Share via

Zelfstudie: Eenmalige aanmelding van Microsoft Entra integreren met SAP Fiori

  • Artikel

In deze zelfstudie leert u hoe u SAP Fiori integreert met Microsoft Entra ID. Wanneer u SAP Fiori integreert met Microsoft Entra ID, kunt u het volgende doen:

  • In Microsoft Entra-id beheren wie toegang heeft tot SAP Fiori.
  • Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij SAP Fiori.
  • Beheer uw accounts op één centrale locatie.

Vereisten

U hebt het volgende nodig om aan de slag te gaan:

  • Een Microsoft Entra-abonnement. Als u geen abonnement hebt, kunt u een gratis account krijgen.
  • Een abonnement op SAP Fiori waarvoor eenmalige aanmelding is ingeschakeld.

Beschrijving van scenario

In deze zelfstudie configureert en test u eenmalige aanmelding van Microsoft Entra in een testomgeving.

  • SAP Fiori ondersteunt door SP geïnitieerde eenmalige aanmelding

Notitie

Voor door SAP Fiori geïnitieerde iFrame-verificatie raden we aan de parameter IsPassive in de SAML AuthnRequest te gebruiken voor verificatie op de achtergrond. Raadpleeg de informatie over eenmalige aanmelding van Microsoft Entra SAML voor meer informatie over de parameter IsPassive.

Als u de integratie van SAP Fiori in Microsoft Entra ID wilt configureren, moet u SAP Fiori vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.
  3. Typ in de sectie Toevoegen uit de galerie in het zoekvak: SAP Fiori.
  4. Selecteer SAP Fiori in het resultatenvenster en voeg de app vervolgens toe. Wacht enkele seconden tot de app aan de tenant is toegevoegd.

U kunt ook de wizard Enterprise App Configuration gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Eenmalige aanmelding van Microsoft Entra voor SAP Fiori configureren en testen

Configureer en test eenmalige aanmelding van Microsoft Entra met SAP Fiori met behulp van een testgebruiker met de naam B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in SAP Fiori.

Voer de volgende stappen uit om eenmalige aanmelding van Microsoft Entra met SAP Fiori te configureren en te testen:

  1. Configureer eenmalige aanmelding van Microsoft Entra - zodat uw gebruikers deze functie kunnen gebruiken.
    1. Een Microsoft Entra-testgebruiker maken : eenmalige aanmelding van Microsoft Entra testen met B.Simon.
    2. Wijs de Microsoft Entra-testgebruiker toe om B.Simon in staat te stellen eenmalige aanmelding van Microsoft Entra te gebruiken.
  2. Eenmalige aanmelding voor SAP Fiori configureren: als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
    1. Testgebruiker voor SAP Fiori maken: als u een tegenhanger van B.Simon in SAP Fiori wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
  3. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Eenmalige aanmelding voor Microsoft Entra configureren

Volg deze stappen om eenmalige aanmelding van Microsoft Entra in te schakelen.

  1. Open een nieuw browservenster en meld u als beheerder aan bij de bedrijfssite van SAP Fiori.

  2. Zorg ervoor dat http- en https-services actief zijn en de relevante poorten zijn toegewezen aan transactiecode SMICM.

  3. Meld u aan bij de bedrijfsclient voor SAP-systeem T01, waarvoor eenmalige aanmelding is vereist. Activeer vervolgens HTTP-beveiligingssessies beheren.

    1. Ga naar transactiecode SICF_SESSIONS. Alle relevante profielparameters met de huidige waarden worden weergegeven. Ze zien eruit als het volgende voorbeeld:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Notitie

      Pas de parameters aan op basis van uw organisatievereisten. De bovenstaande parameters worden alleen als voorbeeld gegeven.

    2. Pas zo nodig de parameters aan in het exemplaarprofiel (standaardprofiel) van het SAP-systeem en start het SAP-systeem opnieuw op.

    3. Dubbelklik op de relevante client om een HTTP-beveiligingssessie in te schakelen.

      The Current Values of Relevant Profile Parameters page in SAP

    4. Activeer de volgende SICF-services:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Ga naar transactiecode SAML2 in de bedrijfsclient voor SAP-systeem [T01/122]. De gebruikersinterface van de configuratie wordt geopend in een nieuw browservenster. In dit voorbeeld gebruiken we de bedrijfsclient voor SAP-systeem 122.

