, který zmiňuje požadované deklarace identity z Azure AD.

    

    Scénář: v SU01 vyberte ID uživatele SAP na základě konfigurované e-mailové adresy. V tomto případě by se mělo v su01 nakonfigurovat ID e-mailu pro každého uživatele, který vyžaduje jednotné přihlašování.

    a. NameID Podrobnosti obrazovky z SAP.

    

    b. snímek obrazovky, který zmiňuje požadované deklarace identity z Azure AD.

    

16. Klikněte na Uložit a pak kliknutím na Povolit povolte poskytovatele identity.

    

17. Po zobrazení výzvy klikněte na OK .

    

    Vytvořit testovacího uživatele SAP NetWeaver

    V této části vytvoříte uživatele s názvem B. Simon v SAP NetWeaver. Pokud chcete přidat uživatele na platformě SAP NetWeaver, obraťte se na svého firemního odborného týmu SAP nebo pracujte s partnerem SAP vaší organizace.

Test SSO

1. Po aktivaci poskytovatele identity Azure AD se pokuste získat přístup k ověření jednotného přihlašování pod adresou URL (uživatelské jméno & heslo se nezobrazí.)

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   (nebo) použijte níže uvedenou adresu URL.

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   Poznámka

   Nahraďte sapurl skutečným názvem hostitele SAP.

2. Výše uvedená adresa URL by vám měla přebrat pod uvedenou obrazovkou. Pokud máte přístup k této stránce, instalace služby Jednotné přihlašování k Azure AD se úspěšně dokončila.

   

3. Pokud se zobrazí výzva k zadání uživatelského jména & hesla, Diagnostikujte prosím problém povolením trasování pod adresou URL.

   https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Konfigurace SAP NetWeaver pro OAuth

1. Dokumentovaný proces SAP je k dispozici v umístění: Služba brány NetWeaver povolování a vytváření oborů OAuth 2,0

2. Přejít na SPRO a najít služby Aktivace a údržba.

   

3. V tomto příkladu chceme připojit službu OData: DAAG_MNGGRP s OAuth pro jednotné přihlašování Azure AD. Pro službu použijte hledání názvu technické služby a v DAAG_MNGGRP případě, že ještě není aktivní (podívejte se na green kartu uzly pro bránu firewall), se už neaktivuje. Zajistěte, aby byl systémový alias (připojený back-end systém, kde je služba skutečně spuštěná) správný.

   

   • Potom na horním panelu tlačítek klikněte na tlačítko OAuth a přiřaďte scope ho (podržte výchozí název, jak se nabízí).

4. V našem příkladu je obor vygenerován z názvu služby automatickým DAAG_MNGGRP_001 přidáním čísla. Sestavu /IWFND/R_OAUTH_SCOPES můžete použít ke změně názvu oboru nebo k ruční vytvoření.

   

   Poznámka

   Message soft state status is not supported – je možné ignorovat, protože to není problém. Další podrobnosti najdete tady.

Vytvoření uživatele služby pro klienta OAuth 2.0

1. OAuth2 používá k získání přístupového tokenu pro koncového service ID uživatele jeho jménem . Důležité omezení podle návrhu OAuth: při žádosti o přístupový token musí být totožný s klientem OAuth 2.0 Client ID username OAuth 2.0, který používá pro přihlášení. Proto v našem příkladu zaregistrujeme klienta OAuth 2.0 s názvem CLIENT1. Předpokladem je, že uživatel se stejným názvem (CLIENT1) musí existovat v systému SAP a tohoto uživatele nakonfigurujeme tak, aby ho používala odkazované aplikace.

2. Při registraci klienta OAuth používáme SAML Bearer Grant type .

   Poznámka

   Další podrobnosti najdete v tématu Registrace klienta OAuth 2.0 pro typ udělení beareru SAML tady.

3. tcod: SU01 / create user CLIENT1 as a assign password, save it as need to provide the API programmer, who should burn it with the username to the System type calling code. Neměl by být přiřazen žádný profil ani role.

Registrace nového ID klienta OAuth 2.0 pomocí průvodce vytvořením

1. Pokud chcete zaregistrovat nového klienta OAuth 2.0, spusťte transakci SOAUTH2. Transakce zobrazí přehled již zaregistrovaných klientů OAuth 2.0. Zvolte Vytvořit a spusťte průvodce pro nového klienta OAuth s názvem CLIENT1 v tomto příkladu.

2. Přejděte na T-Code: SOAUTH2, zadejte popis a klikněte na Další.

   

   

3. V rozevíracím seznamu vyberte již přidaného zprostředkovatele zabezpečení SAML2 – Azure AD a uložte ho.

   

   

   

4. Kliknutím na Přidat pod přiřazením oboru přidejte dříve vytvořený obor: DAAG_MNGGRP_001

   

   

5. Klikněte na dokončit.

Další kroky

Po konfiguraci Azure AD SAP NetWeaver můžete vynutit řízení relací, které chrání před exfiltrací a infiltrací citlivých dat vaší organizace v reálném čase. Řízení relace rozšiřuje možnosti podmíněného přístupu. Zjistěte, jak vynutit řízení relací pomocí Microsoft Defenderu for Cloud Apps.