Zelfstudie: Azure Active Directory-integratie met eenmalige aanmelding (SSO) met SAP net-WeaverTutorial: Azure Active Directory Single sign-on (SSO) integration with SAP NetWeaver

In deze zelf studie leert u hoe u SAP NetWeaver integreert met Azure Active Directory (Azure AD).In this tutorial, you'll learn how to integrate SAP NetWeaver with Azure Active Directory (Azure AD). Wanneer u SAP NetWeaver integreert met Azure AD, kunt u het volgende doen:When you integrate SAP NetWeaver with Azure AD, you can:

  • Controle in azure AD die toegang heeft tot SAP net-Weaver.Control in Azure AD who has access to SAP NetWeaver.
  • Stel in dat uw gebruikers automatisch worden aangemeld bij SAP NetWeaver met hun Azure AD-accounts.Enable your users to be automatically signed-in to SAP NetWeaver with their Azure AD accounts.
  • Beheer uw accounts op één centrale locatie: de Azure Portal.Manage your accounts in one central location - the Azure portal.

Zie Wat is toegang tot toepassingen en eenmalige aanmelding met Azure Active Directoryvoor meer informatie over SaaS-app-integratie met Azure AD.To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

VereistenPrerequisites

U hebt de volgende items nodig om aan de slag te gaan:To get started, you need the following items:

  • Een Azure AD-abonnementAn Azure AD subscription. Als u geen abonnement hebt, kunt u een gratis accountaanvragen.If you don't have a subscription, you can get a free account.
  • SAP NetWeaver single sign-on (SSO) ingeschakeld abonnement.SAP NetWeaver single sign-on (SSO) enabled subscription.
  • Voor SAP NetWeaver V7.20 is ten minste vereistSAP NetWeaver V7.20 required atleast

ScenariobeschrijvingScenario description

SAP NetWeaver ondersteunt zowel SAML (SP initiated SSO) als OAuth.SAP NetWeaver supports both SAML (SP initiated SSO) and OAuth. In deze zelf studie configureert en test u Azure AD SSO in een test omgeving.In this tutorial, you configure and test Azure AD SSO in a test environment.

Notitie

Configureer de toepassing in SAML of in OAuth conform uw organisatie vereiste.Configure the application either in SAML or in OAuth as per your organizational requirement.

Voor het configureren van de integratie van SAP NetWeaver met Azure AD moet u SAP NetWeaver uit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.To configure the integration of SAP NetWeaver into Azure AD, you need to add SAP NetWeaver from the gallery to your list of managed SaaS apps.

  1. Meld u bij de Azure-portal aan met een werk- of schoolaccount of een persoonlijk Microsoft-account.Sign in to the Azure portal using either a work or school account, or a personal Microsoft account.
  2. Selecteer de Azure Active Directory -service in het navigatie deel venster aan de linkerkant.On the left navigation pane, select the Azure Active Directory service.
  3. Ga naar bedrijfs toepassingen en selecteer alle toepassingen.Navigate to Enterprise Applications and then select All Applications.
  4. Selecteer nieuwe toepassingom een nieuwe toepassing toe te voegen.To add new application, select New application.
  5. Typ in de sectie toevoegen vanuit de galerie SAP NetWeaver in het zoekvak.In the Add from the gallery section, type SAP NetWeaver in the search box.
  6. Selecteer SAP Netweave uit het paneel resultaten en voeg vervolgens de app toe.Select SAP NetWeaver from results panel and then add the app. Wacht een paar seconden wanneer de app aan uw Tenant is toegevoegd.Wait a few seconds while the app is added to your tenant.

Eenmalige aanmelding voor Azure AD configureren en testen voor SAP net-WeaverConfigure and test Azure AD single sign-on for SAP NetWeaver

Azure AD SSO configureren en testen met SAP NetWeaver met behulp van een test gebruiker met de naam B. Simon.Configure and test Azure AD SSO with SAP NetWeaver using a test user called B.Simon. Voor het werken met SSO moet u een koppelings relatie tot stand brengen tussen een Azure AD-gebruiker en de bijbehorende gebruiker in SAP net-Weaver.For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in SAP NetWeaver.

