Руководство по Интеграции единого входа Azure Active Directory с SAP Concur Travel and Expense

В этом руководстве описано, как интегрировать SAP Concur Travel and Expense с Azure Active Directory (Azure AD). Интеграция SAP Concur Travel and Expense с Azure AD обеспечивает следующие возможности.

  • Контроль доступа к SAP Concur Travel and Expense с помощью Azure AD.
  • Автоматический вход пользователей в SAP Concur Travel and Expense с помощью учетных записей Azure AD.
  • Централизованное управление учетными записями через портал Azure.

Предварительные требования

Чтобы приступить к работе, потребуется следующее.

  • Подписка Azure AD. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Подписка SAP Concur Travel and Expense.
  • Роль "Администратор компании" в учетной записи пользователя Concur. Вы можете проверить, есть ли у вас подходящий доступ, перейдя к инструменту самообслуживания единого входа Concur. Если у вас нет доступа, обратитесь в группу поддержки Concur или к руководителю проекта реализации.

Описание сценария

В этом учебнике вы настроите и проверите единый вход Azure AD.

  • Приложение SAP Concur Travel and Expense поддерживает единый вход, инициированный поставщиком удостоверений и поставщиком услуг.
  • Приложение SAP Concur Travel and Expense поддерживает тестирование единого входа в рабочей среде и среде реализации.

Примечание

Идентификатор этого приложения является фиксированным строковым значением для каждого из трех регионов: США, EMEA (Европа, Ближний Восток и Африка), Китай. Поэтому для каждого региона в одном клиенте можно настроить только один экземпляр.

Чтобы настроить интеграцию SAP Concur Travel and Expense с Azure AD, необходимо добавить SAP Concur Travel and Expense из коллекции в список управляемых приложений SaaS.

  1. Войдите на портал Azure с помощью личной учетной записи Майкрософт либо рабочей или учебной учетной записи.
  2. В области навигации слева выберите службу Azure Active Directory.
  3. Перейдите в колонку Корпоративные приложения и выберите Все приложения.
  4. Чтобы добавить новое приложение, выберите Новое приложение.
  5. В разделе Добавление из коллекции в поле поиска введите SAP Concur Travel and Expense.
  6. Выберите SAP Concur Travel and Expense в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Настройка и проверка единого входа Azure AD для SAP Concur Travel and Expense

Настройте и проверьте единый вход Azure AD в SAP Concur Travel and Expense с помощью тестового пользователя B. Simon. Чтобы обеспечить работу единого входа, необходимо установить связь между пользователем Azure AD и соответствующим пользователем в SAP Concur Travel and Expense.

Чтобы настроить и проверить единый вход Azure AD в SAP Concur Travel and Expense, сделайте следующее.

  1. Настройка единого входа Azure AD необходима, чтобы пользователи могли использовать эту функцию.
    1. Создание тестового пользователя Azure AD требуется для проверки работы единого входа Azure AD с помощью пользователя B.Simon.
    2. Назначение тестового пользователя Azure AD необходимо, чтобы позволить пользователю B.Simon использовать единый вход Azure AD.
  2. Настройка единого входа в SAP Concur Travel and Expense необходима, чтобы настроить параметры единого входа на стороне приложения.
    1. Создание тестового пользователя Concur Travel and Expense требуется для того, чтобы в Concur существовал пользователь B. Simon, связанный с одноименным пользователем в Azure AD.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Azure AD

Выполните следующие действия, чтобы включить единый вход Azure AD на портале Azure.

  1. На портале Azure на странице интеграции с приложением SAP Concur Travel and Expense найдите раздел Управление и выберите Единый вход.

  2. На странице Выбрать метод единого входа выберите SAML.

  3. На странице Настройка единого входа с помощью SAML щелкните значок "Изменить" (значок пера), чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить параметры.

    Изменение базовой конфигурации SAML

  4. В разделе Базовая конфигурация SAML приложение предварительно настроено в режиме инициированном IDP и ему заданы требуемые URL-адреса в Azure. Пользователь должен сохранить конфигурацию, нажав кнопку Сохранить.

    Примечание

    Идентификатор (идентификатор сущности) и URL-адрес ответа (URL-адрес службы обработчика утверждений) относятся к отдельному региону. Выбирайте их в зависимости от центра обработки данных сущности Concur. Если вы не знаете центр обработки данных сущности Concur, обратитесь в группу поддержки Concur.

  5. На странице Настройка единого входа с помощью SAML щелкните значок "Изменить" (значок пера), чтобы открыть диалоговое окно Атрибут пользователя и изменить параметры. Уникальный идентификатор пользователя должен соответствовать login_ID пользователя Concur. Как правило, следует изменить user.userprincipalname на user.mail.

    Изменение атрибута пользователя

  6. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите элемент XML метаданных федерации и нажмите кнопку Скачать, чтобы скачать XML-файл метаданных и сохранить его на компьютере.

