Руководство по Интеграция единого входа Azure Active Directory с SAP NetWeaverTutorial: Azure Active Directory Single sign-on (SSO) integration with SAP NetWeaver

В этом руководстве описано, как интегрировать SAP NetWeaver с Azure Active Directory.In this tutorial, you'll learn how to integrate SAP NetWeaver with Azure Active Directory (Azure AD). Интеграция SAP NetWeaver с Azure AD обеспечивает следующие возможности.When you integrate SAP NetWeaver with Azure AD, you can:

  • С помощью AAD вы можете контролировать доступ к приложению SAP NetWeaver.Control in Azure AD who has access to SAP NetWeaver.
  • Вы можете включить автоматический вход пользователей в SAP NetWeaver с использованием учетных записей AAD.Enable your users to be automatically signed-in to SAP NetWeaver with their Azure AD accounts.
  • Централизованное управление учетными записями через портал Azure.Manage your accounts in one central location - the Azure portal.

Чтобы узнать больше об интеграции приложений SaaS с Azure AD, прочитайте статью Что такое доступ к приложениям и единый вход с помощью Azure Active Directory?To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

Предварительные требованияPrerequisites

Чтобы приступить к работе, потребуется следующее.To get started, you need the following items:

  • Подписка Azure AD.An Azure AD subscription. Если у вас нет подписки, вы можете получить бесплатную учетную запись.If you don't have a subscription, you can get a free account.
  • подписка на SAP NetWeaver с поддержкой единого входа;SAP NetWeaver single sign-on (SSO) enabled subscription.
  • по меньшей мере SAP NetWeaver 7.20.SAP NetWeaver V7.20 required atleast

Описание сценарияScenario description

SAP NetWeaver поддерживает SAML (единый вход, инициированный поставщиком услуг) и OAuth.SAP NetWeaver supports both SAML (SP initiated SSO) and OAuth. В рамках этого руководства вы настроите и проверите единый вход Azure AD в тестовой среде.In this tutorial, you configure and test Azure AD SSO in a test environment.

Примечание

Настройте для приложения режим SAML или OAuth согласно требованиям вашей организации.Configure the application either in SAML or in OAuth as per your organizational requirement.

Чтобы настроить интеграцию SAP NetWeaver с Azure AD, необходимо добавить SAP NetWeaver из коллекции в список управляемых приложений SaaS.To configure the integration of SAP NetWeaver into Azure AD, you need to add SAP NetWeaver from the gallery to your list of managed SaaS apps.

  1. Войдите на портал Azure с помощью личной учетной записи Майкрософт либо рабочей или учебной учетной записи.Sign in to the Azure portal using either a work or school account, or a personal Microsoft account.
  2. В области навигации слева выберите службу Azure Active Directory.On the left navigation pane, select the Azure Active Directory service.
  3. Перейдите в колонку Корпоративные приложения и выберите Все приложения.Navigate to Enterprise Applications and then select All Applications.
  4. Чтобы добавить новое приложение, выберите Новое приложение.To add new application, select New application.
  5. В разделе Добавление из коллекции в поле поиска введите SAP NetWeaver.In the Add from the gallery section, type SAP NetWeaver in the search box.
  6. Выберите SAP NetWeaver в области результатов и добавьте это приложение.Select SAP NetWeaver from results panel and then add the app. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.Wait a few seconds while the app is added to your tenant.

Настройка и проверка единого входа в Azure AD для SAP NetWeaverConfigure and test Azure AD single sign-on for SAP NetWeaver

Настройте и проверьте единый вход AAD в SAP NetWeaver с помощью тестового пользователя B.Simon.Configure and test Azure AD SSO with SAP NetWeaver using a test user called B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Azure AD и соответствующим пользователем в SAP NetWeaver.For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in SAP NetWeaver.

