Kurz: Integrace jednotného přihlašování (SSO) Microsoftu s SAP NetWeaverem

V tomto kurzu se dozvíte, jak integrovat SAP NetWeaver s Microsoft Entra ID. Když integrujete SAP NetWeaver s Microsoft Entra ID, můžete:

• Řízení v Microsoft Entra ID, který má přístup k SAP NetWeaver.
• Povolte uživatelům, aby se k SAP NetWeaveru automaticky přihlásili pomocí svých účtů Microsoft Entra.
• Spravujte účty v jednom centrálním umístění.

Požadavky

Abyste mohli začít, potřebujete následující položky:

• Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
• Předplatné s povoleným jednotným přihlašováním (SSO) SAP NetWeaver
• SAP NetWeaver V7.20 vyžaduje alespoň

Popis scénáře

• SAP NetWeaver podporuje SAML (jednotné přihlašování iniciované sp) i OAuth. V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

Poznámka:

Identifikátor této aplikace je pevná řetězcová hodnota, takže v jednom tenantovi je možné nakonfigurovat pouze jednu instanci.

Poznámka:

Podle požadavku vaší organizace nakonfigurujte aplikaci buď v SAML, nebo v OAuth.

Přidání SAP NetWeaveru z galerie

Pokud chcete nakonfigurovat integraci SAP NetWeaveru do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat SAP NetWeaver z galerie.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
3. V části Přidat z galerie zadejte do vyhledávacího pole SAP NetWeaver.
4. Na panelu výsledků vyberte SAP NetWeaver a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro SAP NetWeaver

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s SAP NetWeaver pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v SAP NetWeaver.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s SAP NetWeaverem, proveďte následující kroky:

1. Nakonfigurujte jednotné přihlašování Microsoft Entra tak, aby uživatelé mohli tuto funkci používat.
   1. Vytvořte testovacího uživatele Microsoft Entra, který otestuje jednotné přihlašování Microsoft Entra pomocí B.Simon.
   2. Přiřaďte testovacímu uživateli Microsoft Entra, aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
2. Nakonfigurujte SAP NetWeaver pomocí SAML a nakonfigurujte nastavení jednotného přihlašování na straně aplikace.
   1. Vytvořte testovacího uživatele SAP NetWeaver, který má v SAP NetWeaveru protějšek B.Simon, který je propojený s reprezentací uživatele Microsoft Entra.
3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.
4. Nakonfigurujte SAP NetWeaver pro OAuth tak, aby na straně aplikace nakonfigurovali nastavení OAuth.

Konfigurace jednotného přihlašování Microsoft Entra

V této části povolíte jednotné přihlašování Microsoft Entra.

Pokud chcete nakonfigurovat jednotné přihlašování Microsoft Entra pomocí SAP NetWeaveru, proveďte následující kroky:

1. Otevřete nové okno webového prohlížeče a přihlaste se k firemnímu webu SAP NetWeaver jako správce.

2. Ujistěte se, že jsou v kódu SMICM T-Code aktivní služby HTTP a https a že jsou přiřazeny příslušné porty.

3. Přihlaste se k obchodnímu klientovi systému SAP (T01), kde se vyžaduje jednotné přihlašování a aktivuje správu relací zabezpečení HTTP.

   1. Přejděte na kód transakce SICF_SESSIONS. Zobrazí všechny relevantní parametry profilu s aktuálními hodnotami. Vypadají takto:-

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0 
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Poznámka:

      Upravte výše uvedené parametry podle požadavků vaší organizace, výše uvedené parametry jsou zde uvedeny pouze jako indikace.

   2. V případě potřeby upravte parametry v profilu instance nebo výchozího profilu systému SAP a restartujte systém SAP.

   3. Poklikáním na příslušného klienta povolte relaci zabezpečení HTTP.

      

   4. Aktivace následujících služeb SICF:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Přejděte na Kód transakce SAML2 v obchodním klientovi systému SAP [T01/122]. Otevře se uživatelské rozhraní v prohlížeči. V tomto příkladu jsme jako obchodní klient SAP předpokládali 122.

