Tutorial: Azure Active Directory integração de SSO (logon único) com o SAP NetWeaverTutorial: Azure Active Directory Single sign-on (SSO) integration with SAP NetWeaver

Neste tutorial, você aprenderá a integrar o SAP NetWeaver ao Azure Active Directory (Azure AD).In this tutorial, you'll learn how to integrate SAP NetWeaver with Azure Active Directory (Azure AD). Ao integrar o SAP NetWeaver ao Azure AD, você pode:When you integrate SAP NetWeaver with Azure AD, you can:

  • Controle no Azure AD quem tem acesso ao SAP NetWeaver.Control in Azure AD who has access to SAP NetWeaver.
  • Habilite seus usuários a serem conectados automaticamente ao SAP NetWeaver com suas contas do Azure AD.Enable your users to be automatically signed-in to SAP NetWeaver with their Azure AD accounts.
  • Gerencie suas contas em um local central-o portal do Azure.Manage your accounts in one central location - the Azure portal.

Para saber mais sobre a integração de aplicativos SaaS com o Azure AD, consulte o que é o acesso a aplicativos e logon único com o Azure Active Directory.To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

Pré-requisitosPrerequisites

Para começar, você precisa dos seguintes itens:To get started, you need the following items:

  • Uma assinatura do Azure AD.An Azure AD subscription. Se você não tiver uma assinatura, poderá obter uma conta gratuita.If you don't have a subscription, you can get a free account.
  • Assinatura habilitada para SSO (logon único) do SAP NetWeaver.SAP NetWeaver single sign-on (SSO) enabled subscription.
  • SAP NetWeaver V 7,20 exigido pelo menosSAP NetWeaver V7.20 required atleast

Descrição do cenárioScenario description

O SAP NetWeaver dá suporte ao SAML (SSO iniciado por SP) e ao OAuth.SAP NetWeaver supports both SAML (SP initiated SSO) and OAuth. Neste tutorial, você configurará e testará o SSO do Azure AD em um ambiente de teste.In this tutorial, you configure and test Azure AD SSO in a test environment.

Nota

Configure o aplicativo no SAML ou no OAuth de acordo com seu requisito organizacional.Configure the application either in SAML or in OAuth as per your organizational requirement.

Para configurar a integração do SAP NetWeaver ao Azure AD, você precisará adicionar o SAP NetWeaver da Galeria à sua lista de aplicativos SaaS gerenciados.To configure the integration of SAP NetWeaver into Azure AD, you need to add SAP NetWeaver from the gallery to your list of managed SaaS apps.

  1. Inicie sessão no portal do Azure com uma conta profissional ou escolar ou uma conta pessoal da Microsoft.Sign in to the Azure portal using either a work or school account, or a personal Microsoft account.
  2. No painel de navegação à esquerda, selecione o serviço Azure Active Directory .On the left navigation pane, select the Azure Active Directory service.
  3. Navegue até aplicativos empresariais e, em seguida, selecione todos os aplicativos.Navigate to Enterprise Applications and then select All Applications.
  4. Para adicionar um novo aplicativo, selecione novo aplicativo.To add new application, select New application.
  5. Na seção Adicionar da Galeria , digite SAP NetWeaver na caixa de pesquisa.In the Add from the gallery section, type SAP NetWeaver in the search box.
  6. Selecione SAP NetWeaver no painel de resultados e, em seguida, adicione o aplicativo.Select SAP NetWeaver from results panel and then add the app. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.Wait a few seconds while the app is added to your tenant.

Configurar e testar o logon único do Azure AD para SAP NetWeaverConfigure and test Azure AD single sign-on for SAP NetWeaver

Configure e teste o SSO do Azure AD com o SAP NetWeaver usando um usuário de teste chamado B. Simon.Configure and test Azure AD SSO with SAP NetWeaver using a test user called B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Azure AD e o usuário relacionado no SAP NetWeaver.For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in SAP NetWeaver.