Чтобы настроить и проверить единый вход Azure AD в SAP NetWeaver, выполните действия в следующих стандартных блоках.To configure and test Azure AD SSO with SAP NetWeaver, complete the following building blocks:

  1. Настройка единого входа Azure AD необходима, чтобы пользователи могли использовать эту функцию.Configure Azure AD SSO to enable your users to use this feature.
    1. Создание тестового пользователя Azure AD требуется для проверки работы единого входа Azure AD от имени пользователя B.Simon.Create an Azure AD test user to test Azure AD single sign-on with B.Simon.
    2. Назначение тестового пользователя Azure AD необходимо, чтобы позволить B.Simon использовать единый вход Azure AD.Assign the Azure AD test user to enable B.Simon to use Azure AD single sign-on.
  2. Настройка единого входа в SAP NetWeaver с использованием SAML необходима, чтобы настроить параметры единого входа на стороне приложения.Configure SAP NetWeaver using SAML to configure the SSO settings on application side.
    1. Создание тестового пользователя SAP NetWeaver требуется для создания пользователя B.Simon в SAP NetWeaver, связанного с соответствующим пользователем в AAD.Create SAP NetWeaver test user to have a counterpart of B.Simon in SAP NetWeaver that is linked to the Azure AD representation of user.
  3. Проверка единого входа необходима, чтобы убедиться в корректной работе конфигурации.Test SSO to verify whether the configuration works.
  4. Настройка единого входа в SAP NetWeaver с использованием OAuth необходима, чтобы настроить параметры OAuth на стороне приложения.Configure SAP NetWeaver for OAuth to configure the OAuth settings on application side.

Настройка единого входа Azure ADConfigure Azure AD SSO

В этом разделе описано включение единого входа Azure AD на портале Azure.In this section, you enable Azure AD single sign-on in the Azure portal.

Чтобы настроить единый вход Azure AD в SAP NetWeaver, сделайте следующее.To configure Azure AD single sign-on with SAP NetWeaver, perform the following steps:

  1. Откройте окно веб-браузера и войдите на сайт своей компании SAP NetWeaver как администраторOpen a new web browser window and sign into your SAP NetWeaver company site as an administrator

  2. Убедитесь, что службы http и https активны, а в коде транзакции SMICM назначены соответствующие порты.Make sure that http and https services are active and appropriate ports are assigned in SMICM T-Code.

  3. Выполните вход в бизнес-клиент системы SAP (T01), где требуется единый вход, и активируйте управление сеансом безопасности HTTP.Sign on to business client of SAP System (T01), where SSO is required and activate HTTP Security session Management.

    а.a. Перейдите к коду транзакции SICF_SESSIONS.Go to Transaction code SICF_SESSIONS. В нем отображаются все параметры соответствующего профиля с текущими значениями.It displays all relevant profile parameters with current values. Они выглядят следующим образом:They look like below:-

    login/create_sso2_ticket = 2
    login/accept_sso2_ticket = 1
    login/ticketcache_entries_max = 1000
    login/ticketcache_off = 0  login/ticket_only_by_https = 0 
    icf/set_HTTPonly_flag_on_cookies = 3
    icf/user_recheck = 0  http/security_session_timeout = 1800
    http/security_context_cache_size = 2500
    rdisp/plugin_auto_logout = 1800
    rdisp/autothtime = 60
    

    Примечание

    Настройте эти параметры в соответствии с требованиями вашей организации. Упомянутые выше параметры приведены здесь только для иллюстрации.Adjust above parameters as per your organization requirements, Above parameters are given here as indication only.

    b.b. При необходимости настройте параметры в экземпляре и (или) профиле по умолчанию системы SAP, затем перезапустите систему SAP.If necessary adjust parameters, in the instance/default profile of SAP system and restart SAP system.

    c.c. Дважды щелкните соответствующий клиент, чтобы включить сеанс безопасности HTTP.Double-click on relevant client to enable HTTP security session.

    Ссылка для скачивания сертификата

    d.d. Активируйте ниже службы SICF:Activate below SICF services:

    /sap/public/bc/sec/saml2
    /sap/public/bc/sec/cdc_ext_service
    /sap/bc/webdynpro/sap/saml2
    /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
    
  4. Перейдите к коду транзакции SAML2 в бизнес-клиенте системы SAP [T01/122].Go to Transaction code SAML2 in business client of SAP system [T01/122]. В браузере откроется пользовательский интерфейс.It will open a user interface in a browser. В этом примере предполагается, что 122 является бизнес-клиентом SAP.In this example, we assumed 122 as SAP business client.