   

5. Zadejte uživatelské jméno a heslo pro zadání uživatelského rozhraní a klikněte na Upravit.

   

6. Nahraďte název zprostředkovatele Z T01122 do http://T01122 a klikněte na Uložit.

   Poznámka:

   Ve výchozím nastavení název zprostředkovatele pochází jako <sid><client> formát, ale Microsoft Entra ID očekává název ve formátu <protocol>://<name>, doporučuje udržovat název zprostředkovatele, aby https://<sid><client> více modulů SAP NetWeaver jazyk ABAP konfigurovat v Microsoft Entra ID.

   

7. Generování metadat zprostředkovatele služeb: Jakmile dokončíme konfiguraci nastavení místního zprostředkovatele a důvěryhodných poskytovatelů v uživatelském rozhraní SAML 2.0, dalším krokem bude vygenerovat soubor metadat poskytovatele služeb (který bude obsahovat všechna nastavení, kontexty ověřování a další konfigurace v SAP). Jakmile se tento soubor vygeneruje, musíme ho nahrát do MICROSOFT Entra ID.

   

   1. Přejděte na kartu Místní zprostředkovatel.

   2. Klikněte na Metadata.

   3. Uložte vygenerovaný soubor XML metadat do počítače a nahrajte ho v části Základní konfigurace SAML, aby se automaticky vyplní hodnoty identifikátorua adresy URL odpovědi na webu Azure Portal.

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte na stránku integrace aplikací identit>>SAP NetWeaver pro podnikové aplikace>SAP NetWeaver, vyhledejte oddíl Správa a vyberte Jednotné přihlašování.

3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

4. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

   

5. Pokud chcete nakonfigurovat aplikaci v režimu iniciovaném protokolem IDP, v části Základní konfigurace SAML proveďte následující krok:

   1. Kliknutím na Nahrát soubor metadat nahrajete soubor metadat zprostředkovatele služeb, který jste získali dříve.

   2. Kliknutím na logo složky vyberte soubor metadat a klikněte na Nahrát.

   3. Po úspěšném nahrání souboru metadat se hodnoty identifikátoru a adresy URL odpovědi automaticky vyplní do textového pole základní konfigurace SAML, jak je znázorněno níže:

   4. Do textového pole Přihlašovací adresa URL zadejte adresu URL pomocí následujícího vzoru: https://<your company instance of SAP NetWeaver>

   Poznámka:

   Někteří zákazníci narazili na chybu nesprávné adresy URL odpovědi nakonfigurované pro svou instanci. Pokud se zobrazí nějaká taková chyba, použijte tyto příkazy PowerShellu. Nejprve aktualizujte adresy URL odpovědí v objektu aplikace pomocí adresy URL odpovědi a pak aktualizujte instanční objekt. K získání hodnoty ID instančního objektu použijte Get-MgServicePrincipal.

   $params = @{
      web = @{
         redirectUris = "<Your Correct Reply URL>"
      }
   }
   Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
   Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
   

6. Aplikace SAP NetWeaver očekává kontrolní výrazy SAML v určitém formátu, což vyžaduje přidání vlastních mapování atributů na konfiguraci atributů tokenu SAML. Následující snímek obrazovky ukazuje seznam výchozích atributů. Kliknutím na ikonu Upravit otevřete dialogové okno Atributy uživatele.

   

7. V části Deklarace identity uživatele v dialogovém okně Atributy uživatele nakonfigurujte atribut tokenu SAML, jak je znázorněno na obrázku výše, a proveďte následující kroky:

   1. Kliknutím na ikonu Upravit otevřete dialogové okno Spravovat deklarace identity uživatelů.

      

      

   2. V seznamu transformace vyberte ExtractMailPrefix().

   3. V seznamu Parametr 1 vyberte user.userprincipalname.

   4. Klikněte na Uložit.

8. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte XML federačních metadat a vyberte stáhnout certifikát a uložit ho do počítače.

