Zelfstudie: Integratie van eenmalige aanmelding (SSO) van Azure Active Directory met SAP NetWeaver

In deze zelfstudie leert u hoe u SAP NetWeaver integreert met Azure Active Directory (Azure AD). Wanneer u SAP NetWeaver integreert met Azure AD, kunt u:

• In Azure AD beheren wie toegang tot SAP NetWeaver heeft.
• Ervoor zorgen dat gebruikers zich automatisch met hun Azure AD-account kunnen aanmelden bij SAP NetWeaver.
• Uw accounts op een centrale locatie beheren: Azure Portal.

Vereisten

U hebt het volgende nodig om aan de slag te gaan:

• Een Azure AD-abonnement Als u geen abonnement hebt, kunt u zich aanmelden voor een gratis account.
• Een abonnement op SAP NetWeaver waarvoor eenmalige aanmelding (SSO) is ingeschakeld.
• Voor SAP NetWeaver V7.20 is ten minste vereist

Scenariobeschrijving

• SAP NetWeaver ondersteunt zowel SAML (door SP geïnitieerde SSO) als OAuth. In deze zelfstudie gaat u in een testomgeving eenmalige aanmelding van Azure AD configureren en testen.

SAP NetWeaver toevoegen vanuit de galerie

Voor het configureren van de integratie van SAP NetWeaver met Azure AD moet u SAP NetWeaver uit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

1. Meld u bij de Azure-portal aan met een werk- of schoolaccount of een persoonlijk Microsoft-account.
2. Selecteer in het linkernavigatiedeelvenster de service Azure Active Directory.
3. Ga naar Bedrijfstoepassingen en selecteer vervolgens Alle toepassingen.
4. Selecteer Nieuwe toepassing om een nieuwe toepassing toe te voegen.
5. Typ in de sectie Toevoegen vanuit de galerie in het zoekvak: SAP NetWeaver.
6. Selecteer SAP NetWeaver in het resultatenvenster en voeg de app vervolgens toe. Wacht enkele seconden tot de app is toegevoegd aan de tenant.

Eenmalige aanmelding van Azure AD voor SAP NetWeaver configureren en testen

Configureer en test Azure AD-eenmalige aanmelding met SAP NetWeaver met behulp van een testgebruiker met de naam B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Azure AD-gebruiker en de bijbehorende gebruiker in SAP NetWeaver.

Voltooi de volgende stappen om eenmalige aanmelding van Azure AD met SAP NetWeaver te configureren en te testen:

1. Eenmalige aanmelding van Azure AD configureren zodat uw gebruikers deze functie kunnen gebruiken.
   1. Een Azure AD-testgebruiker maken om eenmalige aanmelding van Azure AD te testen met B.Simon.
   2. De Azure AD-testgebruiker toewijzen zodat B.Simon eenmalige aanmelding van Azure AD kan gebruiken.
2. SAP NetWeaver configureren met SAML om de instellingen voor eenmalige aanmelding aan de kant van de toepassing te configureren.
   1. De testgebruiker voor SAP NetWeaver maken als u een equivalent van B. Simon in SAP NetWeaver wilt hebben dat gekoppeld is aan de Azure AD-weergave van de gebruiker.
3. Eenmalige aanmelding testen om te controleren of de configuratie werkt.
4. SAP NetWeaver configureren voor OAuth om de instellingen voor OAuth aan de kant van de toepassing te configureren.

Eenmalige aanmelding van Azure AD configureren

In deze sectie gaat u Azure AD-eenmalige aanmelding in de Azure-portal inschakelen.

Voor het configureren van Azure AD-eenmalige aanmelding met SAP NetWeaver moet u de volgende stappen uitvoeren:

1. Open een nieuw browservenster en meld u aan als beheerder bij de SAP NetWeaver-site van uw bedrijf

2. Zorg ervoor dat http- en https-services actief zijn en de juiste poorten zijn toegewezen in T-code SMICM.

3. Meld u aan bij de bedrijfsclient van het SAP-systeem (T01), waarvoor eenmalige aanmelding is vereist, en activeer HTTP-beveiligingssessie Management.

   a. Ga naar transactiecode SICF_SESSIONS. Hier worden alle relevante profielparameters met de huidige waarden weergegeven. Deze zien eruit als hieronder:

   login/create_sso2_ticket = 2
   login/accept_sso2_ticket = 1
   login/ticketcache_entries_max = 1000
   login/ticketcache_off = 0  login/ticket_only_by_https = 0 
   icf/set_HTTPonly_flag_on_cookies = 3
   icf/user_recheck = 0  http/security_session_timeout = 1800
   http/security_context_cache_size = 2500
   rdisp/plugin_auto_logout = 1800
   rdisp/autothtime = 60
   

   Notitie

   Pas de bovenstaande parameters aan volgens de vereisten van uw organisatie. De bovenstaande parameters worden hier slechts als indicatie weergegeven.

   b. Pas zo nodig de parameters aan in het exemplaar-/standaardprofiel van het SAP-systeem en start het SAP-systeem opnieuw op.

   c. Dubbelklik op de relevante client om de HTTP-beveiligingssessie in te schakelen.