    Ссылка для скачивания сертификата

  5. Укажите имя пользователя и пароль для входа в пользовательский интерфейс, затем нажмите кнопку Изменить.Provide your username and password to enter in user interface and click Edit.

    Ссылка для скачивания сертификата

  6. Замените Имя поставщика T01122, указав http://T01122, и щелкните Сохранить.Replace Provider Name from T01122 to http://T01122 and click on Save.

    Примечание

    Имя поставщика по умолчанию указывается в формате <sid><client>, но Azure AD ожидает имя в формате <protocol>://<name>, рекомендуя использовать имя поставщика в формате https://<sid><client>, чтобы разрешить многим обработчикам SAP NetWeaver ABAP выполнять настройку в Azure AD.By default provider name come as <sid><client> format but Azure AD expects name in the format of <protocol>://<name>, recommending to maintain provider name as https://<sid><client> to allow multiple SAP NetWeaver ABAP engines to configure in Azure AD.

    Ссылка для скачивания сертификата

  7. Создание метаданных поставщика служб. После настройки локального поставщика и надежных поставщиков в пользовательском интерфейсе SAML 2.0 следующим шагом является создание файла метаданных поставщика служб (который будет содержать все параметры, контексты проверки подлинности и другие конфигурации в SAP).Generating Service Provider Metadata:- Once we are done with configuring the Local Provider and Trusted Providers settings on SAML 2.0 User Interface, the next step would be to generate the service provider’s metadata file (which would contain all the settings, authentication contexts and other configurations in SAP). После создания этого файла необходимо отправить его в Azure AD.Once this file is generated we need to upload this in Azure AD.

    Ссылка для скачивания сертификата

    а.a. Перейдите на вкладку Локальный поставщик.Go to Local Provider tab.

    b.b. Щелкните Метаданные.Click on Metadata.

    c.c. Сохраните созданный XML-файл метаданных на компьютере и передайте его в раздел Базовая конфигурация SAML, чтобы автоматически заполнить значения Идентификатор и URL-адрес ответа на портале Azure.Save the generated Metadata XML file on your computer and upload it in Basic SAML Configuration section to autopopulate the Identifier and Reply URL values in Azure portal.

Выполните следующие действия, чтобы включить единый вход Azure AD на портале Azure.Follow these steps to enable Azure AD SSO in the Azure portal.

  1. На портале Azure на странице интеграции с приложением SAP NetWeaver найдите раздел Управление и выберите Единый вход.In the Azure portal, on the SAP NetWeaver application integration page, find the Manage section and select Single sign-on.

  2. На странице Выбрать метод единого входа выберите SAML.On the Select a Single sign-on method page, select SAML.

  3. На странице Настройка единого входа с помощью SAML щелкните значок "Изменить" (значок пера), чтобы открыть диалоговое окно Базовая конфигурация SAML и изменить параметры.On the Set up Single Sign-On with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    Изменение базовой конфигурации SAML

  4. Если вы хотите настроить приложение в режиме, инициируемом поставщиком удостоверений, в разделе Базовая конфигурация SAML выполните следующее действие.On the Basic SAML Configuration section, if you wish to configure the application in IDP initiated mode, perform the following step:

    а.a. Щелкните Передать файл метаданных для отправки файла метаданных поставщика служб, полученного ранее.Click Upload metadata file to upload the Service Provider metadata file, which you have obtained earlier.

    b.b. Щелкните значок папки, выберите файл метаданных и нажмите кнопку Отправить.Click on folder logo to select the metadata file and click Upload.

    c.c. После успешной передачи файла метаданных значения Идентификатор и URL-адрес ответа в разделе Базовая конфигурация SAML автоматически заполняются значениями, как показано ниже.After the metadata file is successfully uploaded, the Identifier and Reply URL values get auto populated in Basic SAML Configuration section textbox as shown below:

    d.d. В текстовое поле URL-адрес для входа введите URL-адрес в следующем формате: https://<your company instance of SAP NetWeaver>.In the Sign-on URL text box, type a URL using the following pattern: https://<your company instance of SAP NetWeaver>

