Esercitazione: Integrazione di Azure Active Directory con SAP Cloud Platform Identity AuthenticationTutorial: Azure Active Directory integration with SAP Cloud Platform Identity Authentication

Questa esercitazione descrive la modalità di integrazione di SAP Cloud Platform Identity Authentication con Azure Active Directory (Azure AD).In this tutorial, you learn how to integrate SAP Cloud Platform Identity Authentication with Azure Active Directory (Azure AD). SAP Cloud Platform Identity Authentication è usato come IdP proxy per l'accesso ad applicazioni SAP che usano Azure AD come IdP principale.SAP Cloud Platform Identity Authentication is used as a proxy IdP to access SAP applications that use Azure AD as the main IdP.

L'integrazione di SAP Cloud Platform Identity Authentication con Azure AD offre i vantaggi seguenti:When you integrate SAP Cloud Platform Identity Authentication with Azure AD, you get the following benefits:

  • È possibile controllare in Azure AD chi può accedere alle applicazioni SAP.You can control in Azure AD who has access to the SAP applications.
  • È possibile abilitare gli utenti per l'accesso automatico alle applicazioni SAP con i propri account Azure AD.You can enable your users to automatically sign in to SAP applications with their Azure AD accounts.
  • Gli account possono essere gestiti da una posizione centrale: il portale di Azure.You can manage your accounts in one central location--the Azure portal.

Per altre informazioni sull'integrazione di app SaaS con Azure AD, vedere l'articolo Informazioni sull'accesso alle applicazioni e Single Sign-On con Azure Active Directory.For more information about SaaS app integration with Azure AD, see the article What is application access and single sign-on with Azure Active Directory.

prerequisitiPrerequisites

Per configurare l'integrazione di Azure AD con SAP Cloud Platform Identity Authentication, è necessario quanto segue:To configure Azure AD integration with SAP Cloud Platform Identity Authentication, you need the following items:

  • Una sottoscrizione di Azure AD.An Azure AD subscription.
  • Una sottoscrizione di SAP Cloud Platform Identity Authentication abilitata per l'accesso Single Sign-On.A single sign-on-enabled subscription for SAP Cloud Platform Identity Authentication.

Nota

Non è consigliabile usare un ambiente di produzione per testare i passaggi di questa esercitazione.We don't recommend using a production environment to test the steps in this tutorial.

A questo scopo, seguire queste indicazioni:To test the steps in this tutorial, follow these recommendations:

Descrizione dello scenarioScenario description

In questa esercitazione viene eseguito il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.In this tutorial, you test Azure AD single sign-on in a test environment. Lo scenario descritto in questa esercitazione prevede i due blocchi predefiniti seguenti:The scenario that's outlined in this tutorial consists of two main building blocks:

  1. Aggiunta di SAP Cloud Platform Identity Authentication dalla raccoltaAdding SAP Cloud Platform Identity Authentication from the gallery
  2. Configurazione e test dell'accesso Single Sign-On di Azure ADConfiguring and testing Azure AD single sign-on

Prima di approfondire i dettagli tecnici, è fondamentale comprendere i concetti che si desidera esaminare.Before you dive into the technical details, it's vital to understand the concepts you're going to look at. SAP Cloud Platform Identity Authentication e Active Directory Federation Services consentono di implementare l'accesso SSO per applicazioni o servizi protetti da Azure AD (come IdP) con applicazioni e servizi SAP protetti da SAP Cloud Platform Identity Authentication.The SAP Cloud Platform Identity Authentication and Active Directory Federation Services enable you to implement SSO across applications or services that are protected by Azure AD (as an IdP) with SAP applications and services that are protected by SAP Cloud Platform Identity Authentication.

Attualmente SAP Cloud Platform Identity Authentication funge da provider di identità proxy per applicazioni SAP.Currently, SAP Cloud Platform Identity Authentication acts as a Proxy Identity Provider to SAP applications. Azure Active Directory a sua volta agisce come provider di identità iniziale in questa configurazione.Azure Active Directory in turn acts as the leading Identity Provider in this setup.

