Esercitazione: Integrazione dell'accesso Single Sign-On (SSO) di Azure Active Directory con SAP NetWeaverTutorial: Azure Active Directory Single sign-on (SSO) integration with SAP NetWeaver

Questa esercitazione descrive come integrare SAP NetWeaver con Azure Active Directory (Azure AD).In this tutorial, you'll learn how to integrate SAP NetWeaver with Azure Active Directory (Azure AD). Integrando SAP NetWeaver con Azure AD, è possibile:When you integrate SAP NetWeaver with Azure AD, you can:

  • Controllare in Azure AD chi può accedere a SAP NetWeaver.Control in Azure AD who has access to SAP NetWeaver.
  • Abilitare gli utenti per l'accesso automatico a SAP NetWeaver con gli account Azure AD personali.Enable your users to be automatically signed-in to SAP NetWeaver with their Azure AD accounts.
  • Gestire gli account in un'unica posizione centrale: il portale di Azure.Manage your accounts in one central location - the Azure portal.

Per altre informazioni sull'integrazione di app SaaS con Azure AD, vedere Accesso Single Sign-On alle applicazioni in Azure Active Directory.To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

PrerequisitiPrerequisites

Per iniziare, sono necessari gli elementi seguenti:To get started, you need the following items:

  • Una sottoscrizione di Azure AD.An Azure AD subscription. Se non si ha una sottoscrizione, è possibile ottenere un account gratuito.If you don't have a subscription, you can get a free account.
  • Sottoscrizione di SAP NetWeaver abilitata per l'accesso Single Sign-On (SSO).SAP NetWeaver single sign-on (SSO) enabled subscription.
  • SAP NetWeaver V7.20 minimoSAP NetWeaver V7.20 required atleast

Descrizione dello scenarioScenario description

SAP NetWeaver supporta sia SAML (accesso SSO avviato da SP) che OAuth.SAP NetWeaver supports both SAML (SP initiated SSO) and OAuth. In questa esercitazione vengono eseguiti la configurazione e il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.In this tutorial, you configure and test Azure AD SSO in a test environment.

Nota

Configurare l'applicazione in SAML o in OAuth in base ai requisiti dell'organizzazione.Configure the application either in SAML or in OAuth as per your organizational requirement.

Per configurare l'integrazione di SAP NetWeaver in Azure AD, è necessario aggiungere SAP NetWeaver dalla raccolta al proprio elenco di app SaaS gestite.To configure the integration of SAP NetWeaver into Azure AD, you need to add SAP NetWeaver from the gallery to your list of managed SaaS apps.

  1. Accedere al portale di Azure con un account aziendale o dell'istituto di istruzione oppure con un account Microsoft personale.Sign in to the Azure portal using either a work or school account, or a personal Microsoft account.
  2. Nel riquadro di spostamento a sinistra selezionare il servizio Azure Active Directory.On the left navigation pane, select the Azure Active Directory service.
  3. Passare ad Applicazioni aziendali e quindi selezionare Tutte le applicazioni.Navigate to Enterprise Applications and then select All Applications.
  4. Per aggiungere una nuova applicazione, selezionare Nuova applicazione.To add new application, select New application.
  5. Nella sezione Aggiungi dalla raccolta digitare SAP NetWeaver nella casella di ricerca.In the Add from the gallery section, type SAP NetWeaver in the search box.
  6. Selezionare SAP NetWeaver nel pannello dei risultati e quindi aggiungere l'app.Select SAP NetWeaver from results panel and then add the app. Attendere alcuni secondi che l'app venga aggiunta al tenant.Wait a few seconds while the app is added to your tenant.

Configurare e testare l'accesso Single Sign-On di Azure AD per SAP NetWeaverConfigure and test Azure AD single sign-on for SAP NetWeaver

Configurare e testare l'accesso SSO di Azure AD con SAP NetWeaver usando un utente di test di nome B.Simon.Configure and test Azure AD SSO with SAP NetWeaver using a test user called B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Azure AD e l'utente correlato in SAP NetWeaver.For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in SAP NetWeaver.