    Примечание

    Нам известно, что некоторые клиенты получают сообщение об ошибке, связанной с неправильным URL-адресом ответа, указанным для их экземпляра.We have seen few customers reporting an error of incorrect Reply URL configured for their instance. Если у вас появляется такая ошибка, устраните проблему с помощью следующего скрипта PowerShell, чтобы указать правильный URL-адрес ответа для своего экземпляра.If you receive any such error, you can use following PowerShell script as a work around to set the correct Reply URL for your instance.:

    Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"
    

    Сначала нужно самому задать идентификатор объекта субъекта-службы. Вы также можете передать его здесь.ServicePrincipal Object ID is to be set by yourself first or you can pass that also here.

  5. Приложение SAP NetWeaver ожидает проверочные утверждения SAML в определенном формате, который требует добавить настраиваемые сопоставления атрибутов в конфигурацию атрибутов токена SAML.SAP NetWeaver application expects the SAML assertions in a specific format, which requires you to add custom attribute mappings to your SAML token attributes configuration. На следующем снимке экрана показан список атрибутов по умолчанию.The following screenshot shows the list of default attributes. Нажмите кнопку Изменить, чтобы открыть диалоговое окно "Атрибуты пользователя".Click Edit icon to open User Attributes dialog.

    Изображение

  6. В разделе Утверждения пользователя диалогового окна Атрибуты пользователя настройте атрибут токена SAML, как показано на рисунке выше, и выполните следующие действия.In the User Claims section on the User Attributes dialog, configure SAML token attribute as shown in the image above and perform the following steps:

    а.a. Щелкните значок редактирования, чтобы открыть диалоговое окно Управление утверждениями пользователя.Click Edit icon to open the Manage user claims dialog.

    Изображение

    Изображение

    b.b. Из списка Преобразование выберите ExtractMailPrefix() .From the Transformation list, select ExtractMailPrefix().

    c.c. Из списка Параметр 1 выберите user.userprincipalname.From the Parameter 1 list, select user.userprincipalname.

    d.d. Выберите команду Сохранить.Click Save.

  7. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите элемент XML метаданных федерации и нажмите кнопку Скачать, чтобы скачать сертификат и сохранить его на компьютере.On the Set up Single Sign-On with SAML page, in the SAML Signing Certificate section, find Federation Metadata XML and select Download to download the certificate and save it on your computer.

    Ссылка для скачивания сертификата

  8. Из раздела Настройка SAP NetWeaver скопируйте нужные URL-адреса согласно вашим требованиям.On the Set up SAP NetWeaver section, copy the appropriate URL(s) based on your requirement.

    Копирование URL-адресов настройки

Создание тестового пользователя Azure ADCreate an Azure AD test user

В этом разделе описано, как на портале Azure создать тестового пользователя с именем B.Simon.In this section, you'll create a test user in the Azure portal called B.Simon.

  1. На портале Azure в области слева выберите Azure Active Directory, Пользователи, а затем — Все пользователи.From the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. В верхней части экрана выберите Новый пользователь.Select New user at the top of the screen.
  3. В разделе Свойства пользователя выполните следующие действия.In the User properties, follow these steps:
    1. В поле Имя введите B.Simon.In the Name field, enter B.Simon.
    2. В поле Имя пользователя введите username@companydomain.extension.In the User name field, enter the username@companydomain.extension. Например, B.Simon@contoso.com.For example, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Нажмите кнопку Создать.Click Create.

Назначение тестового пользователя Azure ADAssign the Azure AD test user

В этом разделе описано, как включить единый вход в Azure для пользователя B.Simon, предоставив этому пользователю доступ к SAP NetWeaver.In this section, you'll enable B.Simon to use Azure single sign-on by granting access to SAP NetWeaver.

  1. На портале Azure выберите Корпоративные приложения, а затем — Все приложения.In the Azure portal, select Enterprise Applications, and then select All applications.