Il diagramma seguente illustra questa relazione:The following diagram illustrates this relationship:

Creazione di un utente test di Azure AD

Con questa configurazione, il tenant di SAP Cloud Platform Identity Authentication viene configurato come applicazione attendibile in Azure Active Directory.With this setup, your SAP Cloud Platform Identity Authentication tenant is configured as a trusted application in Azure Active Directory.

Tutte le applicazioni e i servizi SAP che si desidera proteggere in questo modo vengono configurati successivamente nella console di gestione di SAP Cloud Platform Identity Authentication.All SAP applications and services that you want to protect this way are subsequently configured in the SAP Cloud Platform Identity Authentication management console.

L'autorizzazione per la concessione dell'accesso a servizi e applicazioni SAP deve pertanto avvenire in SAP Cloud Platform Identity Authentication (diversamente dalla configurazione dell'autorizzazione in Azure Active Directory).Therefore, the authorization for granting access to SAP applications and services needs to take place in SAP Cloud Platform Identity Authentication (as opposed to Azure Active Directory).

Tramite la configurazione di SAP Cloud Platform Identity Authentication come un'applicazione tramite Marketplace di Azure Active Directory, non è necessario configurare singole attestazioni o asserzioni SAML.By configuring SAP Cloud Platform Identity Authentication as an application through the Azure Active Directory Marketplace, you don't need to configure individual claims or SAML assertions.

Nota

Attualmente solo Web SSO è stato testato da entrambe le parti.Currently only Web SSO has been tested by both parties. I flussi necessari per la comunicazione da app ad API o da API ad API dovrebbero funzionare ma non sono ancora stati testati.The flows that are necessary for App-to-API or API-to-API communication should work but have not been tested yet. I test verranno eseguiti durante le attività successive.They will be tested during subsequent activities.

Per configurare l'integrazione di SAP Cloud Platform Identity Authentication in Azure AD, è necessario aggiungere SAP Cloud Platform Identity Authentication dalla raccolta all'elenco di app SaaS gestite.To configure the integration of SAP Cloud Platform Identity Authentication in Azure AD, you need to add SAP Cloud Platform Identity Authentication from the gallery to your list of managed SaaS apps.

Per aggiungere SAP Cloud Platform Identity Authentication dalla raccolta, eseguire la procedura seguente:To add SAP Cloud Platform Identity Authentication from the gallery, take the following steps:

  1. Nel portale di Azure fare clic sull'icona di Azure Active Directory nel riquadro di spostamento sinistro.In the Azure portal, on the left navigation panel, select the Azure Active Directory icon.

    Pulsante Azure Active Directory

  2. Passare ad Applicazioni aziendali.Go to Enterprise applications. Andare quindi a Tutte le applicazioni.Then go to All applications.

    Pannello Applicazioni aziendali

  3. Per aggiungere la nuova applicazione, fare clic sul pulsante Nuova applicazione nella parte superiore della finestra di dialogo.To add new the new application, select the New application button at the top of the dialog box.

    Pulsante Nuova applicazione

  4. Nella casella di ricerca digitare SAP Cloud Platform Identity Authentication.In the search box, type SAP Cloud Platform Identity Authentication.

  5. Selezionare SAP Cloud Platform Identity Authentication nel riquadro dei risultati e quindi selezionare il pulsante Aggiungi.Select SAP Cloud Platform Identity Authentication from the results panel, and then select the Add button.

    SAP Cloud Platform Identity Authentication nell'elenco di risultati

Configurare e testare l'accesso Single Sign-On di Azure ADConfigure and test Azure AD single sign-on

In questa sezione viene configurato e testato l'accesso Single Sign-On di Azure AD con SAP Cloud Platform Identity AuthenticationIn this section, you configure and test Azure AD single sign-on with SAP Cloud Platform Identity Authentication. con un utente di test di nome "Britta Simon".You configure and test it with a test user called "Britta Simon."

Per il funzionamento dell'accesso Single Sign-On, Azure AD deve conoscere qual è l'utente di SAP Cloud Platform Identity Authentication corrispondente.For single sign-on to work, Azure AD needs to know who the counterpart user in SAP Cloud Platform Identity Authentication is. In altre parole, è necessario stabilire un collegamento tra un utente di Azure AD e l'utente correlato in SAP Cloud Platform Identity Authentication.In other words, you need to establish a link between an Azure AD user and the related user in SAP Cloud Platform Identity Authentication.