    Ссылка для скачивания сертификата

Создание тестового пользователя Azure AD

В этом разделе описано, как на портале Azure создать тестового пользователя с именем B.Simon.

  1. На портале Azure в области слева выберите Azure Active Directory, Пользователи, а затем — Все пользователи.
  2. В верхней части экрана выберите Новый пользователь.
  3. В разделе Свойства пользователя выполните следующие действия.
    1. В поле Имя введите B.Simon.
    2. В поле Имя пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Нажмите кнопку Создать.

Назначение тестового пользователя Azure AD

В этом разделе описано, как включить единый вход в Azure для пользователя B. Simon, предоставив этому пользователю доступ к SAP Concur Travel and Expense.

  1. На портале Azure выберите Корпоративные приложения, а затем — Все приложения.

  2. В списке приложений выберите SAP Concur Travel and Expense.

  3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.

  4. Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.

  5. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.

  6. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".

  7. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа SAP Concur Travel and Expense

  1. Чтобы автоматизировать настройку в SAP Concur Travel and Expense, необходимо установить расширение браузера My Apps Secure Sign-in Extension, щелкнув Установить расширение.

    Расширение "Мои приложения"

  2. Чтобы перейти к приложению SAP Concur Travel and Expense после добавления расширения в браузер, щелкните Настройка SAP Concur Travel and Expense. После этого укажите учетные данные администратора для входа в SAP Concur Travel and Expense. Расширение браузера автоматически настроит приложение и автоматизирует шаги 3–7.

    Настройка конфигурации

  3. Если вы хотите настроить SAP Concur Travel and Expense вручную, в другом окне веб-браузера необходимо отправить скачанный XML-файл метаданных федерации в средство самообслуживания единого входа Concur и войти на корпоративный сайт SAP Concur Travel and Expense от имени администратора.

  4. Нажмите кнопку Добавить.

  5. Введите пользовательское имя для IdP, например "Azure AD (US)".

  6. Щелкните Upload XML File (Передать XML-файл) и присоедините XML-файл метаданных федерации, который вы скачали ранее.

  7. Щелкните Add Metadata (Добавить метаданные), чтобы сохранить изменения.

    Снимок экрана инструмента самообслуживания единого входа Concur

Создание тестового пользователя SAP Concur Travel and Expense

В этом разделе описано, как создать пользователя B. Simon в SAP Concur Travel and Expense. Обратитесь в группу поддержки Concur, чтобы добавить пользователей на платформу SAP Concur Travel and Expense. Перед использованием единого входа необходимо создать и активировать пользователей.

Примечание

Идентификатор входа Concur для В. Simon должен соответствовать уникальному идентификатору B. Simon в Azure AD. Например, если в качестве уникального идентификатора B. Simon в Azure AD используется B.Simon@contoso.com, идентификатор входа Concur для B. Simon также должен быть B.Simon@contoso.com.

Настройка единого входа в Concur для мобильного устройства

Чтобы включить единый вход Concur для мобильного устройства, необходимо предоставить группе поддержки Concur URL-адрес пользовательского доступа. Чтобы получить URL-адрес пользовательского доступа из Azure AD, выполните следующие действия:

  1. Перейдите к разделу Корпоративные приложения.
  2. Щелкните SAP Concur Travel and Expense.
  3. Щелкните Свойства.
  4. Скопируйте URL-адрес пользовательского доступа и предоставьте этот URL-адрес группе поддержки Concur.

Примечание

Возможность самостоятельной настройки единого входа недоступна, поэтому обратитесь в группу поддержки Concur, чтобы включить единый вход для мобильного устройства.

Проверка единого входа

В этом разделе описано, как проверить конфигурацию единого входа Azure AD с помощью указанных ниже способов.

Инициация поставщиком услуг:

  • Выберите Тестировать приложение на портале Azure. Вы будете перенаправлены по URL-адресу для входа в SAP Concur Travel and Expense, где можно инициировать поток входа.

  • Вручную введите URL-адрес для входа в SAP Concur Travel and Expense и инициируйте поток входа.

Вход, инициированный поставщиком удостоверений

  • На портале Azure выберите Тестировать приложение, и вы автоматически войдете в приложение SAP Concur Travel and Expense, для которого настроен единый вход.

Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. Щелкнув элемент SAP Concur Travel and Expense на портале "Мои приложения", вы автоматически перейдете на страницу входа приложения для инициации потока входа (при настройке в режиме поставщика службы) или в приложение SAP Concur Travel and Expense, для которого настроен единый вход (при настройке в режиме поставщика удостоверений). Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Дальнейшие действия

После настройки SAP Concur Travel and Expense вы можете применить функцию управления сеансом, которая защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа в реальном времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью Microsoft Cloud App Security.