Para configurar e testar o SSO do Azure AD com o SAP NetWeaver, conclua os seguintes blocos de construção:To configure and test Azure AD SSO with SAP NetWeaver, complete the following building blocks:

  1. Configure o SSO do Azure ad para permitir que seus usuários usem esse recurso.Configure Azure AD SSO to enable your users to use this feature.
    1. Crie um usuário de teste do Azure ad para testar o logon único do Azure AD com B. Simon.Create an Azure AD test user to test Azure AD single sign-on with B.Simon.
    2. Atribua o usuário de teste do Azure ad para habilitar B. Simon para usar o logon único do Azure AD.Assign the Azure AD test user to enable B.Simon to use Azure AD single sign-on.
  2. Configure o SAP NetWeaver usando SAML para definir as configurações de SSO no lado do aplicativo.Configure SAP NetWeaver using SAML to configure the SSO settings on application side.
    1. Crie um usuário de teste do SAP NetWeaver para ter um equivalente de B. Simon no SAP NetWeaver que esteja vinculado à representação do usuário no Azure AD.Create SAP NetWeaver test user to have a counterpart of B.Simon in SAP NetWeaver that is linked to the Azure AD representation of user.
  3. Teste o SSO para verificar se a configuração funciona.Test SSO to verify whether the configuration works.
  4. Configure o SAP NetWeaver para OAuth para definir as configurações do OAuth no lado do aplicativo.Configure SAP NetWeaver for OAuth to configure the OAuth settings on application side.

Configurar SSO do Azure ADConfigure Azure AD SSO

Nesta seção, você habilita o logon único do Azure AD no portal do Azure.In this section, you enable Azure AD single sign-on in the Azure portal.

Para configurar o logon único do Azure AD com o SAP NetWeaver, execute as seguintes etapas:To configure Azure AD single sign-on with SAP NetWeaver, perform the following steps:

  1. Abra uma nova janela do navegador da Web e entre no site da empresa do SAP NetWeaver como administradorOpen a new web browser window and sign into your SAP NetWeaver company site as an administrator

  2. Verifique se os serviços http e https estão ativos e se as portas apropriadas estão atribuídas no código T SMICM .Make sure that http and https services are active and appropriate ports are assigned in SMICM T-Code.

  3. Faça logon no cliente comercial do sistema SAP (T01), em que o SSO é necessário e ative o gerenciamento de sessão de segurança HTTP.Sign on to business client of SAP System (T01), where SSO is required and activate HTTP Security session Management.

    a.a. Vá para o código de transação SICF_SESSIONS.Go to Transaction code SICF_SESSIONS. Ele exibe todos os parâmetros de perfil relevantes com os valores atuais.It displays all relevant profile parameters with current values. Eles se parecem com o seguinte:-They look like below:-

    login/create_sso2_ticket = 2
    login/accept_sso2_ticket = 1
    login/ticketcache_entries_max = 1000
    login/ticketcache_off = 0  login/ticket_only_by_https = 0 
    icf/set_HTTPonly_flag_on_cookies = 3
    icf/user_recheck = 0  http/security_session_timeout = 1800
    http/security_context_cache_size = 2500
    rdisp/plugin_auto_logout = 1800
    rdisp/autothtime = 60
    

    Nota

    Ajuste os parâmetros acima de acordo com os requisitos da sua organização, os parâmetros acima são fornecidos aqui somente como indicação.Adjust above parameters as per your organization requirements, Above parameters are given here as indication only.

    b.b. Se necessário, ajuste os parâmetros, no perfil de instância/padrão do sistema SAP e reinicie o sistema SAP.If necessary adjust parameters, in the instance/default profile of SAP system and restart SAP system.

    c.c. Clique duas vezes em cliente relevante para habilitar a sessão de segurança HTTP.Double-click on relevant client to enable HTTP security session.

    O link de download de certificado

    d.d. Ative os serviços SICFs abaixo:Activate below SICF services:

    /sap/public/bc/sec/saml2
    /sap/public/bc/sec/cdc_ext_service
    /sap/bc/webdynpro/sap/saml2
    /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
    
  4. Acesse o código de transação SAML2 no cliente de negócios do sistema SAP [T01/122].Go to Transaction code SAML2 in business client of SAP system [T01/122]. Ele abrirá uma interface do usuário em um navegador.It will open a user interface in a browser. Neste exemplo, presumimos 122 como SAP Business Client.In this example, we assumed 122 as SAP business client.