Per configurare e testare l'accesso SSO di Azure AD con SAP NetWeaver, completare le procedure di base seguenti:To configure and test Azure AD SSO with SAP NetWeaver, complete the following building blocks:

  1. Configurare l'accesso Single Sign-On di Azure AD per consentire agli utenti di usare questa funzionalità.Configure Azure AD SSO to enable your users to use this feature.
    1. Creare un utente di test di Azure AD per testare l'accesso Single Sign-On di Azure AD con l'utente B. Simon.Create an Azure AD test user to test Azure AD single sign-on with B.Simon.
    2. Assegnare l'utente di test di Azure AD per consentire a B.Simon di usare l'accesso Single Sign-On di Azure AD.Assign the Azure AD test user to enable B.Simon to use Azure AD single sign-on.
  2. Configurare SAP NetWeaver con SAML : per configurare le impostazioni dell'accesso Single Sign-On sul lato applicazione.Configure SAP NetWeaver using SAML to configure the SSO settings on application side.
    1. Creare l'utente di test di SAP NetWeaver : per avere una controparte di B.Simon in SAP NetWeaver collegata alla rappresentazione dell'utente in Azure AD.Create SAP NetWeaver test user to have a counterpart of B.Simon in SAP NetWeaver that is linked to the Azure AD representation of user.
  3. Testare l'accesso Single Sign-On per verificare se la configurazione funziona.Test SSO to verify whether the configuration works.
  4. Configurare SAP NetWeaver per OAuth : per configurare le impostazioni di OAuth sul lato applicazione.Configure SAP NetWeaver for OAuth to configure the OAuth settings on application side.

Configurare l'accesso SSO di Azure ADConfigure Azure AD SSO

In questa sezione viene abilitato l'accesso Single Sign-On di Azure AD nel portale di Azure.In this section, you enable Azure AD single sign-on in the Azure portal.

Per configurare l'accesso Single Sign-On di Azure AD con SAP NetWeaver, seguire questa procedura:To configure Azure AD single sign-on with SAP NetWeaver, perform the following steps:

  1. Aprire una nuova finestra del Web browser e accedere al sito aziendale di SAP NetWeaver come amministratore.Open a new web browser window and sign into your SAP NetWeaver company site as an administrator

  2. Assicurarsi che i servizi http e https siano attivi e che le porte appropriate siano assegnate nel codice di transazione SMICM.Make sure that http and https services are active and appropriate ports are assigned in SMICM T-Code.

  3. Accedere al client aziendale del sistema SAP (T01) in cui è richiesto l'accesso SSO e attivare la gestione della sessione di sicurezza HTTP.Sign on to business client of SAP System (T01), where SSO is required and activate HTTP Security session Management.

    a.a. Passare al codice di transazione SICF_SESSIONS.Go to Transaction code SICF_SESSIONS. Questo codice mostra tutti i parametri di profilo rilevanti con i valori correnti.It displays all relevant profile parameters with current values. L'aspetto è simile al seguente:They look like below:-

    login/create_sso2_ticket = 2
    login/accept_sso2_ticket = 1
    login/ticketcache_entries_max = 1000
    login/ticketcache_off = 0  login/ticket_only_by_https = 0 
    icf/set_HTTPonly_flag_on_cookies = 3
    icf/user_recheck = 0  http/security_session_timeout = 1800
    http/security_context_cache_size = 2500
    rdisp/plugin_auto_logout = 1800
    rdisp/autothtime = 60
    

    Nota

    Modificare i parametri indicati sopra in base alle esigenze dell'organizzazione. I valori precedenti sono solo a scopo illustrativo.Adjust above parameters as per your organization requirements, Above parameters are given here as indication only.

    b.b. Se necessario, modificare i parametri nel profilo predefinito/dell'istanza per il sistema SAP e riavviare il sistema SAP.If necessary adjust parameters, in the instance/default profile of SAP system and restart SAP system.

    c.c. Fare doppio clic sul client appropriato per abilitare la sessione di sicurezza HTTP.Double-click on relevant client to enable HTTP security session.

    Collegamento di download del certificato

    d.d. Attivare i servizi SICF seguenti:Activate below SICF services:

    /sap/public/bc/sec/saml2
    /sap/public/bc/sec/cdc_ext_service
    /sap/bc/webdynpro/sap/saml2
    /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
    
  4. Passare al codice di transazione SAML2 nel client aziendale del sistema SAP [T01/122].Go to Transaction code SAML2 in business client of SAP system [T01/122]. Verrà aperta un'interfaccia utente in un browser.It will open a user interface in a browser. In questo esempio si presuppone che il client aziendale SAP sia 122.In this example, we assumed 122 as SAP business client.