    The SAP Fiori Business Client sign-in page

  5. Voer uw gebruikersnaam en wachtwoord in en selecteer vervolgens Aanmelden.

    The SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  6. Vervang T01122 in het vak Providernaam door en selecteer Opslaan.http://T01122

    Notitie

    Standaard heeft de providernaam de indeling <sid-client><>. Microsoft Entra ID verwacht de naam in de format <protocol>://<name>. U wordt aangeraden de providernaam te behouden als https://< sid-client>><, zodat u meerdere SAP Fiori ABAP-engines in Microsoft Entra-id kunt configureren.

    The updated provider name in the SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  7. Selecteer het tabblad Lokale provider>Metagegevens.

  8. In het dialoogvenster SAML 2.0-metagegevens downloadt u het gegenereerde XML-bestand met metagegevens en slaat u dit op uw computer op.

    The Download Metadata link in the SAP SAML 2.0 Metadata dialog box

  9. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

  10. Blader naar Identity>Applications>Enterprise-toepassingen>SAP Fiori-eenmalige> aanmelding.

  11. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

  12. Op de pagina Eenmalige aanmelding instellen met SAML klikt u op het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.

    Edit Basic SAML Configuration

  13. Voer in de sectie Standaard SAML-configuratie de volgende stappen uit als u beschikt over een bestand met metagegevens van de serviceprovider:

    1. Klik op Metagegevensbestand uploaden.

      Upload metadata file

    2. Klik op het mappictogram om het metagegevensbestand te selecteren en klik op Uploaden.

      choose metadata file

    3. Wanneer het bestand met metagegevens is geüpload, worden de waarden voor Id en Antwoord-URL automatisch ingevuld in het deelvenster Standaard SAML-configuratie. Typ in het tvak Aanmeldings-URL een URL met het volgende patroon: https://<your company instance of SAP Fiori>.

      Notitie

      Sommige klanten hebben een fout ondervonden van een onjuiste antwoord-URL die is geconfigureerd voor hun exemplaar. Als u een dergelijke fout ontvangt, gebruikt u deze PowerShell-opdrachten. Werk eerst de antwoord-URL's in het toepassingsobject bij met de antwoord-URL en werk vervolgens de service-principal bij. Gebruik get-MgServicePrincipal om de waarde van de service-principal-id op te halen.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. In de SAP Fiori-toepassing worden de SAML-asserties in een specifieke indeling verwacht. Configureer de volgende claims voor deze toepassing. Om deze kenmerkwaarden te beheren, selecteert u in het deelvenster Eenmalige aanmelding met SAML instellen de optie Bewerken.

    The User attributes pane

  15. In het deelvenster Gebruikerskenmerken en claims configureert u de SAML-tokenkenmerken zoals weergegeven in de vorige afbeelding. Voer de volgende stappen uit:

    1. Selecteer Bewerken om het deelvenster Gebruikersclaims beheren te openen.

    2. In de lijst Transformatie selecteert u ExtractMailPrefix().

    3. In de lijst Parameter 1 selecteert u user.userprincipalname.

    4. Selecteer Opslaan.

      The Manage user claims pane

      The Transformation section in the Manage user claims pane

  16. Ga op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat naar XML-bestand met federatieve metagegevens en selecteer Downloaden om het certificaat te downloaden en vervolgens op te slaan op de computer.

    The Certificate download link

  17. In de sectie SAP Fiori instellen kopieert u de juiste URL('s) op basis van uw behoeften.

    Copy configuration URLs

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.
  2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
  3. Selecteer Nieuwe gebruiker Nieuwe gebruiker> maken bovenaan het scherm.
  4. Voer in de gebruikerseigenschappen de volgende stappen uit:
    1. Voer in het veld Weergavenaam de tekst in B.Simon.
    2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld: B.Simon@contoso.com.
    3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
    4. Selecteer Controleren + maken.
  5. Selecteer Maken.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door toegang te verlenen tot SAP Fiori.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Blader naar Enterprise-toepassingen voor identiteitstoepassingen>>>SAP Fiori.
  3. Selecteer gebruikers en groepen op de overzichtspagina van de app.
  4. Selecteer Gebruiker/groep toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
    1. Selecteer in het dialoogvenster Gebruikers en groepen de optie B.Simon in de lijst Gebruikers. Klik vervolgens op de knop Selecteren onderaan het scherm.
    2. Als u verwacht dat er een rol aan de gebruikers moet worden toegewezen, kunt u de rol selecteren in de vervolgkeuzelijst Selecteer een rol. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
    3. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen.

Eenmalige aanmelding voor SAP Fiori configureren

  1. Meld u aan bij het SAP-systeem en ga naar transactiecode SAML2. Er wordt een nieuw browservenster geopend met de pagina SAML-configuratie.