    O link de download de certificado

  5. Forneça seu nome de usuário e senha para inserir na interface do usuário e clique em Editar.Provide your username and password to enter in user interface and click Edit.

    O link de download de certificado

  6. Substitua nome do provedor de T01122 http://T01122 para e clique em salvar.Replace Provider Name from T01122 to http://T01122 and click on Save.

    Nota

    Por padrão, o nome do <sid><client> provedor é fornecido como formato, mas o Azure ad <protocol>://<name>espera um nome no formato de, recomendando manter o nome do provedor como https://<sid><client> para permitir que vários mecanismos do SAP NetWeaver ABAP sejam configurados no Azure AD.By default provider name come as <sid><client> format but Azure AD expects name in the format of <protocol>://<name>, recommending to maintain provider name as https://<sid><client> to allow multiple SAP NetWeaver ABAP engines to configure in Azure AD.

    O link de download de certificado

  7. Gerando metadados do provedor de serviços:-depois que terminarmos de configurar o provedor local e as configurações de provedores confiáveis na interface do usuário do SAML 2,0, a próxima etapa será gerar o arquivo de metadados do provedor de serviços (que contém todas as configurações, contextos de autenticação e outras configurações no SAP).Generating Service Provider Metadata:- Once we are done with configuring the Local Provider and Trusted Providers settings on SAML 2.0 User Interface, the next step would be to generate the service provider’s metadata file (which would contain all the settings, authentication contexts and other configurations in SAP). Depois que esse arquivo é gerado, precisamos carregá-lo no Azure AD.Once this file is generated we need to upload this in Azure AD.

    O link de download de certificado

    a.a. Vá para a guia provedor local.Go to Local Provider tab.

    b.b. Clique em metadados.Click on Metadata.

    c.c. Salve o arquivo XML de metadados gerado no seu computador e carregue-o na seção configuração básica do SAML para preencher automaticamente os valores de URL de identificação e de resposta no portal do Azure.Save the generated Metadata XML file on your computer and upload it in Basic SAML Configuration section to autopopulate the Identifier and Reply URL values in Azure portal.

Siga estas etapas para habilitar o SSO do Azure AD no portal do Azure.Follow these steps to enable Azure AD SSO in the Azure portal.

  1. Na portal do Azure, na página de integração de aplicativos do SAP NetWeaver , localize a seção gerenciar e selecione logon único.In the Azure portal, on the SAP NetWeaver application integration page, find the Manage section and select Single sign-on.

  2. Na página selecionar um método de logon único , selecione SAML.On the Select a Single sign-on method page, select SAML.

  3. Na página Configurar logon único com SAML , clique no ícone Editar/caneta para a configuração básica do SAML para editar as configurações.On the Set up Single Sign-On with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    Editar configuração básica de SAML

  4. Na seção configuração básica do SAML , se você quiser configurar o aplicativo no modo iniciado pelo IDP , execute a seguinte etapa:On the Basic SAML Configuration section, if you wish to configure the application in IDP initiated mode, perform the following step:

    a.a. Clique em carregar arquivo de metadados para carregar o arquivo de metadados do provedor de serviços, que você obteve anteriormente.Click Upload metadata file to upload the Service Provider metadata file, which you have obtained earlier.

    b.b. Clique em logótipo da pasta para selecionar o ficheiro de metadados e clique em carregar.Click on folder logo to select the metadata file and click Upload.

    c.c. Depois que o arquivo de metadados for carregado com êxito, os valores do identificador e da URL de resposta serão preenchidos automaticamente na caixa de texto seção de configuração básica do SAML , conforme mostrado abaixo:After the metadata file is successfully uploaded, the Identifier and Reply URL values get auto populated in Basic SAML Configuration section textbox as shown below:

    d.d. Na caixa de texto URL de logon , digite uma URL usando o seguinte padrão:https://<your company instance of SAP NetWeaver>In the Sign-on URL text box, type a URL using the following pattern: https://<your company instance of SAP NetWeaver>