In SAP Cloud Platform Identity Authentication, all'attributo Username (Nome utente) assegnare il stesso valore di nome utente di Azure AD.In SAP Cloud Platform Identity Authentication, give the value Username the same value as user name in Azure AD. Questo passaggio stabilisce il collegamento tra i due utenti.Now you have established the link between the two users.

Per configurare e testare l'accesso Single Sign-On di Azure AD con SAP Cloud Platform Identity Authentication, completare i blocchi predefiniti seguenti:To configure and test Azure AD single sign-on with SAP Cloud Platform Identity Authentication, complete the following building blocks:

  1. Configurare l'accesso Single Sign-On di Azure AD per consentire agli utenti di usare questa funzionalità.Configure Azure AD single sign-on to enable your users to use this feature.
  2. Creare un utente di test di Azure AD per testare l'accesso Single Sign-On di Azure AD con l'utente Britta Simon.Create an Azure AD test user to test Azure AD single sign-on with Britta Simon.
  3. Creare un utente di test di SAP Cloud Platform Identity Authentication per avere in SAP Cloud Platform Identity Authentication un utente corrispondente a Britta Simon collegato alla rappresentazione dell'utente in Azure AD.Create an SAP Cloud Platform Identity Authentication test user to have a counterpart of Britta Simon in SAP Cloud Platform Identity Authentication that is linked to the Azure AD representation of user.
  4. Assegnare l'utente di test di Azure AD per abilitare Britta Simon all'uso dell'accesso Single Sign-On di Azure AD.Assign the Azure AD test user to enable Britta Simon to use Azure AD single sign-on.
  5. Testare l'accesso Single Sign-On per verificare se la configurazione funziona.Test single sign-on to verify that the configuration works.

Configurare l'accesso Single Sign-On di Azure ADConfigure Azure AD single sign-on

In questa sezione viene abilitato l'accesso Single Sign-On di Azure AD nel portale di Azure e viene configurato l'accesso Single Sign-On nell'applicazione SAP Cloud Platform Identity Authentication.In this section, you enable Azure AD single sign-on in the Azure portal and configure single sign-on in your SAP Cloud Platform Identity Authentication application.

Per configurare l'accesso Single Sign-On di Azure AD con SAP Cloud Platform Identity Authentication, eseguire la procedura seguente:To configure Azure AD single sign-on with SAP Cloud Platform Identity Authentication, take the following steps:

  1. Nel portale di Azure, nella pagina di integrazione di SAP Cloud Platform Identity Authentication selezionare Single Sign-On.In the Azure portal, on the SAP Cloud Platform Identity Authentication application integration page, select Single sign-on.

    Collegamento Configura accesso Single Sign-On

  2. Nella finestra di dialogo Single Sign-On selezionare Accesso basato su SAML per Modalità per abilitare l'accesso Single Sign-On.In the Single sign-on dialog box, under SAML-based Sign-on, select Mode to enable single sign-on.

    Finestra di dialogo Single Sign-On

  3. Se si desidera configurare l'applicazione in modalità avviata da IDP, nella sezione Dominio e URL di SAP Cloud Platform Identity Authentication digitare un URL nella casella Identificatore usando il modello seguente: https://<entity-id>.accounts.ondemand.com.If you want to configure the application in IDP initiated mode, in the SAP Cloud Platform Identity Authentication Domain and URLs section, in the Identifier box, type a URL with the following pattern: https://<entity-id>.accounts.ondemand.com.

    Informazioni su URL e dominio per l'accesso Single Sign-On di SAP Cloud Platform Identity Authentication

    Nota

    Poiché non è reale,This value isn't real. è necessario aggiornare questo valore con l'ID effettivo.Update this value with the actual identifier. Contattare il team di supporto di SAP Cloud Platform Identity Authentication Client per ottenere questo valore.Contact the SAP Cloud Platform Identity Authentication Client support team to get this value. Se non si conosce questo valore, seguire la documentazione di SAP Cloud Platform Identity Authentication in Tenant SAML 2.0 Configuration (Configurazione del tenant SAML 2.0).If you don't understand this value, read the SAP Cloud Platform Identity Authentication documentation about Tenant SAML 2.0 configuration.