  2. В списке приложений выберите SAP NetWeaver.In the applications list, select SAP NetWeaver.

  3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.In the app's overview page, find the Manage section and select Users and groups.

    Ссылка "Пользователи и группы"

  4. Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.Select Add user, then select Users and groups in the Add Assignment dialog.

    Ссылка "Добавить пользователя"

  5. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.In the Users and groups dialog, select B.Simon from the Users list, then click the Select button at the bottom of the screen.

  6. Если ожидается, что в утверждении SAML будет получено какое-либо значение роли, то в диалоговом окне Выбор роли нужно выбрать соответствующую роль для пользователя из списка и затем нажать кнопку Выбрать, расположенную в нижней части экрана.If you're expecting any role value in the SAML assertion, in the Select Role dialog, select the appropriate role for the user from the list and then click the Select button at the bottom of the screen.

  7. В диалоговом окне Добавление назначения нажмите кнопку Назначить.In the Add Assignment dialog, click the Assign button.

Настройка SAML в SAP NetWeaverConfigure SAP NetWeaver using SAML

  1. Войдите в систему SAP и перейдите к коду транзакции SAML2.Sign in to SAP system and go to transaction code SAML2. Откроется новое окно браузера с экраном настройки SAML.It opens new browser window with SAML configuration screen.

  2. Чтобы настроить конечные точки для доверенного поставщика удостоверений (Azure AD) перейдите на вкладку Доверенные поставщики.For configuring End points for trusted Identity provider (Azure AD) go to Trusted Providers tab.

    Настройка единого входа

  3. Нажмите Добавить и выберите Отправить файл метаданных в контекстном меню.Press Add and select Upload Metadata File from the context menu.

    Настройка единого входа

  4. Отправьте файл метаданных, который вы скачали на портале Azure.Upload metadata file, which you have downloaded from the Azure portal.

    Настройка единого входа

  5. На следующем экране введите псевдоним,In the next screen type the Alias name. например aadsts, и нажмите Далее для продолжения.For example, aadsts and press Next to continue.

    Настройка единого входа

  6. Алгоритм хэш-кода должен быть SHA-256, он не требует внесения изменений. Затем нажмите Далее.Make sure that your Digest Algorithm should be SHA-256 and don’t require any changes and press Next.

    Настройка единого входа

  7. В разделе Конечные точки единого входа укажите HTTP POST и нажмите Далее для продолжения.On Single Sign-On Endpoints, use HTTP POST and click Next to continue.

    Настройка единого входа

  8. В разделе Конечные точки единого выхода выберите HTTPRedirect и нажмите Далее для продолжения.On Single Logout Endpoints select HTTPRedirect and click Next to continue.

    Настройка единого входа

  9. В разделе Конечные точки артефакта нажмите Далее для продолжения.On Artifact Endpoints, press Next to continue.

    Настройка единого входа

  10. В разделе Требования к проверке подлинности нажмите Готово.On Authentication Requirements, click Finish.

    Настройка единого входа

  11. Перейдите на вкладку Надежный поставщик > Федерация удостоверений (из нижней части экрана).Go to tab Trusted Provider > Identity Federation (from bottom of the screen). Нажмите кнопку Изменить.Click Edit.

    Настройка единого входа

  12. Нажмите Добавить на вкладке Федерация удостоверений (нижнее окно).Click Add under the Identity Federation tab (bottom window).

    Настройка единого входа

  13. Во всплывающем окне выберите Не указано из списка Поддерживаемые форматы NameID и нажмите "ОК".From the pop-up window, select Unspecified from the Supported NameID formats and click OK.

    Настройка единого входа

  14. Обратите внимание, что значения user ID Source (источник идентификатора пользователя) и user ID mapping mode (режим сопоставления идентификатора пользователя) определяют связь между пользователем SAP и утверждением Azure AD.Note that user ID Source and user ID mapping mode values determine the link between SAP user and Azure AD claim.

    Сценарий: Сопоставление пользователя SAP и пользователя Azure AD.Scenario: SAP User to Azure AD user mapping.

    а.a. Снимок экрана со сведениями о NameID в SAP.NameID details screenshot from SAP.