    Nota

    Vimos alguns clientes que relataram um erro de URL de resposta incorreta configurada para sua instância.We have seen few customers reporting an error of incorrect Reply URL configured for their instance. Se você receber qualquer erro, poderá usar o seguinte script do PowerShell como uma solução alternativa para definir a URL de resposta correta para sua instância.:If you receive any such error, you can use following PowerShell script as a work around to set the correct Reply URL for your instance.:

    Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"
    

    A ID do objeto de entidade de segurança deve ser definida por conta própria primeiro ou você pode passá-la também aqui.ServicePrincipal Object ID is to be set by yourself first or you can pass that also here.

  5. O aplicativo SAP NetWeaver espera as asserções SAML em um formato específico, o que exige que você adicione mapeamentos de atributo personalizados à sua configuração de atributos de token SAML.SAP NetWeaver application expects the SAML assertions in a specific format, which requires you to add custom attribute mappings to your SAML token attributes configuration. A captura de tela a seguir mostra a lista de atributos padrão.The following screenshot shows the list of default attributes. Clique em Editar ícone para abrir a caixa de diálogo atributos de usuário.Click Edit icon to open User Attributes dialog.

    image

  6. Na seção declarações do usuário , na caixa de diálogo atributos de usuário , configure o atributo de token SAML, conforme mostrado na imagem acima, e execute as seguintes etapas:In the User Claims section on the User Attributes dialog, configure SAML token attribute as shown in the image above and perform the following steps:

    a.a. Clique no ícone Editar para abrir a caixa de diálogo gerenciar declarações do usuário .Click Edit icon to open the Manage user claims dialog.

    image

    image

    b.b. Na lista transformação , selecione ExtractMailPrefix () .From the Transformation list, select ExtractMailPrefix().

    c.c. Na lista parâmetro 1 , selecione User. userprinicipalname.From the Parameter 1 list, select user.userprinicipalname.

    d.d. Clique em Guardar.Click Save.

  7. Na página Configurar logon único com SAML , na seção certificado de autenticação SAML , localize o XML de metadados de Federação e selecione baixar para baixar o certificado e salvá-lo no computador.On the Set up Single Sign-On with SAML page, in the SAML Signing Certificate section, find Federation Metadata XML and select Download to download the certificate and save it on your computer.

    O link de download de certificado

  8. Na seção Configurar o SAP NetWeaver , copie as URLs apropriadas com base em seu requisito.On the Set up SAP NetWeaver section, copy the appropriate URL(s) based on your requirement.

    Copiar URLs de configuração

Criar um utilizador de teste do Azure ADCreate an Azure AD test user

Nesta seção, você criará um usuário de teste no portal do Azure chamado B. Simon.In this section, you'll create a test user in the Azure portal called B.Simon.

  1. No painel esquerdo na portal do Azure, selecione Azure Active Directory, selecione usuáriose, em seguida, selecione todos os usuários.From the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. Selecione novo utilizador na parte superior do ecrã.Select New user at the top of the screen.
  3. Nas propriedades do usuário , siga estas etapas:In the User properties, follow these steps:
    1. No campo Nome, introduza B.Simon.In the Name field, enter B.Simon.
    2. No campo nome de usuário , insira o username@companydomain.extension.In the User name field, enter the username@companydomain.extension. Por exemplo, B.Simon@contoso.com.For example, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa senha .Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Clique em Criar.Click Create.

Atribua o utilizador de teste do Azure ADAssign the Azure AD test user

Nesta seção, você habilitará B. Simon para usar o logon único do Azure concedendo acesso ao SAP NetWeaver.In this section, you'll enable B.Simon to use Azure single sign-on by granting access to SAP NetWeaver.

  1. Na portal do Azure, selecione aplicativos empresariaise, em seguida, selecione todos os aplicativos.In the Azure portal, select Enterprise Applications, and then select All applications.

  2. Na lista de aplicativos, selecione SAP NetWeaver.In the applications list, select SAP NetWeaver.

  3. Na página Visão geral do aplicativo, localize a seção gerenciar e selecione usuários e grupos.In the app's overview page, find the Manage section and select Users and groups.