   

   d. Activeer de onderstaande SICF-services:

   /sap/public/bc/sec/saml2
   /sap/public/bc/sec/cdc_ext_service
   /sap/bc/webdynpro/sap/saml2
   /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
   

4. Ga naar transactiecode SAML2 in de bedrijfsclient van het SAP-systeem [T01/122]. In een browser wordt een gebruikersinterface geopend. In dit voorbeeld wordt ervanuit gegaan dat 122 een SAP-bedrijfsclient is.

   

5. Voer uw gebruikersnaam en wachtwoord in de gebruikersinterface in en klik op Edit.

   

6. Vervang Provider Name T01122 door http://T01122 en klik op Save.

   Notitie

   Standaard wordt Provider Name in de indeling <sid><client> weergegeven, maar in Azure AD wordt verwacht dat de naam in de indeling <protocol>://<name> wordt weergegeven, waarbij wordt aangeraden Provider Name als https://<sid><client> te handhaven zodat meerdere SAP NetWeaver ABAP-engines in Azure AD kunnen worden geconfigureerd.

   

7. Metagegevens van de serviceprovider genereren: als de instellingen Local Provider en Trusted Providers in de SAML 2.0-gebruikersinterface zijn geconfigureerd, bestaat de volgende stap uit het genereren van het bestand met metagegevens van de serviceprovider (dat alle instellingen, contexten voor verificatie en overige configuraties in SAP bevat). Als dit bestand is gegenereerd, moet het in Azure AD worden geüpload.

   

   a. Ga naar het tabblad Local Provider.

   b. Klik op Metadata.

   c. Sla het gegenereerde XML-bestand met metagegevens op de computer op en upload het naar de sectie Basic SAML Configuration om de waarden Identifier en Reply URL automatisch in Azure Portal in te vullen.

Volg deze stappen om eenmalige aanmelding van Azure AD in te schakelen in Azure Portal.

1. Zoek in Azure Portal op de integratiepagina van de toepassing SAP NetWeaver de sectie Beheren en selecteer Eenmalige aanmelding.

2. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

3. Op de pagina Eenmalige aanmelding instellen met SAML klikt u op het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.

   

4. In het gedeelte Standaard SAML-configuratie voert u de volgende stappen uit als u de toepassing in de door IDP geïnitieerde modus wilt configureren:

   a. Klik op Metagegevensbestand uploaden om het metagegevensbestand van de serviceprovider te uploaden dat u eerder hebt verkregen.

   b. Klik op het mappictogram om het metagegevensbestand te selecteren en klik op Uploaden.

   c. Nadat het bestand met metagegevens is geüpload, worden de waarden voor Identifier en Reply URL automatisch ingevuld in het tekstvak van de sectie Standaard SAML-configuratie, zoals hieronder weergegeven:

   d. In het tekstvak Aanmeldings-URL typt u een URL met het volgende patroon: https://<your company instance of SAP NetWeaver>

   Notitie

   Enkele klanten hebben een fout gerapporteerd dat een onjuiste antwoord-URL voor hun instantie is geconfigureerd. Als u een dergelijke foutmelding krijgt, kunt u het volgende PowerShell-script als tijdelijke oplossing gebruiken om de juiste antwoord-URL voor uw instantie in te stellen:

   Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"
   

   De ServicePrincipal-object-id moet eerst door uzelf worden ingesteld, maar u kunt deze ook hier doorgeven.

5. De SAP NetWeaver-toepassing verwacht de SAML-asserties in een specifieke indeling. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie van uw SAML-tokenkenmerken. In de volgende schermafbeelding wordt de lijst met standaardkenmerken weergegeven. Klik op het pictogram Bewerken om het dialoogvenster gebruikerskenmerken te openen.

   

6. In de sectie Gebruikersclaims in het dialoogvenster Gebruikerskenmerken configureert u het kenmerk van het SAML-token zoals wordt weergegeven in de bovenstaande afbeelding en voert u de volgende stappen uit:

   a. Klik op pictogram bewerken om het dialoogvenster Gebruikersclaims beheren te openen.