    Collegamento di download del certificato

  5. Fornire il nome utente e la password da immettere nell'interfaccia utente e fare clic su Edit (Modifica).Provide your username and password to enter in user interface and click Edit.

    Collegamento di download del certificato

  6. Sostituire Provider Name (Nome provider) T01122 con http://T01122 e fare clic su Save (Salva).Replace Provider Name from T01122 to http://T01122 and click on Save.

    Nota

    Per impostazione predefinita il nome del provider è nel formato <sid><client>, mentre in Azure AD è richiesto il formato <protocol>://<name>. È quindi consigliabile mantenere il nome del provider come https://<sid><client> per consentire la configurazione di più motori ABAP SAP NetWeaver in Azure AD.By default provider name come as <sid><client> format but Azure AD expects name in the format of <protocol>://<name>, recommending to maintain provider name as https://<sid><client> to allow multiple SAP NetWeaver ABAP engines to configure in Azure AD.

    Collegamento di download del certificato

  7. Generazione di metadati del provider di servizi: una volta completata la configurazione delle impostazioni di Local Provider (Provider locale) e Trusted Providers (Provider attendibili) nell'interfaccia utente di SAML 2.0, il passaggio successivo consiste nel generare il file di metadati del provider di servizi (che contiene tutte le impostazioni, i contesti di autenticazione e altre configurazioni di SAP).Generating Service Provider Metadata:- Once we are done with configuring the Local Provider and Trusted Providers settings on SAML 2.0 User Interface, the next step would be to generate the service provider’s metadata file (which would contain all the settings, authentication contexts and other configurations in SAP). Una volta generato il file, è necessario caricarlo in Azure AD.Once this file is generated we need to upload this in Azure AD.

    Collegamento di download del certificato

    a.a. Passare alla scheda Local Provider (Provider locale).Go to Local Provider tab.

    b.b. Fare clic su Metadata (Metadati).Click on Metadata.

    c.c. Salvare il file XML dei metadati nel computer e caricarlo nella sezione Configurazione SAML di base per inserire automaticamente i valori di Identificatore e URL di risposta nel portale di Azure.Save the generated Metadata XML file on your computer and upload it in Basic SAML Configuration section to autopopulate the Identifier and Reply URL values in Azure portal.

Per abilitare l'accesso Single Sign-On di Azure AD nel portale di Azure, seguire questa procedura.Follow these steps to enable Azure AD SSO in the Azure portal.

  1. Nella pagina di integrazione dell'applicazione SAP NetWeaver del portale di Azure individuare la sezione Gestione e selezionare Single Sign-On.In the Azure portal, on the SAP NetWeaver application integration page, find the Manage section and select Single sign-on.

  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.On the Select a Single sign-on method page, select SAML.

  3. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona Modifica (la penna) relativa a Configurazione SAML di base per modificare le impostazioni.On the Set up Single Sign-On with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    Modificare la configurazione SAML di base

  4. Nella sezione Configurazione SAML di base seguire questa procedura se si vuole configurare l'applicazione in modalità avviata da IDP:On the Basic SAML Configuration section, if you wish to configure the application in IDP initiated mode, perform the following step:

    a.a. Fare clic su Carica file di metadati per caricare il file di metadati del provider di servizi ottenuto in precedenza.Click Upload metadata file to upload the Service Provider metadata file, which you have obtained earlier.

    b.b. Fare clic su logo cartella per selezionare il file di metadati e fare quindi clic su Upload.Click on folder logo to select the metadata file and click Upload.

    c.c. Al termine del caricamento del file di metadati, i valori di Identificatore e URL di risposta vengono inseriti automaticamente nella casella di testo della sezione Configurazione SAML di base, come illustrato di seguito:After the metadata file is successfully uploaded, the Identifier and Reply URL values get auto populated in Basic SAML Configuration section textbox as shown below:

    d.d. Nella casella di testo URL accesso digitare un URL nel formato seguente: https://<your company instance of SAP NetWeaver>In the Sign-on URL text box, type a URL using the following pattern: https://<your company instance of SAP NetWeaver>