    A ligação "Utilizadores e grupos"

  4. Selecione Adicionar usuárioe, em seguida, selecione usuários e grupos na caixa de diálogo Adicionar atribuição .Select Add user, then select Users and groups in the Add Assignment dialog.

    O link Adicionar usuário

  5. Na caixa de diálogo usuários e grupos , selecione B. Simon na lista usuários e, em seguida, clique no botão selecionar na parte inferior da tela.In the Users and groups dialog, select B.Simon from the Users list, then click the Select button at the bottom of the screen.

  6. Se você estiver esperando qualquer valor de função na declaração SAML, na caixa de diálogo selecionar função , selecione a função apropriada para o usuário na lista e, em seguida, clique no botão selecionar na parte inferior da tela.If you're expecting any role value in the SAML assertion, in the Select Role dialog, select the appropriate role for the user from the list and then click the Select button at the bottom of the screen.

  7. Na caixa de diálogo Adicionar atribuição , clique no botão atribuir .In the Add Assignment dialog, click the Assign button.

Configurar o SAP NetWeaver usando SAMLConfigure SAP NetWeaver using SAML

  1. Entre no sistema SAP e vá para o código de transação SAML2.Sign in to SAP system and go to transaction code SAML2. Ele abre uma nova janela do navegador com a tela de configuração do SAML.It opens new browser window with SAML configuration screen.

  2. Para configurar pontos de extremidade para o provedor de identidade confiável (Azure AD), acesse a guia provedores confiáveis .For configuring End points for trusted Identity provider (Azure AD) go to Trusted Providers tab.

    Configurar o início de sessão único

  3. Pressione Adicionar e selecione carregar arquivo de metadados no menu de contexto.Press Add and select Upload Metadata File from the context menu.

    Configurar o início de sessão único

  4. Carregue o arquivo de metadados, que você baixou do portal do Azure.Upload metadata file, which you have downloaded from the Azure portal.

    Configurar o início de sessão único

  5. Na próxima tela, digite o nome do alias.In the next screen type the Alias name. Por exemplo, aadsts e pressione Avançar para continuar.For example, aadsts and press Next to continue.

    Configurar o início de sessão único

  6. Certifique-se de que o algoritmo Digest deve ser SHA-256 e não exija nenhuma alteração e pressione Avançar.Make sure that your Digest Algorithm should be SHA-256 and don’t require any changes and press Next.

    Configurar o início de sessão único

  7. Em pontos de extremidade de logon único, use http post e clique em Avançar para continuar.On Single Sign-On Endpoints, use HTTP POST and click Next to continue.

    Configurar o início de sessão único

  8. Em pontos de extremidade de logoff único , selecione HTTPRedirect e clique em Avançar para continuar.On Single Logout Endpoints select HTTPRedirect and click Next to continue.

    Configurar o início de sessão único

  9. Em pontos de extremidade de artefato, pressione Avançar para continuar.On Artifact Endpoints, press Next to continue.

    Configurar o início de sessão único

  10. Em requisitos de autenticação, clique em concluir.On Authentication Requirements, click Finish.

    Configurar o início de sessão único

  11. Vá para guiaFederação de identidade do provedor > confiável (na parte inferior da tela).Go to tab Trusted Provider > Identity Federation (from bottom of the screen). Clique em Editar.Click Edit.

    Configurar o início de sessão único

  12. Clique em Adicionar na guia Federação de identidade (janela inferior).Click Add under the Identity Federation tab (bottom window).

    Configurar o início de sessão único

  13. Na janela pop-up, selecione não especificado nos formatos NameID com suporte e clique em OK.From the pop-up window, select Unspecified from the Supported NameID formats and click OK.

    Configurar o início de sessão único

  14. Observe que os valores do modo de mapeamento de ID de usuário e de origem da ID de usuários determinam o vínculo entre o usuário SAP e a declaração do Azure AD.Note that user ID Source and user ID mapping mode values determine the link between SAP user and Azure AD claim.