   

   

   b. Selecteer in de lijst Transformatie****ExtractMailPrefix().

   c. Selecteer user.userprincipalname in de lijst Parameter 1.

   d. Klik op Opslaan.

7. Ga op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat naar XML-bestand met federatieve metagegevens en selecteer Downloaden om het certificaat te downloaden. Sla dit vervolgens op de computer op.

   

8. In de sectie SAP NetWeaver instellen kopieert u de juiste URL('s) op basis van uw behoeften.

   

Een Azure AD-testgebruiker maken

In deze sectie gaat u een testgebruiker met de naam B.Simon maken in Azure Portal.

1. Selecteer in het linkerdeelvenster van Azure Portal de optie Azure Active Directory, selecteer Gebruikers en selecteer vervolgens Alle gebruikers.
2. Selecteer Nieuwe gebruiker boven aan het scherm.
3. Volg de volgende stappen bij de eigenschappen voor Gebruiker:
   1. Voer in het veld NaamB.Simon in.
   2. Voer username@companydomain.extension in het veld Gebruikersnaam in. Bijvoorbeeld B.Simon@contoso.com.
   3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
   4. Klik op Create.

De Azure AD-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding van Azure te gebruiken door toegang te verlenen tot SAP NetWeaver.

1. Selecteer in Azure Portal de optie Bedrijfstoepassingen en selecteer vervolgens Alle toepassingen.
2. Typ en selecteer SAP NetWeaver in de lijst met toepassingen.
3. Zoek op de overzichtspagina van de app de sectie Beheren en selecteer Gebruikers en groepen.
4. Selecteer Gebruiker toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
5. Selecteer in het dialoogvenster Gebruikers en groepen de optie B.Simon in de lijst Gebruikers. Klik vervolgens op de knop Selecteren onderaan het scherm. Als u verwacht dat er een rol aan de gebruikers moet worden toegewezen, kunt u de rol selecteren in de vervolgkeuzelijst Selecteer een rol. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
6. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen.

SAP NetWeaver configureren met SAML

1. Meld u aan bij het SAP-systeem en ga naar transactiecode SAML2. Er wordt een nieuwe browservenster geopend met een SAML-configuratiescherm.

2. Ga naar het tabblad Trusted Providers om eindpunten voor vertrouwde identiteitsproviders (Azure AD) te configureren.

   

3. Druk op Add en selecteer Upload Metadata File in het snelmenu.

   

4. Upload het metagegevensbestand dat u eerder in de Azure-portal hebt gedownload.

   

5. Typ de aliasnaam in het volgende scherm. Bijvoorbeeld aadsts en druk op Next om door te gaan.

   

6. Zorg ervoor dat Digest Algorithm****SHA-256 is, vereis geen wijzigingen en druk op Next.

   

7. Gebruik bij Single Sign-On Endpoints****HTTP POST en klik op Next om door te gaan.

   

8. Gebruik bij Single Logout Endpoints****HTTPRedirect en klik op Next om door te gaan.

   

9. Druk bij Artifact Endpoints op Next om door te gaan.

   

10. Klik bij Authentication Requirements op Finish.

    

11. Ga naar het tabblad Trusted Provider > Identity Federation (vanaf de onderkant van het scherm). Klik op Bewerken.

    

12. Klik onder het tabblad Identity Federation op Add (onderste venster).

    

13. Selecteer in het pop-upvenster Supported NameID formats de optie Unspecified en klik op OK.

    

14. Geef de waarde voor User ID Source op als Assertion Attribute, de waarde voor de User ID mapping mode op als Email en geef de Assertion Attribute Name op als http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    

15. De waarden User ID Source en User ID mapping mode bepalen de koppeling tussen de SAP-gebruiker en de Azure AD-claim.

    Scenario: Toewijzing van SAP-gebruiker aan Azure AD-gebruiker.

    a. Schermopname van details NameID van SAP.

    

    b. Schermopname met Vereiste claims van Azure AD.

    

    Scenario: Selecteer de SAP-gebruikers-id op basis van geconfigureerd e-mailadres in SU01. In dit geval moet de e-mail-id voor elke gebruiker waarvoor eenmalige aanmelding is vereist, worden geconfigureerd in SU01.

    a. Schermopname van details NameID van SAP.

    

    b. Schermopname met Vereiste claims van Azure AD.

    

16. Klik op Save en vervolgens op Enable om de id-provider in te schakelen.

    

17. Klik op OK zodra daarom wordt gevraagd.

    

    SAP NetWeaver-testgebruiker maken

    In deze sectie maakt u een gebruiker met de naam B.simon in SAP NetWeaver. Werk samen met uw interne SAP-deskundige of met de SAP-partner van uw organisatie om de gebruikers aan het SAP NetWeaver-platform toe te voegen.