    Nota

    Alcuni clienti hanno segnalato un errore di configurazione non valida dell'URL di risposta per la propria istanza.We have seen few customers reporting an error of incorrect Reply URL configured for their instance. Se viene visualizzato un tale errore, è possibile usare lo script di PowerShell seguente come metodo alternativo per impostare l'URL di risposta corretto per l'istanza:If you receive any such error, you can use following PowerShell script as a work around to set the correct Reply URL for your instance.:

    Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"
    

    È prima necessario impostare manualmente l'ID oggetto entità servizio; in alternativa è possibile passarlo anche qui.ServicePrincipal Object ID is to be set by yourself first or you can pass that also here.

  5. L'applicazione SAP NetWeaver prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione degli attributi del token SAML.SAP NetWeaver application expects the SAML assertions in a specific format, which requires you to add custom attribute mappings to your SAML token attributes configuration. Lo screenshot seguente mostra l'elenco degli attributi predefiniti.The following screenshot shows the list of default attributes. Fare clic su Modifica per aprire la finestra di dialogo Attributi utente.Click Edit icon to open User Attributes dialog.

    image

  6. Nella sezione Attestazioni utente della finestra di dialogo Attributi utente configurare l'attributo del token SAML come mostrato nell'immagine precedente e seguire questa procedura:In the User Claims section on the User Attributes dialog, configure SAML token attribute as shown in the image above and perform the following steps:

    a.a. Fare clic sull'icona Modifica per aprire la finestra di dialogo Gestisci attestazioni utente.Click Edit icon to open the Manage user claims dialog.

    image

    image

    b.b. Nell'elenco Trasformazione selezionare ExtractMailPrefix() .From the Transformation list, select ExtractMailPrefix().

    c.c. Nell'elenco Parametro 1 selezionare user.userprinicipalname.From the Parameter 1 list, select user.userprinicipalname.

    d.d. Fare clic su Save.Click Save.

  7. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare XML metadati federazione e selezionare Scarica per scaricare il certificato e salvarlo nel computer in uso.On the Set up Single Sign-On with SAML page, in the SAML Signing Certificate section, find Federation Metadata XML and select Download to download the certificate and save it on your computer.

    Collegamento di download del certificato

  8. Nella sezione Configura SAP NetWeaver copiare gli URL appropriati in base alle esigenze.On the Set up SAP NetWeaver section, copy the appropriate URL(s) based on your requirement.

    Copiare gli URL di configurazione

Creare un utente test di Azure ADCreate an Azure AD test user

In questa sezione verrà creato un utente di test di nome B.Simon nel portale di Azure.In this section, you'll create a test user in the Azure portal called B.Simon.

  1. Nel riquadro sinistro del portale di Azure selezionare Azure Active Directory, Utenti e quindi Tutti gli utenti.From the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. Selezionare Nuovo utente in alto nella schermata.Select New user at the top of the screen.
  3. In Proprietà utente seguire questa procedura:In the User properties, follow these steps:
    1. Nel campo Nome immettere B.Simon.In the Name field, enter B.Simon.
    2. Nel campo Nome utente immettere username@companydomain.extension.In the User name field, enter the username@companydomain.extension. Ad esempio: B.Simon@contoso.com.For example, B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Fare clic su Crea.Click Create.

Assegnare l'utente test di Azure ADAssign the Azure AD test user

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On di Azure concedendole l'accesso a SAP NetWeaver.In this section, you'll enable B.Simon to use Azure single sign-on by granting access to SAP NetWeaver.

  1. Nel portale di Azure selezionare Applicazioni aziendali e quindi Tutte le applicazioni.In the Azure portal, select Enterprise Applications, and then select All applications.

  2. Nell'elenco delle applicazioni selezionare SAP NetWeaver.In the applications list, select SAP NetWeaver.

  3. Nella pagina di panoramica dell'app trovare la sezione Gestione e selezionare Utenti e gruppi.In the app's overview page, find the Manage section and select Users and groups.

    Collegamento "Utenti e gruppi"

  4. Selezionare Aggiungi utente e quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.Select Add user, then select Users and groups in the Add Assignment dialog.

