Tutorial: Integrasi akses menyeluruh (SSO) Microsoft Entra dengan SAP Cloud Identity Services
Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan SAP Cloud Identity Services dengan MICROSOFT Entra ID. Saat mengintegrasikan SAP Cloud Identity Services dengan MICROSOFT Entra ID, Anda dapat:
- Mengontrol di MICROSOFT Entra ID siapa yang memiliki akses ke SAP Cloud Identity Services.
- Memungkinkan pengguna Anda untuk masuk secara otomatis ke SAP Cloud Identity Services dengan akun Microsoft Entra mereka.
- Kelola akun Anda di satu lokasi pusat.
Tip
Ikuti rekomendasi dan panduan praktik terbaik "Menggunakan ID Microsoft Entra untuk mengamankan akses ke platform dan aplikasi SAP" untuk mengoprasikan penyiapan.
Prasyarat
Untuk memulai, Anda membutuhkan item berikut:
- Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
- Langganan SAP Cloud Identity Services yang mendukung akses menyeluruh (SSO).
Deskripsi Skenario
Dalam tutorial ini, Anda mengonfigurasi dan menguji akses menyeluruh Microsoft Entra di lingkungan pengujian.
- SAP Cloud Identity Services mendukung SSO yang dimulai oleh SP dan IDP.
- SAP Cloud Identity Services mendukung Provisi pengguna otomatis.
Sebelum Anda menyelami detail teknis, sangat penting untuk memahami konsep yang akan Anda lihat. Layanan Identitas Cloud SAP dan Layanan Federasi Direktori Aktif memungkinkan Anda menerapkan SSO di seluruh aplikasi atau layanan yang dilindungi oleh ID Microsoft Entra (sebagai IdP) dengan aplikasi dan layanan SAP yang dilindungi oleh SAP Cloud Identity Services.
Saat ini, SAP Cloud Identity Services bertindak sebagai IdP Proksi untuk aplikasi SAP. ID Microsoft Entra pada gilirannya bertindak sebagai Penyedia Identitas terkemuka dalam penyiapan ini.
Diagram berikut mengilustrasikan hubungan ini:
Dengan penyiapan ini, penyewa SAP Cloud Identity Services Anda dikonfigurasi sebagai aplikasi tepercaya di ID Microsoft Entra.
Semua aplikasi dan layanan SAP yang ingin Anda lindungi dengan cara ini kemudian dikonfigurasikan di konsol manajemen SAP Cloud Identity Services.
Oleh karena itu, otorisasi untuk memberikan akses ke aplikasi dan layanan SAP perlu berlangsung di SAP Cloud Identity Services (dibandingkan dengan ID Microsoft Entra).
Dengan mengonfigurasi SAP Cloud Identity Services sebagai aplikasi melalui Microsoft Entra Marketplace, Anda tidak perlu mengonfigurasi klaim individual atau pernyataan SAML.
Catatan
Saat ini hanya Web SSO yang telah diuji oleh kedua belah pihak. Alur yang diperlukan untuk komunikasi App-to-API atau API-to-API harus berfungsi tetapi belum diuji. Mereka akan diuji selama kegiatan berikutnya.
Menambahkan SAP Cloud Identity Services dari galeri
Untuk mengonfigurasi integrasi SAP Cloud Identity Services ke Microsoft Entra ID, Anda perlu menambahkan SAP Cloud Identity Services dari galeri ke daftar aplikasi SaaS terkelola Anda.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
- Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
- Di bagian Tambahkan dari galeri, tuliskan SAP Cloud Identity Services di kotak pencarian.
- Pilih SAP Cloud Identity Services dari panel hasil, lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.
Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.
Mengonfigurasi dan menguji SSO Microsoft Entra untuk SAP Cloud Identity Services
Konfigurasikan dan uji SSO Microsoft Entra dengan SAP Cloud Identity Services menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di SAP Cloud Identity Services.
Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan SAP Cloud Identity Services, lakukan langkah-langkah berikut:
- Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.