    Cenário: Usuário SAP para mapeamento de usuário do Azure AD.Scenario: SAP User to Azure AD user mapping.

    a.a. NameID detalha a captura de tela do SAP.NameID details screenshot from SAP.

    Configurar o início de sessão único

    b.b. Captura de tela mencionando as declarações necessárias do Azure AD.Screenshot mentioning Required claims from Azure AD.

    Configurar o início de sessão único

    Cenário: Selecione a ID de usuário do SAP com base no endereço de email configurado em SU01.Scenario: Select SAP user ID based on configured email address in SU01. Nesse caso, a ID de email deve ser configurada em su01 para cada usuário que requer SSO.In this case email ID should be configured in su01 for each user who requires SSO.

    a.a. NameID detalha a captura de tela do SAP.NameID details screenshot from SAP.

    Configurar o início de sessão único

    b.b. captura de tela mencionando as declarações necessárias do Azure AD.screenshot mentioning Required claims from Azure AD.

    Configurar o início de sessão único

  15. Clique em salvar e em habilitar para habilitar o provedor de identidade.Click Save and then click Enable to enable identity provider.

    Configurar o início de sessão único

  16. Clique em OK quando solicitado.Click OK once prompted.

    Configurar o início de sessão único

    Criar usuário de teste do SAP NetWeaverCreate SAP NetWeaver test user

    Nesta seção, você criará um usuário chamado B. Simon no SAP NetWeaver.In this section, you create a user called B.simon in SAP NetWeaver. Trabalhe com sua equipe de especialistas do SAP na casa ou trabalhe com o parceiro SAP da sua organização para adicionar os usuários na plataforma SAP NetWeaver.Please work your in house SAP expert team or work with your organization SAP partner to add the users in the SAP NetWeaver platform.

Testar SSOTest SSO

  1. Depois que o provedor de identidade do Azure AD foi ativado, tente acessar a URL abaixo para verificar o SSO (não haverá solicitação para o nome de usuário & senha)Once the identity provider Azure AD was activated, try accessing below URL to check SSO (there will no prompt for username & password)

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    (ou) Use a URL abaixo(or) use the URL below

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    Nota

    Substitua sapurl pelo nome de host SAP real.Replace sapurl with actual SAP hostname.

  2. A URL acima deve levar você para a tela abaixo mencionada.The above URL should take you to below mentioned screen. Se você conseguir acessar a página abaixo, a instalação do SSO do Azure AD será feita com êxito.If you are able to reach up to the below page, Azure AD SSO setup is successfully done.

    Configurar o início de sessão único

  3. Se o prompt de nome de usuário & senha ocorrer, diagnostique o problema habilitando o rastreamento usando a URL abaixoIf username & password prompt occurs, please diagnose the issue by enable the trace using below URL

    https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Configurar o SAP NetWeaver para OAuthConfigure SAP NetWeaver for OAuth

  1. O processo SAP documentado está disponível no local: Habilitação do serviço de gateway NetWeaver e criação de escopo do OAuth 2,0SAP Documented process is available at the location: NetWeaver Gateway Service Enabling and OAuth 2.0 Scope Creation

  2. Acesse SPRO e localize ativar e manter serviços.Go to SPRO and find Activate and Maintain services.

    Configurar o início de sessão único

  3. Neste exemplo, queremos conectar o serviço OData: DAAG_MNGGRP com OAuth ao SSO do Azure AD.In this example we want to connect the OData service: DAAG_MNGGRP with OAuth to Azure AD SSO. Use o nome do serviço técnico Pesquisar o serviço DAAG_MNGGRP e ative-o se ainda não estiver ativo, já green (procure o status na guia nós do ICF).Use the technical service name search for the service DAAG_MNGGRP and activate if not yet active, already (look for green status under ICF nodes tab). Verifique se o alias do sistema (o sistema back-end conectado, onde o serviço realmente em execução) está correto.Ensure if system alias (the connected backend system, where the service actually running) is correct.