   

9. V části Nastavení SAP NetWeaver zkopírujte odpovídající adresy URL na základě vašeho požadavku.

   

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
4. Ve vlastnostech uživatele postupujte takto:
   1. Do pole Zobrazovaný název zadejte B.Simon.
   2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
   3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
   4. Vyberte Zkontrolovat a vytvořit.
5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k SAP NetWeaveru.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte k podnikovým aplikacím>Identita>Applications>SAP NetWeaver.
3. Na stránce s přehledem aplikace najděte oddíl Spravovat a vyberte Uživatelé a skupiny.
4. Vyberte Přidat uživatele a potom v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
5. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
6. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace SAP NetWeaveru pomocí SAML

1. Přihlaste se k systému SAP a přejděte na kód transakce SAML2. Otevře se nové okno prohlížeče s konfigurační obrazovkou SAML.

2. Pokud chcete konfigurovat koncové body pro důvěryhodného zprostředkovatele identity (Microsoft Entra ID), přejděte na kartu Důvěryhodné zprostředkovatele .

   

3. V místní nabídce stiskněte Přidat a vyberte Nahrát soubor metadat.

   

4. Nahrajte soubor metadat, který jste stáhli.

   

5. Na další obrazovce zadejte název aliasu. Například aadsts a pokračujte stisknutím klávesy Další .

   

6. Ujistěte se, že algoritmus digest by měl být SHA-256 a nevyžaduje žádné změny a stiskněte klávesu Další.

   

7. V koncových bodech jednotného přihlašování použijte HTTP POST a pokračujte kliknutím na tlačítko Další .

   

8. V koncových bodech s jedním odhlášením vyberte HTTPRedirect a pokračujte kliknutím na tlačítko Další .

   

9. V koncových bodech artefaktů pokračujte stisknutím klávesy Další.

   

10. V poli Požadavky na ověření klikněte na Dokončit.

    

11. Přejděte na kartu Důvěryhodná federace identity zprostředkovatele>(v dolní části obrazovky). Klikněte na možnost Upravit.

    

12. Klikněte na Přidat na kartě Federace identit (dolní okno).

    

13. V automaticky otevíraných otevíraných oknech vyberte v podporovaných formátech NameID možnost Nezadanáa klikněte na TLAČÍTKO OK.

    

14. Zadejte hodnotu Zdroj ID uživatele jako kontrolní atribut, hodnota režimu mapování ID uživatele jako Název atributu e-mailu a kontrolního výrazu jako http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    

15. Všimněte si, že hodnoty režimu mapování ID uživatele a ID uživatele určují propojení mezi uživatelem SAP a deklarací Identity Microsoft Entra.

Scénář: Mapování uživatelů SAP na Microsoft Entra

1. Snímek obrazovky s podrobnostmi ID názvu ze SAP

   

2. Snímek obrazovky se zmínkou o požadovaných deklarací identity z ID Microsoft Entra

   

   Scénář: Vyberte ID uživatele SAP na základě nakonfigurované e-mailové adresy v SU01. V takovém případě by mělo být ID e-mailu nakonfigurované v su01 pro každého uživatele, který vyžaduje jednotné přihlašování.

   1. Snímek obrazovky s podrobnostmi ID názvu ze SAP

      

   2. Snímek obrazovky se zmínkou o požadovaných deklarací identity z ID Microsoft Entra

   

3. Klepněte na tlačítko Uložit a potom klepněte na tlačítko Povolit povolit zprostředkovatele identity.

   

4. Po zobrazení výzvy klikněte na OK .

   

Vytvoření testovacího uživatele SAP NetWeaver

V této části vytvoříte uživatele B.simon v SAP NetWeaver. Obraťte se prosím na tým odborníků na SAP nebo spolupracujte s partnerem SAP vaší organizace a přidejte uživatele na platformě SAP NetWeaver.