Eenmalige aanmelding testen

1. Als de id-provider Azure AD is geactiveerd, opent u de onderstaande URL om eenmalige aanmelding te controleren (u wordt niet om gebruikersnaam en wachtwoord gevraagd)

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   (of) gebruik de onderstaande URL

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   Notitie

   Vervang sapurl door de feitelijke SAP-hostnaam.

2. Via de bovenstaande URL moet u op het hieronder genoemd scherm terechtkomen. Als u de onderstaande pagina kunt bereiken, is eenmalige aanmelding voor Azure AD ingesteld.

   

3. Als u om een gebruikersnaam en wachtwoord wordt gevraagd, probeert u het probleem vast te stellen door de tracering in te schakelen met behulp van de onderstaande URL

   https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

SAP NetWeaver configureren voor OAuth

1. SAP-gedocumenteerd proces is beschikbaar op de locatie: Inschakelen NetWeaver Gateway Service en Aanmaken bereik OAuth 2.0

2. Ga naar SPRO en zoek Services activeren en onderhouden.

   

3. In dit voorbeeld willen we verbinding maken met de OData-service: DAAG_MNGGRP met OAuth naar Azure AD eenmalige aanmelding. Gebruik de naam van de technische service voor het zoeken naar de service DAAG_MNGGRP en activeer indien deze nog niet actief is (zoek naar green status onder het tabblad ICF-knooppunten). Zorg ervoor dat de systeem alias (het verbonden back-end-systeem, waar de service daadwerkelijk wordt uitgevoerd) juist is.

   

   • Klik vervolgens op knop OAuth op de bovenste knoppenbalk en wijs scope toe (behoud de standaard naam zoals deze wordt aangeboden).

4. In ons voorbeeld is het bereik DAAG_MNGGRP_001 en wordt het gegenereerd op basis van de servicenaam door automatisch een nummer toe te voegen. Rapport /IWFND/R_OAUTH_SCOPES kan worden gebruikt om de naam van het bereik te wijzigen of handmatig te maken.

   

   Notitie

   Bericht soft state status is not supported: kan worden genegeerd, omdat er geen problemen zijn. Kijk hier voor meer informatie.

Een servicegebruiker maken voor de OAuth 2.0 Client

1. OAuth2 maakt gebruik van een service ID voor het verkrijgen van het toegangstoken voor de eindgebruiker. Belangrijke beperking van het OAuth-ontwerp: de OAuth 2.0 Client ID moet identiek zijn aan de username die de OAuth 2.0-client gebruikt voor aanmelding bij het aanvragen van een toegangstoken. Daarom gaan we in ons voorbeeld een OAuth 2.0-client met de naam CLIENT1 registreren, en het is vereist dat er een gebruiker met dezelfde naam (CLIENT1) bestaat in het SAP-systeem en die gebruiker gaan we configureren om te gebruiken met de toepassing waarnaar wordt verwezen.

2. Wanneer u een OAuth-client registreert, gebruiken we de SAML Bearer Grant type.

   Notitie

   Raadpleeg voor meer informatie OAuth 2.0 Clientregistratie voor het toekenningstype SAML Bearer hier.

3. tcod: SU01 / maak gebruiker CLIENT1 als System type en wijs het wachtwoord toe, sla het op aangezien de aanmeldingsgegevens moeten worden opgegeven aan de API-programmeur, die dit moet branden samen met de gebruikersnaam voor de aanroepcode. Er mag geen profiel of rol worden toegewezen.

De nieuwe OAuth 2.0-client-id registreren met de wizard voor het maken

1. Om een nieuwe OAuth 2.0-client te registreren start u transactie SOAUTH2. In de transactie wordt een overzicht weergegeven van de OAuth 2.0-clients die al zijn geregistreerd. Kies Maken om de wizard te starten voor de nieuwe OAuth-client met de naam CLIENT1 in dit voorbeeld.

2. Ga naar T-Code: SOAUTH2 en geef de beschrijving op en klik vervolgens op volgende.

   

   

3. Selecteer de al toegevoegde SAML2 IdP-Azure AD in de vervolgkeuzelijst en sla deze op.

   

   

   

4. Klik op Toevoegen onder bereik toewijzing om het eerder gemaakte bereik toe te voegen: DAAG_MNGGRP_001

   

   

5. Klik op voltooien.

Volgende stappen

Zodra u Azure AD SAP NetWeaver hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.