    Настройка единого входа

    b.b. Снимок экрана, на котором упоминаются требуемые утверждения из Azure AD.Screenshot mentioning Required claims from Azure AD.

    Настройка единого входа

    Сценарий: Выбор идентификатора пользователя SAP с учетом указанного адреса электронной почты в SU01.Scenario: Select SAP user ID based on configured email address in SU01. В этом случае идентификатор электронной почты должен быть настроен в SU01 для каждого пользователя, которому требуется единый вход.In this case email ID should be configured in su01 for each user who requires SSO.

    а.a. Снимок экрана со сведениями о NameID в SAP.NameID details screenshot from SAP.

    Настройка единого входа

    b.b. Снимок экрана, на котором упоминаются требуемые утверждения из Azure AD.screenshot mentioning Required claims from Azure AD.

    Настройка единого входа

  15. Последовательно выберите Сохранить и Включить для включения поставщика удостоверений.Click Save and then click Enable to enable identity provider.

    Настройка единого входа

  16. Нажмите ОК при появлении запроса.Click OK once prompted.

    Настройка единого входа

    Создание тестового пользователя SAP NetWeaverCreate SAP NetWeaver test user

    В этом разделе описано, как создать пользователя B.Simon в приложении SAP NetWeaver.In this section, you create a user called B.simon in SAP NetWeaver. Совместно со штатной командой экспертов SAP или с партнером SAP организации добавьте пользователей на платформу SAP NetWeaver.Please work your in house SAP expert team or work with your organization SAP partner to add the users in the SAP NetWeaver platform.

Проверка единого входаTest SSO

  1. После активизации Azure AD для поставщика удостоверений попробуйте получить доступ по указанному ниже URL-адресу, чтобы проверить единый вход (не должен отображаться запрос на ввод имени пользователя и пароля).Once the identity provider Azure AD was activated, try accessing below URL to check SSO (there will no prompt for username & password)

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    Можно также указать такой URL-адрес:(or) use the URL below

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    Примечание

    Замените sapurl фактическим именем узла SAP.Replace sapurl with actual SAP hostname.

  2. Указанный выше URL-адрес должен переадресовать вас на показанный ниже экран.The above URL should take you to below mentioned screen. Если вы можете открыть показанную ниже страницу, настройка единого входа Azure AD выполнена успешно.If you are able to reach up to the below page, Azure AD SSO setup is successfully done.

    Настройка единого входа

  3. Если отобразится запрос на ввод имени пользователя и пароля, диагностируйте проблему путем включения трассировки, используя приведенный ниже URL-адрес.If username & password prompt occurs, please diagnose the issue by enable the trace using below URL

    https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Настройка OAuth в SAP NetWeaverConfigure SAP NetWeaver for OAuth

  1. Документированный процесс SAP можно получить по следующему адресу: NetWeaver Gateway Service Enabling and OAuth 2.0 Scope Creation (Включение службы шлюза NetWeaver и создание области OAuth 2.0)SAP Documented process is available at the location: NetWeaver Gateway Service Enabling and OAuth 2.0 Scope Creation

  2. Перейдите к SPRO и найдите раздел Activate and Maintain services (Активация и обслуживание служб).Go to SPRO and find Activate and Maintain services.

    Настройка единого входа

  3. В этом примере мы хотим подключить службу OData: DAAG_MNGGRP к Azure AD SSO с использованием OAuth.In this example we want to connect the OData service: DAAG_MNGGRP with OAuth to Azure AD SSO. Примените поиск имени технической службы для службы DAAG_MNGGRP и активируйте ее, если она еще не активна (состояние green на вкладке узлов ICF).Use the technical service name search for the service DAAG_MNGGRP and activate if not yet active, already (look for green status under ICF nodes tab). Убедитесь в правильности системного псевдонима (подключенной серверной системы, где фактически работает служба).Ensure if system alias (the connected backend system, where the service actually running) is correct.