Als u Azure AD SSO wilt configureren en testen met SAP NetWeaver, voltooit u de volgende bouw stenen:To configure and test Azure AD SSO with SAP NetWeaver, complete the following building blocks:

  1. Configureer Azure AD SSO zodat uw gebruikers deze functie kunnen gebruiken.Configure Azure AD SSO to enable your users to use this feature.
    1. Maak een Azure AD-test gebruiker om de eenmalige aanmelding van Azure ad te testen met B. Simon.Create an Azure AD test user to test Azure AD single sign-on with B.Simon.
    2. Wijs de Azure AD-test gebruiker toe om B. Simon in te scha kelen voor het gebruik van eenmalige aanmelding voor Azure AD.Assign the Azure AD test user to enable B.Simon to use Azure AD single sign-on.
  2. CONFIGUREER SAP NetWeaver met behulp van SAML om de SSO-instellingen aan de kant van de toepassing te configureren.Configure SAP NetWeaver using SAML to configure the SSO settings on application side.
    1. U kunt een SAP NetWeaver-gebruiker maken voor een soort B. Simon in SAP NetWeaver die is gekoppeld aan de Azure AD-representatie van de gebruiker.Create SAP NetWeaver test user to have a counterpart of B.Simon in SAP NetWeaver that is linked to the Azure AD representation of user.
  3. Test SSO om te controleren of de configuratie werkt.Test SSO to verify whether the configuration works.
  4. SAP Netweave voor OAuth configureren om de OAuth-instellingen aan de kant van de toepassing te configureren.Configure SAP NetWeaver for OAuth to configure the OAuth settings on application side.

Azure AD SSO configurerenConfigure Azure AD SSO

In deze sectie gaat u Azure AD-eenmalige aanmelding in de Azure-portal inschakelen.In this section, you enable Azure AD single sign-on in the Azure portal.

Voor het configureren van Azure AD-eenmalige aanmelding met SAP NetWeaver moet u de volgende stappen uitvoeren:To configure Azure AD single sign-on with SAP NetWeaver, perform the following steps:

  1. Open een nieuw webbrowser venster en meld u als beheerder aan bij uw SAP NetWeaver-bedrijfs siteOpen a new web browser window and sign into your SAP NetWeaver company site as an administrator

  2. Zorg ervoor dat http- en https-services actief zijn en de juiste poorten zijn toegewezen in T-code SMICM.Make sure that http and https services are active and appropriate ports are assigned in SMICM T-Code.

  3. Meld u aan bij de Business-client van het SAP-systeem (T01), waarbij SSO is vereist en schakel het beheer van HTTP-beveiligings sessies in.Sign on to business client of SAP System (T01), where SSO is required and activate HTTP Security session Management.

    a.a. Ga naar transactiecode SICF_SESSIONS.Go to Transaction code SICF_SESSIONS. Hier worden alle relevante profielparameters met de huidige waarden weergegeven.It displays all relevant profile parameters with current values. Deze zien eruit als hieronder:They look like below:-

    login/create_sso2_ticket = 2
    login/accept_sso2_ticket = 1
    login/ticketcache_entries_max = 1000
    login/ticketcache_off = 0  login/ticket_only_by_https = 0 
    icf/set_HTTPonly_flag_on_cookies = 3
    icf/user_recheck = 0  http/security_session_timeout = 1800
    http/security_context_cache_size = 2500
    rdisp/plugin_auto_logout = 1800
    rdisp/autothtime = 60
    

    Notitie

    Pas de bovenstaande parameters aan volgens de vereisten van uw organisatie. De bovenstaande parameters worden hier slechts als indicatie weergegeven.Adjust above parameters as per your organization requirements, Above parameters are given here as indication only.

    b.b. Wijzig indien nodig de para meters in het exemplaar/standaard Profiel van het SAP-systeem en start SAP-systeem opnieuw op.If necessary adjust parameters, in the instance/default profile of SAP system and restart SAP system.

    c.c. Dubbel klik op de relevante client om de HTTP-beveiligings sessie in te scha kelen.Double-click on relevant client to enable HTTP security session.

    De downloadkoppeling certificaat

    d.d. Activeer de onderstaande SICF-services:Activate below SICF services:

    /sap/public/bc/sec/saml2
    /sap/public/bc/sec/cdc_ext_service
    /sap/bc/webdynpro/sap/saml2
    /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
    
  4. Ga naar transactiecode SAML2 in de bedrijfsclient van het SAP-systeem [T01/122].Go to Transaction code SAML2 in business client of SAP system [T01/122]. In een browser wordt een gebruikersinterface geopend.It will open a user interface in a browser. In dit voorbeeld wordt ervanuit gegaan dat 122 een SAP-bedrijfsclient is.In this example, we assumed 122 as SAP business client.