Testování jednotného přihlašování

1. Po aktivaci zprostředkovatele identity Microsoft Entra ID zkuste zkontrolovat jednotné přihlašování pod adresou URL (nezobrazí se výzva k zadání uživatelského jména a hesla).

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   (nebo) použijte následující adresu URL.

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   Poznámka:

   Nahraďte sapurl skutečným názvem hostitele SAP.

2. Výše uvedená adresa URL by vás měla dostat na níže uvedenou obrazovku. Pokud se můžete spojit až na následující stránku, instalace jednotného přihlašování Microsoft Entra se úspěšně dokončila.

   

3. Pokud se zobrazí výzva k zadání uživatelského jména a hesla, diagnostikujte problém povolením trasování pomocí následující adresy URL.

   https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Konfigurace SAP NetWeaveru pro OAuth

1. Dokumentovaný proces SAP je k dispozici v umístění: Povolení služby brány NetWeaver a vytvoření oboru OAuth 2.0

2. Přejděte na SPRO a vyhledejte služby Activate and Maintain.

   

3. V tomto příkladu chceme připojit službu OData: DAAG_MNGGRP pomocí OAuth k jednotnému přihlašování Microsoft Entra. Použijte vyhledání názvu technické služby pro službu DAAG_MNGGRP a aktivaci, pokud ještě není aktivní (vyhledejte green stav na kartě Uzly ICF). Ujistěte se, jestli je správný systémový alias (připojený back-endový systém, ve kterém je služba skutečně spuštěná).

   

   • Potom klikněte na tlačítko OAuth na horním panelu tlačítek a přiřaďte scope (ponechte výchozí název podle nabídky).

4. V našem příkladu je DAAG_MNGGRP_001obor vygenerován z názvu služby tím, že automaticky přidá číslo. Sestavu /IWFND/R_OAUTH_SCOPES můžete použít ke změně názvu oboru nebo ručnímu vytvoření.

   

   Poznámka:

   Zpráva soft state status is not supported – lze ignorovat, protože žádný problém.

Vytvoření uživatele služby pro klienta OAuth 2.0

1. OAuth2 používá service ID přístupový token pro koncového uživatele za něj. Důležité omezení návrhu OAuth: OAuth 2.0 Client ID Musí být stejné jako username u klienta OAuth 2.0, který používá pro přihlášení při vyžádání přístupového tokenu. Proto v našem příkladu zaregistrujeme klienta OAuth 2.0 s názvem CLIENT1 a jako předpoklad, že uživatel se stejným názvem (CLIENT1) musí existovat v systému SAP a že uživatel, kterého nakonfigurujeme, aby ho používala uvedená aplikace.

2. Při registraci klienta OAuth používáme SAML Bearer Grant type.

   Poznámka:

   Další podrobnosti najdete v tématu OAuth 2.0 Client Registration for the SAML Bearer Grant Type here.

3. tcod: SU01 / vytvořit uživatel CLIENT1 jako System type a přiřadit heslo, uložte ho jako nutné zadat přihlašovací údaje programátorovi rozhraní API, který by ho měl vypálit s uživatelským jménem na volající kód. Neměl by být přiřazen žádný profil ani role.

Registrace nového ID klienta OAuth 2.0 pomocí průvodce vytvořením

1. Registrace nového klienta OAuth 2.0 spuštění transakce SOAUTH2. Transakce zobrazí přehled o již zaregistrovaných klientech OAuth 2.0. Zvolte Vytvořit a spusťte průvodce pro nového klienta OAuth s názvem CLIENT1 v tomto příkladu.

2. Přejděte na T-Code: SOAUTH2 a zadejte popis a klikněte na další.

   

   

3. V rozevíracím seznamu vyberte id SAML2 – Microsoft Entra ID a uložte ho.

   

   

   

4. Kliknutím na Přidat pod přiřazení oboru přidejte dříve vytvořený obor: DAAG_MNGGRP_001

   

   

5. Klikněte na dokončit.

Další kroky

Jakmile nakonfigurujete Microsoft Entra SAP NetWeaver, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.