- Buat pengguna uji Microsoft Entra - untuk menguji akses menyeluruh Microsoft Entra dengan B.Simon.
- Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan B.Simon untuk menggunakan akses menyeluruh Microsoft Entra.
- Konfigurasikan SSO SAP Cloud Identity Services - untuk mengonfigurasi pengaturan akses menyeluruh di sisi aplikasi.
- Buat pengguna uji SAP Cloud Identity Services - untuk memiliki mitra B.Simon di SAP Cloud Identity Services yang ditautkan ke representasi Microsoft Entra pengguna.
- Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.
Mengonfigurasi SSO Microsoft Entra
Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
Telusuri aplikasi >Identity>Applications>Enterprise akses menyeluruh SAP Cloud Identity Services.>
Di halaman Pilih metode akses menyeluruh, pilih SAML.
Di halaman Menyiapkan akses menyeluruh dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.
Pada bagian Konfigurasi SAML Dasar, jika Anda ingin mengonfigurasi dalam mode dimulai IDP, lakukan langkah-langkah berikut:
a. Di kotak teks Pengidentifikasi, ketik nilai menggunakan pola berikut:
<IAS-tenant-id>.accounts.ondemand.comb. Dalam kotak teks URL Balasan, ketik URL menggunakan pola berikut:
https://<IAS-tenant-id>.accounts.ondemand.com/saml2/idp/acs/<IAS-tenant-id>.accounts.ondemand.comCatatan
Nilai-nilai ini tidak nyata. Perbarui nilai ini dengan URL Pengidentifikasi dan Balasan yang sebenarnya. Hubungi tim dukungan Klien SAP Cloud Identity Services untuk mendapatkan nilai ini. Jika Anda tidak mengenal nilai Pengidentifikasi, baca dokumentasi SAP Cloud Identity Services tentang konfigurasi Penyewa SAML 2.0.
Klik Atur URL tambahan dan lakukan langkah berikut jika Anda ingin mengonfigurasikan aplikasi dalam mode yang diinisiasi SP:
Di kotak teks URL Masuk, ketik nilai menggunakan pola berikut:
{YOUR BUSINESS APPLICATION URL}Catatan
Nilai ini tidak nyata. Perbarui nilainya dengan URL Masuk yang sebenarnya. Silakan gunakan URL Masuk aplikasi bisnis spesifik Anda. Hubungi tim dukungan Klien SAP Cloud Identity Services jika Anda ragu.
Aplikasi SAP Cloud Identity Services menginginkan pernyataan SAML dalam format tertentu, yang mengharuskan Anda untuk menambahkan pemetaan atribut kustom ke konfigurasi atribut token SAML Anda. Cuplikan layar berikut menampilkan daftar atribut default.
Selain di atas, aplikasi SAP Cloud Identity Services menginginkan beberapa atribut lagi untuk diteruskan kembali dalam respons SAML yang ditunjukkan di bawah ini. Atribut ini juga sudah terisi sebelumnya, namun Anda dapat meninjaunya sesuai kebutuhan.
Nama Atribut Sumber firstName user.givenname Di halaman Siapkan Akses Menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, klik Unduh untuk mengunduh XML Metadata Federasi dari pilihan yang diberikan sesuai persyaratan dan simpan pada komputer Anda.
Di bagian Siapkan SAP Cloud Identity Services, salin URL yang sesuai dengan persyaratan Anda.
Membuat pengguna uji Microsoft Entra
Di bagian ini, Anda akan membuat pengguna uji bernama B.Simon.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
- Telusuri ke Pengguna>Identitas>Semua pengguna.
- Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
- Di properti Pengguna, ikuti langkah-langkah berikut:
- Di bidang Nama tampilan, masukkan
B.Simon. - Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya:
B.Simon@contoso.com - Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
- Pilih Tinjau + buat.
- Di bidang Nama tampilan, masukkan
- Pilih Buat.
Menetapkan pengguna uji Microsoft Entra
Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh dengan memberikan akses ke SAP Cloud Identity Services.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
Telusuri aplikasi >Identity>Applications>Enterprise SAP Cloud Identity Services.