    Configurar o início de sessão único

    • Em seguida, clique em botão de pressão OAuth na barra scope de botões superior e atribua (Mantenha o nome padrão como oferecido).Then click pushbutton OAuth on the top button bar and assign scope (keep default name as offered).
  4. Para nosso exemplo, o escopo DAAG_MNGGRP_001é gerado a partir do nome do serviço adicionando automaticamente um número.For our example the scope is DAAG_MNGGRP_001, it is generated from the service name by automatically adding a number. O /IWFND/R_OAUTH_SCOPES relatório pode ser usado para alterar o nome do escopo ou criar manualmente.Report /IWFND/R_OAUTH_SCOPES can be used to change name of scope or create manually.

    Configurar o início de sessão único

    Nota

    Mensagem soft state status is not supported – pode ser ignorada, sem problemas.Message soft state status is not supported – can be ignored, as no problem. Para obter mais detalhes, consulte aquiFor more details, refer here

Criar um usuário de serviço para o cliente OAuth 2,0Create a service user for the OAuth 2.0 Client

  1. OAuth2 usa um service ID para obter o token de acesso para o usuário final em seu nome.OAuth2 uses a service ID to get the access token for the end-user on its behalf. Restrição importante por design do OAuth: OAuth 2.0 Client ID o deve ser idêntico com username o cliente OAuth 2,0 usado para logon ao solicitar um token de acesso.Important restriction by OAuth design: the OAuth 2.0 Client ID must be identical with the username the OAuth 2.0 client uses for login when requesting an Access Token. Portanto, para nosso exemplo, vamos registrar um cliente OAuth 2,0 com o nome CLIENT1 e, como pré-requisito, um usuário com o mesmo nome (CLIENT1) deve existir no sistema SAP e esse usuário será configurado para ser usado pelo aplicativo referenciado.Therefore, for our example, we are going to register an OAuth 2.0 client with name CLIENT1, and as a prerequisite a user with the same name (CLIENT1) must exist in the SAP system and that user we will configure to be used by the referred application.

  2. Ao registrar um cliente OAuth, usamos o SAML Bearer Grant type.When registering an OAuth Client we use the SAML Bearer Grant type.

    Nota

    Para obter mais detalhes, consulte o registro de cliente OAuth 2,0 para o tipo de concessão de portador SAML aquiFor more details, refer OAuth 2.0 Client Registration for the SAML Bearer Grant Type here

  3. tcod: SU01/Create User CLIENT1 System type as e atribuir senha, salve-o como necessário para fornecer a credencial ao programador de API, que deve gravá-lo com o nome de usuário para o código de chamada.tcod: SU01 / create user CLIENT1 as System type and assign password, save it as need to provide the credential to the API programmer, who should burn it with the username to the calling code. Nenhum perfil ou função deve ser atribuído.No profile or role should be assigned.

Registrar a nova ID de cliente OAuth 2,0 com o assistente de criaçãoRegister the new OAuth 2.0 Client ID with the creation wizard

  1. Para registrar um novo cliente OAuth 2,0 , inicie a transação SOAUTH2.To register a new OAuth 2.0 client start transaction SOAUTH2. A transação exibirá uma visão geral sobre os clientes OAuth 2,0 que já foram registrados.The transaction will display an overview about the OAuth 2.0 clients that were already registered. Escolha criar para iniciar o assistente para o novo cliente OAuth chamado como CLIENT1 neste exemplo.Choose Create to start the wizard for the new OAuth client named as CLIENT1in this example.

  2. Vá para o código T: SOAUTH2 e forneça a descrição e clique em Avançar.Go to T-Code: SOAUTH2 and Provide the description then click next.

    Configurar o início de sessão único

    Configurar o início de sessão único

  3. Selecione o IdP do SAML2 já adicionado – Azure ad na lista suspensa e salve.Select the already added SAML2 IdP – Azure AD from the dropdown list and save.

    Configurar o início de sessão único

    Configurar o início de sessão único

    Configurar o início de sessão único

  4. Clique em Adicionar em atribuição de escopo para adicionar o escopo criado anteriormente:DAAG_MNGGRP_001Click on Add under scope assignment to add the previously created scope: DAAG_MNGGRP_001

    Configurar o início de sessão único

    Configurar o início de sessão único

  5. Clique em concluir.Click finish.

Recursos adicionaisAdditional resources