  2. Als u eindpunten wilt configureren voor een vertrouwde id-provider (Microsoft Entra-id), selecteert u het tabblad Vertrouwde providers .

    The Trusted Providers tab in SAP

  3. Selecteer Toevoegen en selecteer vervolgens Metagegevensbestand uploaden in het contextmenu.

    The Add and Upload Metadata File options in SAP

  4. Upload het metagegevensbestand dat u hebt gedownload. Selecteer Volgende.

    Select the metadata file to upload in SAP

  5. Op de volgende pagina voert u in het vak Alias de aliasnaam in, bijvoorbeeld aadsts. Selecteer Volgende.

    The Alias box in SAP

  6. Zorg ervoor dat de waarde in het vak SamenvattingsalgoritmeSHA-256 is. Selecteer Volgende.

    Verify the Digest Algorithm value in SAP

  7. Selecteer onder Eindpunten voor eenmalige aanmelding de optie HTTP POST en selecteer vervolgens Volgende.

    Single Sign-On Endpoints options in SAP

  8. Selecteer onder Eindpunten voor eenmalige afmelding de optie HTTP-omleiding en selecteer vervolgens Volgende.

    Single Logout Endpoints options in SAP

  9. Selecteer onder Artefacteindpunten de optie Volgende om door te gaan.

    Artifact Endpoints options in SAP

  10. Selecteer onder Verificatievereisten de optie Voltooien.

    Authentication Requirements options and the Finish option in SAP

  11. Selecteer Vertrouwde provider>Identiteitsfederatie (onderaan de pagina). Selecteer Bewerken.

    The Trusted Provider and Identity Federation tabs in SAP

  12. Selecteer Toevoegen.

    The Add option on the Identity Federation tab

  13. Selecteer in het dialoogvenster Ondersteunde NameID-indelingen de optie Niet opgegeven. Selecteer OK.

    The Supported NameID Formats dialog box and options in SAP

    De waarden voor de gebruikers-id-bron en de gebruikers-id-toewijzingsmodus bepalen de koppeling tussen de SAP-gebruiker en de Microsoft Entra-claim.

    Scenario 1: SAP-gebruiker aan Microsoft Entra-gebruikerstoewijzing

    1. In SAP onder Details van NameID-indeling ‘Niet opgegeven’ ziet u de details:

      Screenshot that shows the 'Details of NameID Format

    2. Noteer in Azure Portal, onder Gebruikerskenmerken en -claims, de vereiste claims van Microsoft Entra-id.

      Screenshot that shows the

    Scenario 2: Selecteer de SAP-gebruikers-id op basis van het geconfigureerde e-mailadres in SU01. In dit geval moet de e-mail-id voor elke gebruiker waarvoor eenmalige aanmelding is vereist, worden geconfigureerd in SU01.

    1. In SAP onder Details van NameID-indeling ‘Niet opgegeven’ ziet u de details:

      The Details of NameID Format

    2. Noteer in Azure Portal, onder Gebruikerskenmerken en -claims, de vereiste claims van Microsoft Entra-id.

      The User Attributes and Claims dialog box in the Azure portal

  14. Selecteer Opslaan en selecteer vervolgens Inschakelen om de identiteitsprovider in te schakelen.

    The Save and Enable options in SAP

  15. Selecteer OK wanneer u hierom wordt gevraagd.

    The OK option in SAML 2.0 Configuration dialog box in SAP

Testgebruiker voor SAP Fiori maken

In deze sectie maakt u in SAP Fiori een gebruiker met de naam Britta Simon. Werk samen met uw interne SAP-deskundige of met de SAP-partner van uw organisatie om de gebruiker toe te voegen voor het SAP Fiori-platform.

Eenmalige aanmelding testen

  1. Nadat de Id-provider Microsoft Entra ID is geactiveerd in SAP Fiori, probeert u toegang te krijgen tot een van de volgende URL's om eenmalige aanmelding te testen (u moet niet worden gevraagd om een gebruikersnaam en wachtwoord):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Notitie

    Vervang door <sap-url> de werkelijke SAP-hostnaam.

  2. De test-URL zou u naar de volgende pagina Toepassing testen in SAP moeten leiden. Als de pagina wordt geopend, is eenmalige aanmelding van Microsoft Entra ingesteld.

    The standard test application page in SAP

  3. Als u om een gebruikersnaam en wachtwoord wordt gevraagd, schakelt u tracering in om het probleem te helpen vaststellen. Gebruik de volgende URL voor de tracering:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Volgende stappen

Zodra u SAP Fiori hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.