  4. Se si desidera configurare l'applicazione in modalità avviata da SP, selezionare Mostra impostazioni URL avanzate.If you want to configure the application in SP initiated mode, select Show advanced URL settings.

    Informazioni su URL e dominio per l'accesso Single Sign-On di SAP Cloud Platform Identity Authentication

    Nella casella URL accesso digitare un URL corrispondente al modello seguente: https://<entity-id>.accounts.ondemand.com/admin.In the Sign On URL box, type a URL with the following pattern: https://<entity-id>.accounts.ondemand.com/admin.

    Nota

    Poiché non è reale,This value isn't real. è necessario aggiornare questo valore con l'URL di accesso effettivo.Update this value with the actual sign-on URL. Contattare il team di supporto di SAP Cloud Platform Identity Authentication Client per ottenere questo valore.Contact the SAP Cloud Platform Identity Authentication Client support team to get this value.

  5. Nella sezione Certificato di firma SAML selezionare XML metadati eIn the SAML Signing Certificate section, select Metadata XML. quindi salvare il file di metadati sul computer.Then save the metadata file on your computer.

    Collegamento di download del certificato

  6. L'applicazione SAP Cloud Platform Identity Authentication prevede le asserzioni SAML in un formato specifico.SAP Cloud Platform Identity Authentication application expects the SAML assertions in a specific format. Gestire i valori di questi attributi dalla sezione Attributi utente nella pagina di integrazione dell'applicazione.Manage the values of these attributes from the User Attributes section on the application integration page. Lo screenshot seguente ne illustra un esempio.The following screenshot shows an example of the format.

    Configura accesso Single Sign-On

  7. Se l'applicazione SAP prevede un attributo quale, ad esempio, firstName, aggiungere l'attributo firstName nella sezione Attributi utente.If your SAP application expects an attribute such as firstName, add the firstName attribute in the User Attributes section. Questa opzione è disponibile nella finestra di dialogo Single Sign-On della finestra di dialogo Attributi token SAML.This option is available in the Single sign-on dialog box of the SAML token attributes dialog box..

    a.a. Per aprire la finestra di dialogo Aggiungi attributo, selezionare Aggiungi attributo.To open the Add Attribute dialog box, select Add attribute.

    Configura accesso Single Sign-On

    Configura accesso Single Sign-On

    b.b. Nella casella Nome digitare il nome dell'attributo firstName.In the Name box, type the attribute name firstName.

    c.c. Nell'elenco Valore selezionare il valore dell'attributo user.givenname.From the Value list, select the attribute value user.givenname.

    d.d. Selezionare OK.Select Ok.

  8. Fare clic sul pulsante Salva.Select the Save button.

    Pulsante Salva per la configurazione dell'accesso Single Sign-On

  9. Nella sezione Configurazione di SAP Cloud Platform Identity Authentication selezionare Configura SAP HANA Cloud Platform Identity Authentication per aprire la finestra Configura accesso.In the SAP Cloud Platform Identity Authentication Configuration section, select Configure SAP Cloud Platform Identity Authentication to open the Configure sign-on window. Copiare l'URL di disconnessione, l'ID di entità SAML e l'URL del servizio Single Sign-On SAML dalla sezione Riferimento rapido.Copy the Sign-Out URL, SAML Entity ID, and SAML Single Sign-On Service URL from the Quick Reference section.

    Configurazione di SAP Cloud Platform Identity Authentication

  10. Per configurare SSO per l'applicazione, passare alla console di amministrazione di SAP Cloud Platform Identity Authentication.To get SSO configured for your application, go to the SAP Cloud Platform Identity Authentication administration console. L'URL ha il formato seguente: https://<tenant-id>.accounts.ondemand.com/admin.The URL has the following pattern: https://<tenant-id>.accounts.ondemand.com/admin. Leggere quindi la documentazione relativa a SAP Cloud Platform Identity Authentication disponibile nella pagina Integration with Microsoft Azure AD (Integrazione con Microsoft Azure AD).Then read the documentation about SAP Cloud Platform Identity Authentication at Integration with Microsoft Azure AD.

