Tutorial: Integración del inicio de sesión único (SSO) de Azure Active Directory con SAP NetWeaverTutorial: Azure Active Directory Single sign-on (SSO) integration with SAP NetWeaver

En este tutorial, aprenderá a integrar SAP NetWeaver con Azure Active Directory (Azure AD).In this tutorial, you'll learn how to integrate SAP NetWeaver with Azure Active Directory (Azure AD). Al integrar SAP NetWeaver con Azure AD, puede hacer lo siguiente:When you integrate SAP NetWeaver with Azure AD, you can:

  • Controlar en Azure AD quién tiene acceso a SAP NetWeaver.Control in Azure AD who has access to SAP NetWeaver.
  • Permitir que los usuarios inicien sesión automáticamente en SAP NetWeaver con sus cuentas de Azure AD.Enable your users to be automatically signed-in to SAP NetWeaver with their Azure AD accounts.
  • Administrar las cuentas desde una ubicación central (Azure Portal).Manage your accounts in one central location - the Azure portal.

Para más información sobre la integración de aplicaciones SaaS con Azure AD, consulte ¿Qué es el acceso a aplicaciones y el inicio de sesión único con Azure Active Directory?To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

Requisitos previosPrerequisites

Para empezar, necesita los siguientes elementos:To get started, you need the following items:

  • Una suscripción de Azure AD.An Azure AD subscription. Si no tiene una suscripción, puede crear una cuenta gratuita.If you don't have a subscription, you can get a free account.
  • Suscripción habilitada para el inicio de sesión único (SSO) en SAP NetWeaverSAP NetWeaver single sign-on (SSO) enabled subscription.
  • Se requiere SAP NetWeaver V7.20 como mínimoSAP NetWeaver V7.20 required atleast

Descripción del escenarioScenario description

SAP NetWeaver admite tanto SAML (SSO iniciado por el SP) como OAuth.SAP NetWeaver supports both SAML (SP initiated SSO) and OAuth. En este tutorial, va a configurar y probar el inicio de sesión único de Azure AD en un entorno de prueba.In this tutorial, you configure and test Azure AD SSO in a test environment.

Nota

Configure la aplicación en SAML o en OAuth, según el requisito de la organización.Configure the application either in SAML or in OAuth as per your organizational requirement.

Para configurar la integración de SAP NetWeaver en Azure AD, deberá agregar esta solución desde la galería a la lista de aplicaciones SaaS administradas.To configure the integration of SAP NetWeaver into Azure AD, you need to add SAP NetWeaver from the gallery to your list of managed SaaS apps.

  1. Inicie sesión en Azure Portal con una cuenta personal, profesional o educativa de Microsoft.Sign in to the Azure portal using either a work or school account, or a personal Microsoft account.
  2. En el panel de navegación de la izquierda, seleccione el servicio Azure Active Directory.On the left navigation pane, select the Azure Active Directory service.
  3. Vaya a Aplicaciones empresariales y seleccione Todas las aplicaciones.Navigate to Enterprise Applications and then select All Applications.
  4. Para agregar una nueva aplicación, seleccione Nueva aplicación.To add new application, select New application.
  5. En la sección Agregar desde la galería, escriba SAP NetWeaver en el cuadro de búsqueda.In the Add from the gallery section, type SAP NetWeaver in the search box.
  6. Seleccione SAP NetWeaver en el panel de resultados y agregue la aplicación.Select SAP NetWeaver from results panel and then add the app. Espere unos segundos mientras la aplicación se agrega al inquilino.Wait a few seconds while the app is added to your tenant.

Configuración y prueba del inicio de sesión único de Azure AD para SAP NetWeaverConfigure and test Azure AD single sign-on for SAP NetWeaver

Configure y pruebe el inicio de sesión único de Azure AD con SAP NetWeaver mediante un usuario de prueba llamado B.Simon.Configure and test Azure AD SSO with SAP NetWeaver using a test user called B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vinculación entre un usuario de Azure AD y el usuario relacionado de SAP NetWeaver.For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in SAP NetWeaver.