    De downloadkoppeling certificaat

  5. Voer uw gebruikersnaam en wachtwoord in de gebruikersinterface in en klik op Edit.Provide your username and password to enter in user interface and click Edit.

    De downloadkoppeling certificaat

  6. Vervang Provider Name T01122 door http://T01122 en klik op Save.Replace Provider Name from T01122 to http://T01122 and click on Save.

    Notitie

    Standaard is de naam van de <sid><client> provider als een indeling, maar de naam van Azure <protocol>://<name>AD verwacht in de indeling van, waarbij https://<sid><client> de naam van de provider wordt aangeraden zodat meerdere SAP NetWeaver ABAP-engines kunnen worden geconfigureerd in azure AD.By default provider name come as <sid><client> format but Azure AD expects name in the format of <protocol>://<name>, recommending to maintain provider name as https://<sid><client> to allow multiple SAP NetWeaver ABAP engines to configure in Azure AD.

    De downloadkoppeling certificaat

  7. Metagegevens van de serviceprovider genereren: als de instellingen Local Provider en Trusted Providers in de SAML 2.0-gebruikersinterface zijn geconfigureerd, bestaat de volgende stap uit het genereren van het bestand met metagegevens van de serviceprovider (dat alle instellingen, contexten voor verificatie en overige configuraties in SAP bevat).Generating Service Provider Metadata:- Once we are done with configuring the Local Provider and Trusted Providers settings on SAML 2.0 User Interface, the next step would be to generate the service provider’s metadata file (which would contain all the settings, authentication contexts and other configurations in SAP). Als dit bestand is gegenereerd, moet het in Azure AD worden geüpload.Once this file is generated we need to upload this in Azure AD.

    De downloadkoppeling certificaat

    a.a. Ga naar het tabblad Local Provider.Go to Local Provider tab.

    b.b. Klik op Metadata.Click on Metadata.

    c.c. Sla het gegenereerde XML-bestand met meta gegevens op uw computer op en upload dit in de sectie basis configuratie van SAML om de id -en antwoord-URL -waarden in azure Portal automatisch in te vullen.Save the generated Metadata XML file on your computer and upload it in Basic SAML Configuration section to autopopulate the Identifier and Reply URL values in Azure portal.

Volg deze stappen om Azure AD SSO in te scha kelen in de Azure Portal.Follow these steps to enable Azure AD SSO in the Azure portal.

  1. Zoek in de Azure Portalop de pagina SAP NetWeaver -toepassings integratie de sectie beheren en selecteer eenmalige aanmelding.In the Azure portal, on the SAP NetWeaver application integration page, find the Manage section and select Single sign-on.

  2. Selecteer op de pagina Eén aanmeldings methode selecteren de optie SAML.On the Select a Single sign-on method page, select SAML.

  3. Klik op de pagina eenmalige aanmelding met SAML instellen op het pictogram bewerken/pen voor eenvoudige SAML-configuratie om de instellingen te bewerken.On the Set up Single Sign-On with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    Standaard SAML-configuratie bewerken

  4. Als u de toepassing in de gestarte modus IDP wilt configureren, voert u de volgende stap uit in de sectie basis configuratie van SAML :On the Basic SAML Configuration section, if you wish to configure the application in IDP initiated mode, perform the following step:

    a.a. Klik op bestand met meta gegevens uploaden om het META gegevensbestand van de service providerte uploaden, dat u eerder hebt verkregen.Click Upload metadata file to upload the Service Provider metadata file, which you have obtained earlier.

    b.b. Klik op map logo voor het selecteren van het bestand met metagegevens en klikt u op uploaden.Click on folder logo to select the metadata file and click Upload.

    c.c. Nadat het bestand met metagegevens is geüpload, worden de waarden voor Identifier en Reply URL automatisch ingevuld in het tekstvak van de sectie Standaard SAML-configuratie, zoals hieronder weergegeven:After the metadata file is successfully uploaded, the Identifier and Reply URL values get auto populated in Basic SAML Configuration section textbox as shown below:

    d.d. In het tekstvak Aanmeldings-URL typt u een URL met het volgende patroon: https://<your company instance of SAP NetWeaver>In the Sign-on URL text box, type a URL using the following pattern: https://<your company instance of SAP NetWeaver>