    Collegamento Aggiungi utente

  5. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.In the Users and groups dialog, select B.Simon from the Users list, then click the Select button at the bottom of the screen.

  6. Se si prevede un valore di ruolo nell'asserzione SAML, nella finestra di dialogo Selezionare un ruolo selezionare il ruolo appropriato per l'utente dall'elenco e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.If you're expecting any role value in the SAML assertion, in the Select Role dialog, select the appropriate role for the user from the list and then click the Select button at the bottom of the screen.

  7. Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.In the Add Assignment dialog, click the Assign button.

Configurare SAP NetWeaver con SAMLConfigure SAP NetWeaver using SAML

  1. Accedere al sistema SAP e passare al codice transazione SAML2.Sign in to SAP system and go to transaction code SAML2. Verrà visualizzata una nuova finestra del browser con la schermata di configurazione SAML.It opens new browser window with SAML configuration screen.

  2. Per la configurazione degli endpoint per i provider di identità attendibili (Azure AD), passare alla scheda Trusted Providers (Provider attendibili).For configuring End points for trusted Identity provider (Azure AD) go to Trusted Providers tab.

    Configure Single Sign-On

  3. Premere Add (Aggiungi) e scegliere Upload Metadata File (Carica file di metadati) dal menu di scelta rapida.Press Add and select Upload Metadata File from the context menu.

    Configure Single Sign-On

  4. Caricare il file di metadati scaricato dal portale di Azure.Upload metadata file, which you have downloaded from the Azure portal.

    Configure Single Sign-On

  5. Nella schermata successiva digitare il nome dell'alias.In the next screen type the Alias name. Digitare ad esempio aadsts e premere Next (Avanti) per continuare.For example, aadsts and press Next to continue.

    Configure Single Sign-On

  6. Assicurarsi che il valore di Digest Algorithm (Algoritmo digest) sia SHA-256 e che non siano necessarie modifiche e premere Next (Avanti).Make sure that your Digest Algorithm should be SHA-256 and don’t require any changes and press Next.

    Configure Single Sign-On

  7. In Single Sign-On Endpoints (Endpoint Single Sign-On) selezionare HTTP POST e fare clic su Next (Avanti) per continuare.On Single Sign-On Endpoints, use HTTP POST and click Next to continue.

    Configure Single Sign-On

  8. In Single Logout Endpoints (Endpoint punto di disconnessione singolo) selezionare HTTPRedirect e fare clic su Next (Avanti) per continuare.On Single Logout Endpoints select HTTPRedirect and click Next to continue.

    Configure Single Sign-On

  9. In Artifact Endpoints (Endpoint artefatto) premere Next (Avanti) per continuare.On Artifact Endpoints, press Next to continue.

    Configure Single Sign-On

  10. In Authentication Requirements (Requisiti di autenticazione) fare clic su Finish (Fine).On Authentication Requirements, click Finish.

    Configure Single Sign-On

  11. Passare alla scheda Trusted Providers > Identity Federation (Provider attendibili > Federazione identità), nella parte inferiore dello schermo.Go to tab Trusted Provider > Identity Federation (from bottom of the screen). Fare clic su Modifica.Click Edit.

    Configure Single Sign-On

  12. Fare clic su Add (Aggiungi) sotto Identity Federation (Federazione identità), nella finestra inferiore.Click Add under the Identity Federation tab (bottom window).

    Configure Single Sign-On

  13. Nella finestra popup selezionare Unspecified (Non specificato) in Supported NameID formats (Formati NameID supportati) e fare clic su OK.From the pop-up window, select Unspecified from the Supported NameID formats and click OK.

    Configure Single Sign-On

  14. Si noti che i valori user ID Source (Origine ID utente) e user ID mapping mode (Modalità mapping ID utente) determinano il collegamento tra l'utente SAP e l'attestazione di Azure AD.Note that user ID Source and user ID mapping mode values determine the link between SAP user and Azure AD claim.

    Scenario: Mapping tra utente SAP e utente di Azure AD.Scenario: SAP User to Azure AD user mapping.

    a.a. Screenshot dei dettagli di NameID in SAP.NameID details screenshot from SAP.

    Configure Single Sign-On

    b.b. Screenshot con l'indicazione delle attestazioni necessarie in Azure AD.Screenshot mentioning Required claims from Azure AD.