Para configurar y probar el inicio de sesión único de Azure AD con SAP NetWeaver, es preciso completar los siguientes bloques de creación:To configure and test Azure AD SSO with SAP NetWeaver, complete the following building blocks:

  1. Configuración del inicio de sesión único de Azure AD , para permitir que los usuarios puedan utilizar esta característica.Configure Azure AD SSO to enable your users to use this feature.
    1. Creación de un usuario de prueba de Azure AD , para probar el inicio de sesión único de Azure AD con B.Simon.Create an Azure AD test user to test Azure AD single sign-on with B.Simon.
    2. Asignación del usuario de prueba de Azure AD , para habilitar a B.Simon para que use el inicio de sesión único de Azure AD.Assign the Azure AD test user to enable B.Simon to use Azure AD single sign-on.
  2. Configuración de SAP NetWeaver con SAML , para configurar los valores de inicio de sesión único en la aplicación.Configure SAP NetWeaver using SAML to configure the SSO settings on application side.
    1. Creación de un usuario de prueba de SAP NetWeaver , para tener un homólogo de B.Simon en SAP NetWeaver vinculado a su representación en Azure AD.Create SAP NetWeaver test user to have a counterpart of B.Simon in SAP NetWeaver that is linked to the Azure AD representation of user.
  3. Comprobación del inicio de sesión único , para verificar que la configuración funciona correctamente.Test SSO to verify whether the configuration works.
  4. Configuración de SAP NetWeaver para OAuth , para configurar las opciones de OAuth en la aplicación.Configure SAP NetWeaver for OAuth to configure the OAuth settings on application side.

Configuración del inicio de sesión único de Azure ADConfigure Azure AD SSO

En esta sección, habilitará el inicio de sesión único de Azure AD en Azure Portal.In this section, you enable Azure AD single sign-on in the Azure portal.

Para configurar el inicio de sesión único de Azure AD con SAP NetWeaver, realice los pasos siguientes:To configure Azure AD single sign-on with SAP NetWeaver, perform the following steps:

  1. Abra una ventana del explorador web e inicie sesión en el sitio de la compañía SAP NetWeaver como administrador.Open a new web browser window and sign into your SAP NetWeaver company site as an administrator

  2. Asegúrese de que los servicios http y https están activos y de que se asignan los puertos adecuados en el código de transacción SMICM.Make sure that http and https services are active and appropriate ports are assigned in SMICM T-Code.

  3. Inicie sesión en el cliente empresarial del sistema de SAP (T01) donde se requiere el inicio de sesión único y active la administración de sesiones de seguridad HTTP.Sign on to business client of SAP System (T01), where SSO is required and activate HTTP Security session Management.

    a.a. Vaya al código de transacción SICF_SESSIONS.Go to Transaction code SICF_SESSIONS. Se muestran todos los parámetros de perfil correspondientes con sus valores actuales.It displays all relevant profile parameters with current values. Se ven como se muestra a continuación:They look like below:-

    login/create_sso2_ticket = 2
    login/accept_sso2_ticket = 1
    login/ticketcache_entries_max = 1000
    login/ticketcache_off = 0  login/ticket_only_by_https = 0 
    icf/set_HTTPonly_flag_on_cookies = 3
    icf/user_recheck = 0  http/security_session_timeout = 1800
    http/security_context_cache_size = 2500
    rdisp/plugin_auto_logout = 1800
    rdisp/autothtime = 60
    

    Nota

    Ajuste los parámetros anteriores según las necesidades de la organización. Los parámetros anteriores se proporcionan solo como indicación.Adjust above parameters as per your organization requirements, Above parameters are given here as indication only.

    b.b. De ser necesario, ajuste los parámetros en el perfil de instancia o predeterminado del sistema SAP y reinicie el sistema SAP.If necessary adjust parameters, in the instance/default profile of SAP system and restart SAP system.

    c.c. Haga doble clic en el cliente pertinente para habilitar la sesión de seguridad HTTP.Double-click on relevant client to enable HTTP security session.

    Vínculo de descarga del certificado

    d.d. Active los siguientes servicios SICF:Activate below SICF services:

    /sap/public/bc/sec/saml2
    /sap/public/bc/sec/cdc_ext_service
    /sap/bc/webdynpro/sap/saml2
    /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
    
  4. Vaya al código de transacción SAML2 en el cliente empresarial del sistema SAP [T01/122].Go to Transaction code SAML2 in business client of SAP system [T01/122]. Se abrirá una interfaz de usuario en el explorador.It will open a user interface in a browser. En este ejemplo, se supone a 122 como el cliente empresarial SAP.In this example, we assumed 122 as SAP business client.