    Notitie

    Enkele klanten hebben een fout gerapporteerd dat een onjuiste antwoord-URL voor hun instantie is geconfigureerd.We have seen few customers reporting an error of incorrect Reply URL configured for their instance. Als u een dergelijke foutmelding krijgt, kunt u het volgende PowerShell-script als tijdelijke oplossing gebruiken om de juiste antwoord-URL voor uw instantie in te stellen:If you receive any such error, you can use following PowerShell script as a work around to set the correct Reply URL for your instance.:

    Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"
    

    De ServicePrincipal-object-id moet eerst door uzelf worden ingesteld, maar u kunt deze ook hier doorgeven.ServicePrincipal Object ID is to be set by yourself first or you can pass that also here.

  5. SAP NetWeaver-toepassing verwacht de SAML-beweringen in een specifieke indeling, waarvoor u aangepaste kenmerk toewijzingen moet toevoegen aan de configuratie van uw SAML-token kenmerken.SAP NetWeaver application expects the SAML assertions in a specific format, which requires you to add custom attribute mappings to your SAML token attributes configuration. In de volgende schermafbeelding wordt de lijst met standaardkenmerken weergegeven.The following screenshot shows the list of default attributes. Klik op het pictogram Bewerken om het dialoogvenster gebruikerskenmerken te openen.Click Edit icon to open User Attributes dialog.

    image

  6. In de sectie Gebruikersclaims in het dialoogvenster Gebruikerskenmerken configureert u het kenmerk van het SAML-token zoals wordt weergegeven in de bovenstaande afbeelding en voert u de volgende stappen uit:In the User Claims section on the User Attributes dialog, configure SAML token attribute as shown in the image above and perform the following steps:

    a.a. Klik op Pictogram bewerken om het dialoogvenster Gebruikersclaims beheren te openen.Click Edit icon to open the Manage user claims dialog.

    image

    image

    b.b. Selecteer in de lijst Transformatie ExtractMailPrefix() .From the Transformation list, select ExtractMailPrefix().

    c.c. Selecteer user.userprinicipalname in de lijst Parameter 1.From the Parameter 1 list, select user.userprinicipalname.

    d.d. Klik op Opslaan.Click Save.

  7. Zoek op de pagina eenmalige aanmelding met SAML instellen , in de sectie SAML-handtekening certificaat , de federatieve meta gegevens-XML en selecteer downloaden om het certificaat te downloaden en op uw computer op te slaan.On the Set up Single Sign-On with SAML page, in the SAML Signing Certificate section, find Federation Metadata XML and select Download to download the certificate and save it on your computer.

    De downloadkoppeling certificaat

  8. Op de sectie SAP NetWeaver instellen kopieert u de gewenste URL ('s) op basis van uw vereiste.On the Set up SAP NetWeaver section, copy the appropriate URL(s) based on your requirement.

    Configuratie-URL's kopiëren

Maak een testgebruiker Azure ADCreate an Azure AD test user

In deze sectie maakt u een test gebruiker in de Azure Portal met de naam B. Simon.In this section, you'll create a test user in the Azure portal called B.Simon.

  1. Selecteer in het linkerdeel venster van de Azure Portal Azure Active Directory, selecteer gebruikersen selecteer vervolgens alle gebruikers.From the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. Selecteer nieuwe gebruiker aan de bovenkant van het scherm.Select New user at the top of the screen.
  3. Voer de volgende stappen uit in de eigenschappen van de gebruiker :In the User properties, follow these steps:
    1. Voer in het veld Naam B.Simon in.In the Name field, enter B.Simon.
    2. Voer in het veld gebruikers naam het username@companydomain.extensionin.In the User name field, enter the username@companydomain.extension. Bijvoorbeeld B.Simon@contoso.com.For example, B.Simon@contoso.com.
    3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Klik op Create.Click Create.

De Azure AD-testgebruiker toewijzenAssign the Azure AD test user

In deze sectie schakelt u B. Simon in om de eenmalige aanmelding van Azure te gebruiken door toegang te verlenen aan SAP net-Weaver.In this section, you'll enable B.Simon to use Azure single sign-on by granting access to SAP NetWeaver.

  1. Selecteer in het Azure Portal bedrijfs toepassingenen selecteer vervolgens alle toepassingen.In the Azure portal, select Enterprise Applications, and then select All applications.