    Configure Single Sign-On

    Scenario: Selezionare l'ID utente SAP usando l'indirizzo di posta elettronica configurato in SU01.Scenario: Select SAP user ID based on configured email address in SU01. In questo caso l'ID posta elettronica deve essere configurato in SU01 per ogni utente che richiede l'accesso SSO.In this case email ID should be configured in su01 for each user who requires SSO.

    a.a. Screenshot dei dettagli di NameID in SAP.NameID details screenshot from SAP.

    Configure Single Sign-On

    b.b. Screenshot con l'indicazione delle attestazioni necessarie in Azure AD.screenshot mentioning Required claims from Azure AD.

    Configure Single Sign-On

  15. Fare clic su Save (Salva) e quindi su Enable (Abilita) per abilitare il provider di identità.Click Save and then click Enable to enable identity provider.

    Configure Single Sign-On

  16. Quando richiesto, fare clic su OK.Click OK once prompted.

    Configure Single Sign-On

    Creare un utente di test di SAP NetWeaverCreate SAP NetWeaver test user

    In questa sezione viene creato un utente di nome B.Simon in SAP NetWeaver.In this section, you create a user called B.simon in SAP NetWeaver. Collaborare con il team di esperti SAP interno o con il partner SAP dell'organizzazione per aggiungere gli utenti nella piattaforma SAP NetWeaver.Please work your in house SAP expert team or work with your organization SAP partner to add the users in the SAP NetWeaver platform.

Testare l'accesso SSOTest SSO

  1. Una volta attivato il provider di identità Azure AD, provare ad accedere all'URL seguente per controllare l'accesso Single Sign-On (non verranno richiesti nome utente e password)Once the identity provider Azure AD was activated, try accessing below URL to check SSO (there will no prompt for username & password)

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    (oppure) usare l'URL seguente(or) use the URL below

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    Nota

    Sostituire sapurl con il nome host SAP effettivo.Replace sapurl with actual SAP hostname.

  2. L'URL precedente dovrebbe consentire di visualizzare la schermata illustrata sotto.The above URL should take you to below mentioned screen. Se viene visualizzata la pagina seguente, la configurazione dell'accesso Single Sign-On di Azure AD è stata eseguita correttamente.If you are able to reach up to the below page, Azure AD SSO setup is successfully done.

    Configure Single Sign-On

  3. Se vengono richiesti nome utente e password, diagnosticare il problema abilitando la traccia tramite l'URL seguenteIf username & password prompt occurs, please diagnose the issue by enable the trace using below URL

    https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Configurare SAP NetWeaver per OAuthConfigure SAP NetWeaver for OAuth

  1. La documentazione del processo SAP è disponibile qui: NetWeaver Gateway Service Enabling and OAuth 2.0 Scope Creation (Abilitazione del servizio gateway di NetWeaver e creazione dell'ambito di OAuth 2.0)SAP Documented process is available at the location: NetWeaver Gateway Service Enabling and OAuth 2.0 Scope Creation

  2. Passare a SPRO e individuare la voce Activate and Maintain services (Attiva e gestisci i servizi).Go to SPRO and find Activate and Maintain services.

    Configure Single Sign-On

  3. In questo esempio si vuole connettere il servizio OData DAAG_MNGGRP con OAuth all'accesso SSO di Azure AD.In this example we want to connect the OData service: DAAG_MNGGRP with OAuth to Azure AD SSO. Usare la ricerca del nome del servizio tecnico per il servizio DAAG_MNGGRP e attivarlo se non è ancora attivo (cercare lo stato green nella scheda dei nodi ICF).Use the technical service name search for the service DAAG_MNGGRP and activate if not yet active, already (look for green status under ICF nodes tab). Assicurarsi che l'alias di sistema (ovvero il sistema back-end connesso, in cui è in esecuzione il servizio) sia corretto.Ensure if system alias (the connected backend system, where the service actually running) is correct.