    Vínculo de descarga del certificado

  5. Indique su nombre de usuario y contraseña para ingresar a la interfaz de usuario y haga clic en Editar.Provide your username and password to enter in user interface and click Edit.

    Vínculo de descarga del certificado

  6. Reemplace el nombre del proveedor de T01122 por http://T01122 y haga clic en Guardar.Replace Provider Name from T01122 to http://T01122 and click on Save.

    Nota

    De forma predeterminada, el nombre de proveedor tiene el formato <sid><client>, pero Azure AD espera que el nombre tenga el formato <protocol>://<name>. Se recomienda que el nombre del proveedor se mantenga como https://<sid><client> para permitir la configuración de varios motores ABAP de SAP NetWeaver en Azure AD.By default provider name come as <sid><client> format but Azure AD expects name in the format of <protocol>://<name>, recommending to maintain provider name as https://<sid><client> to allow multiple SAP NetWeaver ABAP engines to configure in Azure AD.

    Vínculo de descarga del certificado

  7. Generación de metadatos del proveedor de servicio: una vez que hemos terminado con la configuración del proveedor local y de los proveedores de confianza en la interfaz de usuario de SAML 2.0, el siguiente paso sería generar el archivo de metadatos del proveedor de servicios (que contendrá todas las configuraciones, contextos de autenticación y otras configuraciones de SAP).Generating Service Provider Metadata:- Once we are done with configuring the Local Provider and Trusted Providers settings on SAML 2.0 User Interface, the next step would be to generate the service provider’s metadata file (which would contain all the settings, authentication contexts and other configurations in SAP). Una vez que se genera este archivo, es necesario cargarlo en Azure AD.Once this file is generated we need to upload this in Azure AD.

    Vínculo de descarga del certificado

    a.a. Vaya a la pestaña Proveedor local.Go to Local Provider tab.

    b.b. Haga clic en Metadatos.Click on Metadata.

    c.c. Guarde el archivo de metadatos XML generado en el equipo y cárguelo en la sección Configuración básica de SAML para rellenar de forma automática los valores Identificador y URL de respuesta en Azure Portal.Save the generated Metadata XML file on your computer and upload it in Basic SAML Configuration section to autopopulate the Identifier and Reply URL values in Azure portal.

Siga estos pasos para habilitar el inicio de sesión único de Azure AD en Azure Portal.Follow these steps to enable Azure AD SSO in the Azure portal.

  1. En Azure Portal, en la página de integración de aplicaciones de SAP NetWeaver, busque la sección Administrar y seleccione Inicio de sesión único.In the Azure portal, on the SAP NetWeaver application integration page, find the Manage section and select Single sign-on.

  2. En la página Seleccione un método de inicio de sesión único, seleccione SAML.On the Select a Single sign-on method page, select SAML.

  3. En la página Configurar el inicio de sesión único con SAML, haga clic en el icono de edición o con forma de lápiz para abrir el cuadro de diálogo Configuración básica de SAML y modificar la configuración.On the Set up Single Sign-On with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    Edición de la configuración básica de SAML

  4. En la sección Configuración básica de SAML, si desea configurar la aplicación en modo iniciado por IDP, realice el siguiente paso:On the Basic SAML Configuration section, if you wish to configure the application in IDP initiated mode, perform the following step:

    a.a. Haga clic en Cargar archivo de metadatos para cargar el archivo de metadatos del proveedor de servicios que obtuvo anteriormente.Click Upload metadata file to upload the Service Provider metadata file, which you have obtained earlier.

    b.b. Haga clic en el logotipo de la carpeta para seleccionar el archivo de metadatos y luego en Cargar.Click on folder logo to select the metadata file and click Upload.

    c.c. Una vez que se haya cargado correctamente el archivo de metadatos, los valores Identificador y Dirección URL de respuesta se rellenan automáticamente en el cuadro de texto de la sección Configuración básica de SAML, como se muestra a continuación:After the metadata file is successfully uploaded, the Identifier and Reply URL values get auto populated in Basic SAML Configuration section textbox as shown below:

    d.d. En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón: https://<your company instance of SAP NetWeaver>In the Sign-on URL text box, type a URL using the following pattern: https://<your company instance of SAP NetWeaver>

    Nota

    Hemos visto que algunos clientes informan de que se ha producido un error al configurar una dirección URL de respuesta incorrecta para su instancia.We have seen few customers reporting an error of incorrect Reply URL configured for their instance. Si recibe algún error de ese tipo, puede usar el siguiente script de PowerShell como forma provisional de establecer la dirección URL de respuesta correcta para la instancia:If you receive any such error, you can use following PowerShell script as a work around to set the correct Reply URL for your instance.:

    Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"
    

    Puede establecer usted mismo el identificador de objeto de ServicePrincipal en primer lugar o bien puede pasarlo también aquí.ServicePrincipal Object ID is to be set by yourself first or you can pass that also here.