    Настройка единого входа

    • Затем нажмите кнопку OAuth на верхней панели кнопок и присвойте значение scope (сохраните предложенное по умолчанию имя).Then click pushbutton OAuth on the top button bar and assign scope (keep default name as offered).
  4. В нашем примере используется область DAAG_MNGGRP_001, которая автоматически создается из имени службы добавлением некоторого числа.For our example the scope is DAAG_MNGGRP_001, it is generated from the service name by automatically adding a number. Отчет /IWFND/R_OAUTH_SCOPES можно использовать для изменения имени области или создания области вручную.Report /IWFND/R_OAUTH_SCOPES can be used to change name of scope or create manually.

    Настройка единого входа

    Примечание

    Сообщение soft state status is not supported можно спокойно игнорировать.Message soft state status is not supported – can be ignored, as no problem. Дополнительные сведения см. здесь.For more details, refer here

Создание пользователя службы для клиента OAuth 2.0Create a service user for the OAuth 2.0 Client

  1. OAuth2 использует service ID для получения маркера доступа для конечного пользователя от его имени.OAuth2 uses a service ID to get the access token for the end-user on its behalf. Важное ограничение по использованию OAuth: значение OAuth 2.0 Client ID должно быть идентично значению username, которое клиент OAuth 2.0 использует для входа при запросе маркера доступа.Important restriction by OAuth design: the OAuth 2.0 Client ID must be identical with the username the OAuth 2.0 client uses for login when requesting an Access Token. Таким образом, в нашем примере мы будем регистрировать клиент OAuth 2.0 с именем CLIENT1, а значить в системе SAP должен существовать пользователь с тем же именем (CLIENT1), который и будет настроен для использования в этом приложении.Therefore, for our example, we are going to register an OAuth 2.0 client with name CLIENT1, and as a prerequisite a user with the same name (CLIENT1) must exist in the SAP system and that user we will configure to be used by the referred application.

  2. При регистрации клиента OAuth мы используем SAML Bearer Grant type.When registering an OAuth Client we use the SAML Bearer Grant type.

    Примечание

    Дополнительные сведения о регистрации клиента OAuth 2.0 для типа предоставления носителя SAML см. здесь.For more details, refer OAuth 2.0 Client Registration for the SAML Bearer Grant Type here

  3. tcod: SU01 / Создайте пользователя CLIENT1 как System type и назначьте пароль, затем сохраните его для передачи учетных данных программисту API, который должен включить пароль и соответствующее имя пользователя в вызывающий код.tcod: SU01 / create user CLIENT1 as System type and assign password, save it as need to provide the credential to the API programmer, who should burn it with the username to the calling code. Не следует назначать профили или роли.No profile or role should be assigned.

Регистрация нового идентификатора клиента OAuth 2.0 с помощью мастера созданияRegister the new OAuth 2.0 Client ID with the creation wizard

  1. Чтобы зарегистрировать новый клиент OAuth 2.0, запустите транзакцию SOAUTH2.To register a new OAuth 2.0 client start transaction SOAUTH2. Эта транзакция отобразит обзорные сведения об уже зарегистрированных клиентах OAuth 2.0.The transaction will display an overview about the OAuth 2.0 clients that were already registered. Щелкните Создать, чтобы запустить мастер для создания клиента OAuth с именем CLIENT1 для нашего примера.Choose Create to start the wizard for the new OAuth client named as CLIENT1in this example.

  2. Перейдите к коду T-Code: SOAUTH2 и предоставьте описание, а затем щелкните Далее.Go to T-Code: SOAUTH2 and Provide the description then click next.

    Настройка единого входа

    Настройка единого входа

  3. Выберите уже добавленный элемент SAML2 IdP – Azure AD из раскрывающегося списка и сохраните изменения.Select the already added SAML2 IdP – Azure AD from the dropdown list and save.

    Настройка единого входа

    Настройка единого входа

    Настройка единого входа

  4. Щелкните Добавить в разделе назначения области, чтобы добавить созданную ранее область DAAG_MNGGRP_001.Click on Add under scope assignment to add the previously created scope: DAAG_MNGGRP_001

    Настройка единого входа

    Настройка единого входа

  5. Щелкните Готово.Click finish.

Дополнительные ресурсыAdditional resources