  11. Nel portale di Azure selezionare il pulsante Salva.In the Azure portal, select the Save button.

  12. Continuare la procedura seguente solo se si vuole aggiungere e abilitare l'accesso SSO per un'altra applicazione SAP.Continue with the following only if you want to add and enable SSO for another SAP application. Ripetere la procedura descritta nella sezione Aggiunta di SAP Cloud Platform Identity Authentication dalla raccolta.Repeat the steps under the section Adding SAP Cloud Platform Identity Authentication from the gallery.

  13. Nel portale di Azure, nella pagina di integrazione di SAP Cloud Platform Identity Authentication selezionare Accesso collegato.In the Azure portal, on the SAP Cloud Platform Identity Authentication application integration page, select Linked Sign-on.

    Configurare l'accesso collegato

  14. Salvare la configurazione.Save the configuration.

Nota

La nuova applicazione sfrutterà la configurazione del processo SSO dell'applicazione SAP precedente.The new application leverages the single sign-on configuration of the previous SAP application. Assicurarsi di usare gli stessi provider di identità aziendale nella console di amministrazione di SAP Cloud Platform Identity Authentication.Make sure you use the same Corporate Identity Providers in the SAP Cloud Platform Identity Authentication administration console.

Suggerimento

Un riepilogo delle istruzioni è disponibile all'interno del portale di Azure durante la configurazione dell'app.You can now read a concise version of these instructions inside the Azure portal while you are setting up the app! Dopo aver aggiunto l'app dalla sezione Active Directory > Applicazioni aziendali selezionare la scheda Single Sign-On e accedere alla documentazione incorporata tramite la sezione Configurazione nella parte inferiore.After adding this app from the Active Directory > Enterprise Applications section, select the Single Sign-On tab and access the embedded documentation through the Configuration section at the bottom. Per altre informazioni sulla funzione di documentazione incorporata, vedere la documentazione incorporata di Azure AD.You can read more about the embedded documentation feature at Azure AD embedded documentation.

Creare un utente test di Azure ADCreate an Azure AD test user

Questa sezione descrive come creare un utente test denominato Britta Simon nel portale di Azure.The objective of this section is to create a test user in the Azure portal called Britta Simon.

Creare un utente test di Azure AD

Per creare un utente di test in Azure AD, seguire questa procedura:To create a test user in Azure AD, take the following steps:

  1. Nel portale di Azure fare clic sul pulsante Azure Active Directory nel riquadro sinistro.In the Azure portal, in the left pane, select the Azure Active Directory button.

    Pulsante Azure Active Directory

  2. Passare a Utenti e gruppi e fare clic su Tutti gli utenti per visualizzare l'elenco di utenti.To display the list of users, go to Users and groups, and then select All users.

    Collegamenti "Utenti e gruppi" e "Tutti gli utenti"

  3. Per aprire la finestra di dialogo Utente selezionare Aggiungi nella parte superiore della finestra di dialogo Tutti gli utenti.To open the User dialog box, select Add at the top of the All Users dialog box.

    Pulsante Aggiungi

  4. Nella finestra di dialogo Utente seguire questa procedura:In the User dialog box, take the following steps:

    Finestra di dialogo Utente

    a.a. Nella casella Nome digitare BrittaSimon.In the Name box, type BrittaSimon.

    b.b. Nella casella Nome utente digitare l'indirizzo di posta elettronica dell'utente Britta Simon.In the User name box, type the email address of user Britta Simon.

    c.c. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.Select the Show Password check box, and then write down the value that's displayed in the Password box.

    d.d. Selezionare Create.Select Create.

Creare un utente test di SAP Cloud Platform Identity AuthenticationCreate an SAP Cloud Platform Identity Authentication test user

Non è necessario creare un utente in SAP Cloud Platform Identity Authentication.You don't need to create a user in SAP Cloud Platform Identity Authentication. Gli utenti presenti nell'archivio utenti di Azure AD possono usare la funzionalità di accesso SSO.Users who are in the Azure AD user store can use the SSO functionality.