  5. La aplicación SAP NetWeaver espera las aserciones de SAML en un formato específico, lo que requiere que se agreguen asignaciones de atributo personalizadas a la configuración de los atributos del token SAML.SAP NetWeaver application expects the SAML assertions in a specific format, which requires you to add custom attribute mappings to your SAML token attributes configuration. La siguiente captura de muestra la lista de atributos predeterminados.The following screenshot shows the list of default attributes. Haga clic en el icono Editar para abrir el cuadro de diálogo Atributos de usuario.Click Edit icon to open User Attributes dialog.

    imagen

  6. En la sección Notificaciones del usuario del cuadro de diálogo Atributos de usuario, configure el atributo Token SAML como muestra la imagen anterior y realice los siguientes pasos:In the User Claims section on the User Attributes dialog, configure SAML token attribute as shown in the image above and perform the following steps:

    a.a. Haga clic en el icono Editar para abrir el cuadro de diálogo Administrar las notificaciones del usuario.Click Edit icon to open the Manage user claims dialog.

    imagen

    imagen

    b.b. En la lista Transformación, seleccione ExtractMailPrefix() .From the Transformation list, select ExtractMailPrefix().

    c.c. En la lista Parámetro 1, seleccione user.userprinicipalname.From the Parameter 1 list, select user.userprinicipalname.

    d.d. Haga clic en Save(Guardar).Click Save.

  7. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque XML de metadatos de federación y seleccione Descargar para descargar el certificado y guardarlo en su equipo.On the Set up Single Sign-On with SAML page, in the SAML Signing Certificate section, find Federation Metadata XML and select Download to download the certificate and save it on your computer.

    Vínculo de descarga del certificado

  8. En la sección Set up SAP NetWeaver (Configurar SAP NetWeaver), copie las direcciones URL adecuadas según sus necesidades.On the Set up SAP NetWeaver section, copy the appropriate URL(s) based on your requirement.

    Copiar direcciones URL de configuración

Creación de un usuario de prueba de Azure ADCreate an Azure AD test user

En esta sección, va a crear un usuario de prueba llamado B.Simon en Azure Portal.In this section, you'll create a test user in the Azure portal called B.Simon.

  1. En el panel izquierdo de Azure Portal, seleccione Azure Active Directory, Usuarios y Todos los usuarios.From the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. Seleccione Nuevo usuario en la parte superior de la pantalla.Select New user at the top of the screen.
  3. En las propiedades del usuario, siga estos pasos:In the User properties, follow these steps:
    1. En el campo Nombre, escriba B.Simon.In the Name field, enter B.Simon.
    2. En el campo Nombre de usuario, escriba username@companydomain.extension.In the User name field, enter the username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.For example, B.Simon@contoso.com.
    3. Active la casilla Show password (Mostrar contraseña) y, después, anote el valor que se muestra en el cuadro Contraseña.Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Haga clic en Create(Crear).Click Create.

Asignación del usuario de prueba de Azure ADAssign the Azure AD test user

En esta sección, va a permitir que B.Simon acceda a SAP NetWeaver mediante el inicio de sesión único de Azure.In this section, you'll enable B.Simon to use Azure single sign-on by granting access to SAP NetWeaver.

  1. En Azure Portal, seleccione sucesivamente Aplicaciones empresariales y Todas las aplicaciones.In the Azure portal, select Enterprise Applications, and then select All applications.

  2. En la lista de aplicaciones, seleccione SAP NetWeaver.In the applications list, select SAP NetWeaver.

  3. En la página de información general de la aplicación, busque la sección Administrar y seleccione Usuarios y grupos.In the app's overview page, find the Manage section and select Users and groups.

    Vínculo "Usuarios y grupos"

  4. Seleccione Agregar usuario. A continuación, en el cuadro de diálogo Agregar asignación, seleccione Usuarios y grupos.Select Add user, then select Users and groups in the Add Assignment dialog.