  2. Typ en selecteer SAP NetWeaver in de lijst met toepassingen.In the applications list, select SAP NetWeaver.

  3. Ga op de pagina overzicht van de app naar de sectie beheren en selecteer gebruikers en groepen.In the app's overview page, find the Manage section and select Users and groups.

    De koppeling 'Gebruikers en groepen'

  4. Selecteer gebruiker toevoegenen selecteer vervolgens gebruikers en groepen in het dialoog venster toewijzing toevoegen .Select Add user, then select Users and groups in the Add Assignment dialog.

    De koppeling gebruiker toevoegen

  5. Selecteer in het dialoog venster gebruikers en groepen B. Simon van de lijst gebruikers en klik vervolgens op de knop selecteren onder aan het scherm.In the Users and groups dialog, select B.Simon from the Users list, then click the Select button at the bottom of the screen.

  6. Als u een wille keurige rol verwacht in de SAML-bewering, selecteert u in het dialoog venster rol selecteren de juiste rol voor de gebruiker in de lijst en klikt u op de knop selecteren onder aan het scherm.If you're expecting any role value in the SAML assertion, in the Select Role dialog, select the appropriate role for the user from the list and then click the Select button at the bottom of the screen.

  7. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen.In the Add Assignment dialog, click the Assign button.

SAP netweave configureren met SAMLConfigure SAP NetWeaver using SAML

  1. Meld u aan bij het SAP-systeem en ga naar transactie code SAML2.Sign in to SAP system and go to transaction code SAML2. Er wordt een nieuwe browservenster geopend met een SAML-configuratiescherm.It opens new browser window with SAML configuration screen.

  2. Ga naar het tabblad Trusted Providers om eindpunten voor vertrouwde identiteitsproviders (Azure AD) te configureren.For configuring End points for trusted Identity provider (Azure AD) go to Trusted Providers tab.

    Eenmalige aanmelding configureren

  3. Druk op Add en selecteer Upload Metadata File in het snelmenu.Press Add and select Upload Metadata File from the context menu.

    Eenmalige aanmelding configureren

  4. Upload het metagegevensbestand dat u eerder in de Azure-portal hebt gedownload.Upload metadata file, which you have downloaded from the Azure portal.

    Eenmalige aanmelding configureren

  5. Typ de aliasnaam in het volgende scherm.In the next screen type the Alias name. Bijvoorbeeld aadsts en druk op volgende om door te gaan.For example, aadsts and press Next to continue.

    Eenmalige aanmelding configureren

  6. Zorg ervoor dat Digest Algorithm SHA-256 is, vereis geen wijzigingen en druk op Next.Make sure that your Digest Algorithm should be SHA-256 and don’t require any changes and press Next.

    Eenmalige aanmelding configureren

  7. Gebruik bij Single Sign-On Endpoints HTTP POST en klik op Next om door te gaan.On Single Sign-On Endpoints, use HTTP POST and click Next to continue.

    Eenmalige aanmelding configureren

  8. Gebruik bij Single Logout Endpoints HTTPRedirect en klik op Next om door te gaan.On Single Logout Endpoints select HTTPRedirect and click Next to continue.

    Eenmalige aanmelding configureren

  9. Druk bij Artifact Endpoints op Next om door te gaan.On Artifact Endpoints, press Next to continue.

    Eenmalige aanmelding configureren

  10. Klik bij Authentication Requirements op Finish.On Authentication Requirements, click Finish.

    Eenmalige aanmelding configureren

  11. Ga naar het tabblad Trusted Provider > Identity Federation (vanaf de onderkant van het scherm).Go to tab Trusted Provider > Identity Federation (from bottom of the screen). Klik op Bewerken.Click Edit.

    Eenmalige aanmelding configureren

  12. Klik onder het tabblad Identity Federation op Add (onderste venster).Click Add under the Identity Federation tab (bottom window).

    Eenmalige aanmelding configureren

  13. Selecteer in het pop-upvenster niet opgegeven uit de ondersteunde NameID-indelingen en klik op OK.From the pop-up window, select Unspecified from the Supported NameID formats and click OK.

    Eenmalige aanmelding configureren

  14. Houd er rekening mee dat de waarden voor de toewijzing van de bron- en gebruikers-id- koppeling tussen de SAP-gebruiker en de Azure AD-claim worden bepaald.Note that user ID Source and user ID mapping mode values determine the link between SAP user and Azure AD claim.

    Scenario: Toewijzing van SAP-gebruiker aan Azure AD-gebruiker.Scenario: SAP User to Azure AD user mapping.

    a.a. Schermopname van details NameID van SAP.NameID details screenshot from SAP.