    Configure Single Sign-On

    • Fare quindi clic sul pulsante OAuth sulla barra dei pulsanti in alto e assegnare scope (non modificare il nome predefinito visualizzato).Then click pushbutton OAuth on the top button bar and assign scope (keep default name as offered).
  4. Per questo esempio l'ambito è DAAG_MNGGRP_001 e viene generato dal nome del servizio aggiungendo automaticamente un numero.For our example the scope is DAAG_MNGGRP_001, it is generated from the service name by automatically adding a number. È possibile usare il report /IWFND/R_OAUTH_SCOPES per modificare il nome dell'ambito o per crearlo manualmente.Report /IWFND/R_OAUTH_SCOPES can be used to change name of scope or create manually.

    Configure Single Sign-On

    Nota

    Il messaggio soft state status is not supported può essere ignorato perché non costituisce un problema.Message soft state status is not supported – can be ignored, as no problem. Per altri dettagli, vedere quiFor more details, refer here

Creare un utente del servizio per il client OAuth 2.0Create a service user for the OAuth 2.0 Client

  1. OAuth2 usa un service ID per ottenere il token di accesso per l'utente finale per suo conto.OAuth2 uses a service ID to get the access token for the end-user on its behalf. La progettazione di OAuth prevede un'importante restrizione: OAuth 2.0 Client ID deve essere identico al valore di username che il client OAuth 2.0 usa per l'accesso quando viene richiesto un token di accesso.Important restriction by OAuth design: the OAuth 2.0 Client ID must be identical with the username the OAuth 2.0 client uses for login when requesting an Access Token. Di conseguenza, per questo esempio, si registrerà il client OAuth 2.0 con il nome CLIENT1. Come prerequisito nel sistema SAP deve esistere un utente con lo stesso nome (CLIENT1) che verrà configurato per poterlo usare con l'applicazione cui viene fatto riferimento.Therefore, for our example, we are going to register an OAuth 2.0 client with name CLIENT1, and as a prerequisite a user with the same name (CLIENT1) must exist in the SAP system and that user we will configure to be used by the referred application.

  2. Durante la registrazione di un client OAuth si usato il SAML Bearer Grant type.When registering an OAuth Client we use the SAML Bearer Grant type.

    Nota

    Per altri dettagli, vedere la procedura di registrazione del client di OAuth 2.0 per il tipo di concessione bearer SAML disponibile qui.For more details, refer OAuth 2.0 Client Registration for the SAML Bearer Grant Type here

  3. tcod: SU01 / creare l'utente CLIENT1 come System type e assegnare una password, salvarlo come necessario per fornire le credenziali al programmatore API, che deve inserirlo con il nome utente nel codice chiamante.tcod: SU01 / create user CLIENT1 as System type and assign password, save it as need to provide the credential to the API programmer, who should burn it with the username to the calling code. Non devono essere assegnati alcun profilo o ruolo.No profile or role should be assigned.

Registrare il nuovo ID client OAuth 2.0 con la creazione guidataRegister the new OAuth 2.0 Client ID with the creation wizard

  1. Per registrare un nuovo client OAuth 2.0, avviare la transazione SOAUTH2.To register a new OAuth 2.0 client start transaction SOAUTH2. La transazione visualizzerà una panoramica sui client OAuth 2.0 già registrati.The transaction will display an overview about the OAuth 2.0 clients that were already registered. Scegliere Create (Crea) per avviare la procedura guidata per il nuovo client OAuth denominato CLIENT1 in questo esempio.Choose Create to start the wizard for the new OAuth client named as CLIENT1in this example.

  2. Passare a T-Code: SOAUTH2 e fornire la descrizione, quindi fare clic su next (avanti).Go to T-Code: SOAUTH2 and Provide the description then click next.

    Configure Single Sign-On

    Configure Single Sign-On

  3. Selezionare la voce SAML2 IdP - Azure AD dall'elenco a discesa e salvare.Select the already added SAML2 IdP – Azure AD from the dropdown list and save.

    Configure Single Sign-On

    Configure Single Sign-On

    Configure Single Sign-On

  4. Fare clic su Add (Aggiungi) sotto l'assegnazione dell'ambito per aggiungere l'ambito creato in precedenza: DAAG_MNGGRP_001Click on Add under scope assignment to add the previously created scope: DAAG_MNGGRP_001

    Configure Single Sign-On

    Configure Single Sign-On

  5. Fare clic su finish (fine).Click finish.

Risorse aggiuntiveAdditional resources