Di halaman ringkasan aplikasi, temukan bagian Kelola lalu pilih Pengguna dan grup.
Pilih Tambahkan pengguna, lalu pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" yang dipilih.
Dalam dialog Tambah Penugasan, klik tombol Tetapkan.
Konfigurasi SSO SAP Cloud Identity Services
Di jendela browser web yang berbeda, buka konsol administrasi SAP Cloud Identity Services. URL memiliki pola berikut:
https://<tenant-id>.accounts.ondemand.com/admin. Kemudian baca dokumentasi tentang SAP Cloud Identity Services di Integrasi dengan MICROSOFT Entra ID.Di portal Microsoft Azure, pilih tombolSimpan.
Lanjutkan dengan yang berikut ini hanya jika Anda ingin menambahkan dan mengaktifkan SSO untuk aplikasi SAP lain. Ulangi langkah-langkah di bagian Menambahkan SAP Cloud Identity Services dari galeri.
Di portal Microsoft Azure, pada halaman integrasi aplikasi SAP Cloud Identity Services, pilih Akses Tertaut.
Simpan konfigurasi.
Catatan
Aplikasi baru ini memanfaatkan konfigurasi akses menyeluruh dari aplikasi SAP sebelumnya. Pastikan Anda menggunakan IdP Perusahaan yang sama di konsol administrasi SAP Cloud Identity Services.
Membuat pengguna uji coba SAP Cloud Identity Services
Anda tidak perlu membuat pengguna di SAP Cloud Identity Services. Pengguna yang berada di penyimpanan pengguna Microsoft Entra dapat menggunakan fungsionalitas SSO.
SAP Cloud Identity Services mendukung opsi Federasi Identitas. Opsi ini memungkinkan aplikasi untuk memeriksa apakah pengguna yang diautentikasi oleh IdP perusahaan ada di penyimpanan pengguna SAP Cloud Identity Services.
Opsi Federasi Identitas dinonaktifkan secara default. Jika Federasi Identitas diaktifkan, hanya pengguna yang diimpor di SAP Cloud Identity Services yang dapat mengakses aplikasi.
Untuk informasi selengkapnya tentang cara mengaktifkan atau menonaktifkan Federasi Identitas dengan SAP Cloud Identity Services, lihat "Mengaktifkan Federasi Identitas dengan SAP Cloud Identity Services" pada Mengonfigurasikan Federasi Identitas dengan Penyimpanan Pengguna SAP Cloud Identity Services.
Catatan
SAP Cloud Identity Services juga mendukung provisi pengguna otomatis. Anda dapat temukan detail selengkapnya tentang cara mengonfigurasi provisi pengguna otomatis di sini.
Menguji akses menyeluruh
Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.
Diinisiasi SP:
Klik Uji aplikasi ini, ini akan dialihkan ke URL Masuk SAP Cloud Identity Services tempat Anda dapat memulai alur masuk.
Buka URL Masuk SAP Cloud Identity Services secara langsung dan mulai alur masuk dari sana.
Diinisiasi IDP:
- Klik Uji aplikasi ini, dan Anda akan secara otomatis masuk ke SAP Cloud Identity Services tempat Anda menyiapkan SSO
Anda juga dapat menggunakan Aplikasi Saya Microsoft untuk menguji aplikasi dalam mode apa pun. Saat mengeklik petak SAP Cloud Identity Services di Aplikasi Saya, jika dikonfigurasi dalam mode SP, Anda akan diarahkan ke halaman masuk aplikasi untuk memulai alur masuk, dan jika dikonfigurasi dalam mode IDP, Anda akan otomatis masuk ke SAP Cloud Identity Services dengan SSO yang sudah Anda siapkan. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.
Langkah berikutnya
Setelah mengonfigurasikan SAP Cloud Identity Services, Anda dapat menerapkan kontrol sesi, yang secara real time dapat melindungi dari penyelundupan dan kebocoran data sensitif organisasi Anda. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.
Lihat rekomendasi dan panduan praktik terbaik untuk mengoprasikan penyiapan.