    Eenmalige aanmelding configureren

    b.b. Schermopname met Vereiste claims van Azure AD.Screenshot mentioning Required claims from Azure AD.

    Eenmalige aanmelding configureren

    Scenario: Selecteer een SAP-gebruikers-ID op basis van het geconfigureerde e-mail adres in SU01.Scenario: Select SAP user ID based on configured email address in SU01. In dit geval moet de e-mail-ID worden geconfigureerd in su01 voor elke gebruiker die SSO nodig heeft.In this case email ID should be configured in su01 for each user who requires SSO.

    a.a. Schermopname van details NameID van SAP.NameID details screenshot from SAP.

    Eenmalige aanmelding configureren

    b.b. Schermopname met Vereiste claims van Azure AD.screenshot mentioning Required claims from Azure AD.

    Eenmalige aanmelding configureren

  15. Klik op Save en vervolgens op Enable om de id-provider in te schakelen.Click Save and then click Enable to enable identity provider.

    Eenmalige aanmelding configureren

  16. Klik op OK zodra daarom wordt gevraagd.Click OK once prompted.

    Eenmalige aanmelding configureren

    SAP NetWeaver-testgebruiker makenCreate SAP NetWeaver test user

    In deze sectie maakt u een gebruiker met de naam B. Simon in SAP net-Weaver.In this section, you create a user called B.simon in SAP NetWeaver. Werk samen met uw interne SAP-deskundige of met de SAP-partner van uw organisatie om de gebruikers aan het SAP NetWeaver-platform toe te voegen.Please work your in house SAP expert team or work with your organization SAP partner to add the users in the SAP NetWeaver platform.

SSO testenTest SSO

  1. Als de id-provider Azure AD is geactiveerd, opent u de onderstaande URL om eenmalige aanmelding te controleren (u wordt niet om gebruikersnaam en wachtwoord gevraagd)Once the identity provider Azure AD was activated, try accessing below URL to check SSO (there will no prompt for username & password)

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    (of) gebruik de onderstaande URL(or) use the URL below

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    Notitie

    Vervang sapurl door de feitelijke SAP-hostnaam.Replace sapurl with actual SAP hostname.

  2. Via de bovenstaande URL moet u op het hieronder genoemd scherm terechtkomen.The above URL should take you to below mentioned screen. Als u de onderstaande pagina kunt bereiken, is eenmalige aanmelding voor Azure AD ingesteld.If you are able to reach up to the below page, Azure AD SSO setup is successfully done.

    Eenmalige aanmelding configureren

  3. Als u om een gebruikersnaam en wachtwoord wordt gevraagd, probeert u het probleem vast te stellen door de tracering in te schakelen met behulp van de onderstaande URLIf username & password prompt occurs, please diagnose the issue by enable the trace using below URL

    https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

SAP netweave configureren voor OAuthConfigure SAP NetWeaver for OAuth

  1. SAP-gedocumenteerd proces is beschikbaar op de locatie: Netweaver-Gateway service inschakelen en OAuth 2,0 scope makenSAP Documented process is available at the location: NetWeaver Gateway Service Enabling and OAuth 2.0 Scope Creation

  2. Ga naar SPRO en zoek naar Services activeren en onderhouden.Go to SPRO and find Activate and Maintain services.

    Eenmalige aanmelding configureren

  3. In dit voor beeld willen we verbinding maken met de OData DAAG_MNGGRP -service: met OAuth naar Azure AD SSO.In this example we want to connect the OData service: DAAG_MNGGRP with OAuth to Azure AD SSO. Gebruik de naam van de technische service voor het DAAG_MNGGRP zoeken naar de service en Activeer indien nog niet actief, green al (zoek naar status op het tabblad knoop punten van ICF)Use the technical service name search for the service DAAG_MNGGRP and activate if not yet active, already (look for green status under ICF nodes tab). Zorg ervoor dat de systeem alias (het verbonden back-end-systeem, waar de service daad werkelijk wordt uitgevoerd) juist is.Ensure if system alias (the connected backend system, where the service actually running) is correct.