    Vínculo de Agregar usuario

  5. En el cuadro de diálogo Usuarios y grupos, seleccione B.Simon de la lista de usuarios y haga clic en el botón Seleccionar de la parte inferior de la pantalla.In the Users and groups dialog, select B.Simon from the Users list, then click the Select button at the bottom of the screen.

  6. Si espera que haya un valor de rol en la aserción de SAML, en el cuadro de diálogo Seleccionar rol, seleccione en la lista el rol adecuado para el usuario y haga clic en el botón Seleccionar en la parte inferior de la pantalla.If you're expecting any role value in the SAML assertion, in the Select Role dialog, select the appropriate role for the user from the list and then click the Select button at the bottom of the screen.

  7. En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.In the Add Assignment dialog, click the Assign button.

Configuración de SAP NetWeaver con SAMLConfigure SAP NetWeaver using SAML

  1. Inicie sesión en el sistema SAP y vaya al código de transacción SAML2.Sign in to SAP system and go to transaction code SAML2. Se abre una nueva ventana del explorador con la pantalla de configuración de SAML.It opens new browser window with SAML configuration screen.

  2. Para configurar puntos de conexión para el proveedor de identidades de confianza (Azure AD), vaya a la pestaña Proveedores de confianza.For configuring End points for trusted Identity provider (Azure AD) go to Trusted Providers tab.

    Configurar inicio de sesión único

  3. Presione Agregar y seleccione Cargar archivo de metadatos en el menú contextual.Press Add and select Upload Metadata File from the context menu.

    Configurar inicio de sesión único

  4. Cargue el archivo de metadatos que ha descargado desde Azure Portal.Upload metadata file, which you have downloaded from the Azure portal.

    Configurar inicio de sesión único

  5. En la siguiente pantalla, escriba el nombre de alias.In the next screen type the Alias name. Por ejemplo, aadsts, y presione Siguiente para continuar.For example, aadsts and press Next to continue.

    Configurar inicio de sesión único

  6. Asegúrese de que su algoritmo de síntesis sea SHA-256 y no requiera de ningún cambio y presione Siguiente.Make sure that your Digest Algorithm should be SHA-256 and don’t require any changes and press Next.

    Configurar inicio de sesión único

  7. En Single Sign-On Endpoints (Puntos de conexión de inicio de sesión único), utilice HTTP POST y haga clic en Siguiente para continuar.On Single Sign-On Endpoints, use HTTP POST and click Next to continue.

    Configurar inicio de sesión único

  8. En Single Logout Endpoints (Puntos de conexión de cierre de sesión único), seleccione HTTPRedirect y haga clic en Siguiente para continuar.On Single Logout Endpoints select HTTPRedirect and click Next to continue.

    Configurar inicio de sesión único

  9. En Artifact Endpoints (Puntos de conexión de artefacto), presione Siguiente para continuar.On Artifact Endpoints, press Next to continue.

    Configurar inicio de sesión único

  10. En Requisitos de autenticación, haga clic en Finalizar.On Authentication Requirements, click Finish.

    Configurar inicio de sesión único

  11. Vaya a la pestaña Proveedor de confianza > Federación de identidades (desde la parte inferior de la pantalla).Go to tab Trusted Provider > Identity Federation (from bottom of the screen). Haga clic en Editar.Click Edit.

    Configurar inicio de sesión único

  12. Haga clic en Agregar bajo la pestaña Federación de identidades (ventana de la parte inferior).Click Add under the Identity Federation tab (bottom window).

    Configurar inicio de sesión único

  13. En la ventana emergente, seleccione Sin especificar en Formatos de NameID admitidos y haga clic en Aceptar.From the pop-up window, select Unspecified from the Supported NameID formats and click OK.

    Configurar inicio de sesión único

  14. Tenga en cuenta que los valores origen del id. de usuario y modo de asignación de id. de usuario determinan el vínculo entre el usuario SAP y la notificación de Azure AD.Note that user ID Source and user ID mapping mode values determine the link between SAP user and Azure AD claim.

    Escenario: Usuario SAP para la asignación de usuario de Azure AD.Scenario: SAP User to Azure AD user mapping.

    a.a. Captura de pantalla de los detalles de NameID de SAP.NameID details screenshot from SAP.