SAP Cloud Platform Identity Authentication supporta l'opzione di federazione delle identità.SAP Cloud Platform Identity Authentication supports the Identity Federation option. Questa opzione consente all'applicazione di controllare se gli utenti autenticati dal provider di identità aziendale sono presenti nell'archivio utenti di SAP Cloud Platform Identity Authentication.This option allows the application to check whether users who are authenticated by the corporate identity provider exist in the user store of SAP Cloud Platform Identity Authentication.

Per impostazione predefinita l'opzione di federazione delle identità è disabilitata.The Identity Federation option is disabled by default. Se la federazione delle identità è abilitata, solo gli utenti che vengono importati in SAP Cloud Platform Identity Authentication sono in grado di accedere all'applicazione.If Identity Federation is enabled, only the users that are imported in SAP Cloud Platform Identity Authentication can access the application.

Per altre informazioni su come abilitare o disabilitare la federazione delle identità con SAP Cloud Platform Identity Authentication, vedere Enable Identity Federation with SAP Cloud Platform Identity Authentication (Abilitare la federazione delle identità con SAP Cloud Platform Identity Authentication) in Configure Identity Federation with the User Store of SAP Cloud Platform Identity Authentication (Configurare la federazione delle identità con l'archivio utenti di SAP Cloud Platform Identity Authentication).For more information about how to enable or disable Identity Federation with SAP Cloud Platform Identity Authentication, see "Enable Identity Federation with SAP Cloud Platform Identity Authentication" in Configure Identity Federation with the User Store of SAP Cloud Platform Identity Authentication.

Assegnare l'utente test di Azure ADAssign the Azure AD test user

In questa sezione Britta Simon viene abilitata per l'uso dell'accesso Single Sign-On di Azure concedendo l'accesso a SAP Cloud Platform Identity Authentication.In this section, you enable Britta Simon to use Azure single sign-on by granting access to SAP Cloud Platform Identity Authentication.

Assegnare il ruolo utente

Per assegnare Britta Simon a SAP Cloud Platform Identity Authentication, eseguire la procedura seguente:To assign Britta Simon to SAP Cloud Platform Identity Authentication, take the following steps:

  1. Nel portale di Azure aprire la visualizzazione applicazioni e quindi passare alla visualizzazione directory.In the Azure portal, open the applications view, and then go to the directory view. Passare quindi ad Applicazioni aziendali e selezionare Tutte le applicazioni.Next, go to Enterprise applications, and then select All applications.

    Assegna utente

  2. Nell'elenco delle applicazioni selezionare SAP Cloud Platform Identity Authentication.In the applications list, select SAP Cloud Platform Identity Authentication.

    Collegamento di SAP HANA Cloud Platform Identity Authentication nell'elenco di applicazioni

  3. Scegliere Utenti e gruppi dal menu a sinistra.In the menu on the left, select Users and groups.

    Collegamento "Utenti e gruppi"

  4. Fare clic sul pulsante Aggiungi.Select the Add button. Nella finestra di dialogo Aggiungi assegnazione selezionare quindi Utenti e gruppi.Then select Users and groups in the Add Assignment dialog box.

    Riquadro Aggiungi assegnazione

  5. Nella finestra di dialogo Users and groups (Utenti e gruppi) selezionare Britta Simon nell'elenco di utenti.In the Users and groups dialog box, select Britta Simon in the users list.

  6. Fare clic sul pulsante Seleziona nella finestra di dialogo Utenti e gruppi.Click the Select button in the Users and groups dialog box.

  7. Selezionare il pulsante Assegna nella finestra di dialogo Aggiungi assegnazione.Select the Assign button in the Add Assignment dialog box.

Testare l'accesso Single Sign-OnTest single sign-on

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Azure AD usando il pannello di accesso.In this section, you test your Azure AD single sign-on configuration by using the access panel.

Quando si seleziona il riquadro di SAP Cloud Platform Identity Authentication nel pannello di accesso, si ottiene automaticamente l'accesso all'applicazione SAP Cloud Platform Identity Authentication.When you select the SAP Cloud Platform Identity Authentication tile in the access panel, you get automatically signed into your SAP Cloud Platform Identity Authentication application.

Per altre informazioni sul pannello di accesso, vedere Introduzione al pannello di accesso.For more information about the access panel, see Introduction to the access panel.

Risorse aggiuntiveAdditional resources