    Eenmalige aanmelding configureren

    • Klik vervolgens op knop OAuth op de bovenste knop balk en scope wijs deze toe (behoud de standaard naam als deze wordt aangeboden).Then click pushbutton OAuth on the top button bar and assign scope (keep default name as offered).
  4. In ons voor beeld wordt het DAAG_MNGGRP_001bereik gegenereerd op basis van de service naam door automatisch een nummer toe te voegen.For our example the scope is DAAG_MNGGRP_001, it is generated from the service name by automatically adding a number. Rapport /IWFND/R_OAUTH_SCOPES kan worden gebruikt om de naam van het bereik te wijzigen of hand matig te maken.Report /IWFND/R_OAUTH_SCOPES can be used to change name of scope or create manually.

    Eenmalige aanmelding configureren

    Notitie

    Bericht soft state status is not supported : kan als geen probleem worden genegeerd.Message soft state status is not supported – can be ignored, as no problem. Zie hier voor meer informatieFor more details, refer here

Een service gebruiker maken voor de OAuth 2,0-clientCreate a service user for the OAuth 2.0 Client

  1. OAuth2 gebruikt a service ID om het toegangs token voor de eind gebruiker op te halen.OAuth2 uses a service ID to get the access token for the end-user on its behalf. Belang rijke beperking van het OAuth- OAuth 2.0 Client ID ontwerp: de moet identiek username zijn met de OAuth 2,0-client die wordt gebruikt voor aanmelding bij het aanvragen van een toegangs token.Important restriction by OAuth design: the OAuth 2.0 Client ID must be identical with the username the OAuth 2.0 client uses for login when requesting an Access Token. Daarom gaan we in ons voor beeld een OAuth 2,0-client met de naam CLIENT1 registreren, en moet er een vereiste zijn dat er een gebruiker met dezelfde naam (CLIENT1) in het SAP-systeem bestaat en dat de gebruiker wordt geconfigureerd voor gebruik door de toepassing waarnaar wordt verwezen.Therefore, for our example, we are going to register an OAuth 2.0 client with name CLIENT1, and as a prerequisite a user with the same name (CLIENT1) must exist in the SAP system and that user we will configure to be used by the referred application.

  2. Wanneer u een OAuth-client registreert SAML Bearer Grant type, wordt de gebruikt.When registering an OAuth Client we use the SAML Bearer Grant type.

    Notitie

    Raadpleeg voor meer informatie OAuth 2,0-client registratie voor het toekennings type voor de SAML Bearer.For more details, refer OAuth 2.0 Client Registration for the SAML Bearer Grant Type here

  3. tcod: SU01/Create User CLIENT1 as System type en Assign password, sla het op als moet worden voorzien van de referentie voor de API-programmeur, die deze moet branden met de gebruikers naam voor de aanroepende code.tcod: SU01 / create user CLIENT1 as System type and assign password, save it as need to provide the credential to the API programmer, who should burn it with the username to the calling code. Er mag geen profiel of rol worden toegewezen.No profile or role should be assigned.

De nieuwe OAuth 2,0-client-ID registreren bij de wizard makenRegister the new OAuth 2.0 Client ID with the creation wizard

  1. Een nieuwe SOAUTH2van de OAuth 2,0-client registreren.To register a new OAuth 2.0 client start transaction SOAUTH2. In de trans actie wordt een overzicht weer gegeven van de OAuth 2,0-clients die al zijn geregistreerd.The transaction will display an overview about the OAuth 2.0 clients that were already registered. Kies maken om de wizard te starten voor de nieuwe OAuth-client met de naam CLIENT1in in dit voor beeld.Choose Create to start the wizard for the new OAuth client named as CLIENT1in this example.

  2. Ga naar T-code: SOAUTH2 en geef de beschrijving op en klik vervolgens op volgende.Go to T-Code: SOAUTH2 and Provide the description then click next.

    Eenmalige aanmelding configureren

    Eenmalige aanmelding configureren

  3. Selecteer het al toegevoegde SAML2 IDP – Azure AD in de vervolg keuzelijst en sla het op.Select the already added SAML2 IdP – Azure AD from the dropdown list and save.

    Eenmalige aanmelding configureren

    Eenmalige aanmelding configureren

    Eenmalige aanmelding configureren

  4. Klik onder Scope toewijzing op toevoegen om het eerder gemaakte bereik toe te voegen:DAAG_MNGGRP_001Click on Add under scope assignment to add the previously created scope: DAAG_MNGGRP_001

    Eenmalige aanmelding configureren

    Eenmalige aanmelding configureren

  5. Klik op volt ooien.Click finish.

Aanvullende resourcesAdditional resources