    Configurar inicio de sesión único

    b.b. Captura de pantalla en la que se mencionan las notificaciones necesarias de Azure AD.Screenshot mentioning Required claims from Azure AD.

    Configurar inicio de sesión único

    Escenario: Seleccione el identificador de usuario SAP según la dirección de correo electrónico configurada en SU01.Scenario: Select SAP user ID based on configured email address in SU01. En este caso, el identificador de correo electrónico debe configurarse en su01 para cada usuario que requiera del inicio de sesión único.In this case email ID should be configured in su01 for each user who requires SSO.

    a.a. Captura de pantalla de los detalles de NameID de SAP.NameID details screenshot from SAP.

    Configurar inicio de sesión único

    b.b. Captura de pantalla en la que se mencionan las notificaciones necesarias de Azure AD.screenshot mentioning Required claims from Azure AD.

    Configurar inicio de sesión único

  15. Haga clic en Guardar y, a continuación, haga clic en Habilitar para habilitar el proveedor de identidades.Click Save and then click Enable to enable identity provider.

    Configurar inicio de sesión único

  16. Haga clic en Aceptar cuando se le solicite.Click OK once prompted.

    Configurar inicio de sesión único

    Creación de un usuario de prueba de SAP NetWeaverCreate SAP NetWeaver test user

    En esta sección, va a crear un usuario llamado B.Simon en SAP NetWeaver.In this section, you create a user called B.simon in SAP NetWeaver. Colabore con su equipo experto en SAP interno o con el asociado SAP de su organización para agregar usuarios en la plataforma de SAP NetWeaver.Please work your in house SAP expert team or work with your organization SAP partner to add the users in the SAP NetWeaver platform.

Prueba de SSOTest SSO

  1. Una vez que active el proveedor de identidades de Azure AD, intente acceder a la siguiente dirección URL para comprobar el inicio de sesión único (no se solicitará su nombre de usuario y contraseña)Once the identity provider Azure AD was activated, try accessing below URL to check SSO (there will no prompt for username & password)

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    (o) use la siguiente dirección URL(or) use the URL below

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    Nota

    Reemplace sapurl por el nombre de host real de SAP.Replace sapurl with actual SAP hostname.

  2. La dirección URL anterior debería dirigirlo a la pantalla que se menciona a continuación.The above URL should take you to below mentioned screen. Si puede acceder a la página a continuación, la configuración de SSO de Azure AD se realizó correctamente.If you are able to reach up to the below page, Azure AD SSO setup is successfully done.

    Configurar inicio de sesión único

  3. Si se le solicita el nombre de usuario y contraseña, diagnostique el problema al habilitar el seguimiento mediante la siguiente dirección URLIf username & password prompt occurs, please diagnose the issue by enable the trace using below URL

    https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Configuración de SAP NetWeaver para OAuthConfigure SAP NetWeaver for OAuth

  1. El proceso documentado de SAP está disponible en la ubicación: NetWeaver Gateway Service Enabling and OAuth 2.0 Scope Creation (Habilitación de un servicio de NetWeaver Gateway y creación del ámbito de OAuth 2.0).SAP Documented process is available at the location: NetWeaver Gateway Service Enabling and OAuth 2.0 Scope Creation

  2. Vaya a SPRO y busque Activate and Maintain Services (Activar y mantener servicios).Go to SPRO and find Activate and Maintain services.

    Configurar inicio de sesión único

  3. En este ejemplo, queremos conectar el servicio de OData: DAAG_MNGGRP con OAuth para el inicio de sesión único de Azure AD.In this example we want to connect the OData service: DAAG_MNGGRP with OAuth to Azure AD SSO. Use la búsqueda de nombre de servicio técnico para localizar el servicio DAAG_MNGGRP y actívelo si no lo está ya (busque el estado green en la pestaña ICF Nodes [Nodos de ICF]).Use the technical service name search for the service DAAG_MNGGRP and activate if not yet active, already (look for green status under ICF nodes tab). Asegúrese de que el alias del sistema (el sistema back-end conectado en el que se ejecuta realmente el servicio) es correcto.Ensure if system alias (the connected backend system, where the service actually running) is correct.

    Configurar inicio de sesión único

    • Después, haga clic en el botón OAuth en la barra de botones superior y asigne el valor de scope (mantenga el nombre predeterminado tal como se ofrece).Then click pushbutton OAuth on the top button bar and assign scope (keep default name as offered).
  4. En nuestro ejemplo, el ámbito es DAAG_MNGGRP_001, se genera a partir del nombre del servicio agregando automáticamente un número.For our example the scope is DAAG_MNGGRP_001, it is generated from the service name by automatically adding a number. Se puede usar el informe /IWFND/R_OAUTH_SCOPES para cambiar el nombre del ámbito o crearlo manualmente.Report /IWFND/R_OAUTH_SCOPES can be used to change name of scope or create manually.

    Configurar inicio de sesión único

    Nota

    El mensaje soft state status is not supported se puede pasar por alto, no supone ningún problema.Message soft state status is not supported – can be ignored, as no problem. Para más detalles, consulte aquí.For more details, refer here

Creación de un usuario de servicio para el cliente de OAuth 2.0Create a service user for the OAuth 2.0 Client

  1. OAuth2 usa un valor de service ID para obtener el token de acceso para el usuario final en su nombre.OAuth2 uses a service ID to get the access token for the end-user on its behalf. Existe una restricción importante que impone el diseño de OAuth: el valor de OAuth 2.0 Client ID debe ser idéntico al valor de username que utiliza el cliente de OAuth 2.0 para iniciar sesión cuando se solicita un token de acceso.Important restriction by OAuth design: the OAuth 2.0 Client ID must be identical with the username the OAuth 2.0 client uses for login when requesting an Access Token. Por lo tanto, en nuestro ejemplo vamos a registrar un cliente de OAuth 2.0 con el nombre CLIENT1; como requisito previo, en el sistema SAP deberá existir un usuario con el mismo nombre (CLIENT1). Este usuario se configurará para su uso en la aplicación a la que se hace referencia.Therefore, for our example, we are going to register an OAuth 2.0 client with name CLIENT1, and as a prerequisite a user with the same name (CLIENT1) must exist in the SAP system and that user we will configure to be used by the referred application.

  2. Al registrar un cliente de OAuth, se usa el valor de SAML Bearer Grant type.When registering an OAuth Client we use the SAML Bearer Grant type.

    Nota

    Para más información, consulte el artículo sobre el registro de cliente de OAuth 2.0 para el tipo de concesión de portador de SAML aquí.For more details, refer OAuth 2.0 Client Registration for the SAML Bearer Grant Type here

  3. En el código de transacción SU01, cree el usuario CLIENT1 como System type y asígnele una contraseña; guárdela como sea necesario para proporcionar la credencial al programador de la API, que debe grabarla con el nombre de usuario en el código de llamada.tcod: SU01 / create user CLIENT1 as System type and assign password, save it as need to provide the credential to the API programmer, who should burn it with the username to the calling code. No se debe asignar ningún perfil ni rol.No profile or role should be assigned.

Registro del nuevo identificador de cliente de OAuth 2.0 con el asistente para creaciónRegister the new OAuth 2.0 Client ID with the creation wizard

  1. Para registrar un nuevo cliente de OAuth 2.0, inicie la transacción SOAUTH2.To register a new OAuth 2.0 client start transaction SOAUTH2. La transacción mostrará información general acerca de los clientes de OAuth 2.0 que ya se han registrado.The transaction will display an overview about the OAuth 2.0 clients that were already registered. Elija Create (Crear) para iniciar el asistente para el nuevo cliente de OAuth, denominado CLIENT1 en este ejemplo.Choose Create to start the wizard for the new OAuth client named as CLIENT1in this example.

  2. Vaya al código de transacción SOAUTH2 y proporcione la descripción; después, haga clic en Next (Siguiente).Go to T-Code: SOAUTH2 and Provide the description then click next.

    Configurar inicio de sesión único

    Configurar inicio de sesión único

  3. En la lista desplegable, seleccione el proveedor de identidades SAML2 IdP – Azure AD ya agregado y guarde.Select the already added SAML2 IdP – Azure AD from the dropdown list and save.

    Configurar inicio de sesión único

    Configurar inicio de sesión único

    Configurar inicio de sesión único

  4. Haga clic en Add (Agregar) en la asignación de ámbito para agregar el ámbito creado anteriormente: DAAG_MNGGRP_001.Click on Add under scope assignment to add the previously created scope: DAAG_MNGGRP_001

    Configurar inicio de sesión único

    Configurar inicio de sesión único

  5. Haga clic en Finish (Finalizar).Click finish.

Recursos adicionalesAdditional resources