Självstudie: Azure Active Directory integrering med enkel inloggning (SSO) med SAP Fiori

  • Artikel
  • 8 minuter för att läsa

I den här självstudien lär du dig att integrera SAP Fiori med Azure Active Directory (Azure AD). När du integrerar SAP Fiori med Azure AD kan du:

  • Kontrollera vem som har åtkomst till SAP Fiori från Azure AD.
  • Gör så att dina användare automatiskt loggas in på SAP Fiori med sina Azure AD-konton.
  • Hantera dina konton på en central plats – Azure Portal.

Förutsättningar

För att komma igång behöver du följande:

  • En Azure AD-prenumeration. Om du inte har någon prenumeration kan du skaffa ett kostnadsfritt konto.
  • SAP Fiori-prenumeration med enkel inloggning (SSO).

Scenariobeskrivning

I den här självstudien konfigurerar och testar du enkel inloggning med Azure AD i en testmiljö.

  • SAP Fiori stöder SP-initierad enkel inloggning

Anteckning

För SAP Fiori-initierad iFrame-autentisering rekommenderar vi att du använder parametern IsPassive i SAML AuthnRequest för tyst autentisering. Mer information om parametern IsPassive finns i information om enkel inloggning med Azure AD SAML.

För att konfigurera integreringen av SAP Fiori i Azure AD måste du lägga till SAP Fiori från galleriet till din lista över hanterade SaaS-appar.

  1. Logga in på Azure Portal med ett arbets- eller skolkonto eller en personlig Microsoft-konto.
  2. I det vänstra navigeringsfönstret väljer du Azure Active Directory tjänst.
  3. Gå till Företagsprogram och välj sedan Alla program.
  4. Om du vill lägga till ett nytt program väljer du Nytt program.
  5. I avsnittet Lägg till från galleriet skriver du SAP Fiori i sökrutan.
  6. Välj SAP Fiori i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Konfigurera och testa enkel inloggning med Azure AD för SAP Fiori

Konfigurera och testa enkel inloggning med Azure AD med SAP Fiori med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Azure AD-användare och den relaterade användaren i SAP Fiori.

Utför följande steg för att konfigurera och testa enkel inloggning i Azure AD med SAP Fiori:

  1. Konfigurera enkel inloggning för Azure AD – så att användarna kan använda den här funktionen.
    1. Skapa en Azure AD-testanvändare – för att testa enkel inloggning med Azure AD med B.Simon.
    2. Tilldela Azure AD-testanvändaren – så att B.Simon kan använda enkel inloggning med Azure AD.
  2. Konfigurera enkel inloggning för SAP Fiori – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa SAP Fiori-testanvändare – för att ha en motsvarighet för B.Simon i SAP Fiori som är länkad till En Azure AD-representation av användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera Azure AD SSO

Följ dessa steg för att aktivera enkel inloggning med Azure AD i Azure Portal.

  1. Öppna ett nytt webbläsarfönster och logga in på din SAP Fiori-företagswebbplats som administratör.

  2. Kontrollera att http- och https-tjänsterna är aktiva och att relevanta portar har tilldelats transaktionskoden SMICM.

  3. Logga in på SAP Business Client för SAP-systemet T01, där enkel inloggning krävs. Aktivera sedan HANTERING av HTTP-säkerhetssessioner.

    1. Gå till transaktionskod SICF_SESSIONS. Alla relevanta profilparametrar med aktuella värden visas. De ser ut som i följande exempel:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Anteckning

      Justera parametrarna baserat på organisationens krav. Föregående parametrar anges endast som ett exempel.

    2. Om det behövs justerar du parametrarna i sap-systemets instansprofil (standard) och startar om SAP-systemet.

    3. Dubbelklicka på relevant klient för att aktivera en HTTP-säkerhetssession.

      Sidan Aktuella värden för relevanta profilparametrar i SAP

    4. Aktivera följande SICF-tjänster:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Gå till transaktionskoden SAML2 i företagsklienten för SAP-systemet [T01/122]. Konfigurationsgränssnittet öppnas i ett nytt webbläsarfönster. I det här exemplet använder vi Business Client för SAP-system 122.

    Inloggningssidan för SAP Fiori Business Client

  5. Ange ditt användarnamn och lösenord och välj sedan Logga in.

    Sidan SAML 2.0-konfiguration ABAP System T01/122 i SAP

  6. I rutan Providernamn ersätter du T01122 med http: / /T01122 och väljer sedan Spara.

    Anteckning

    Som standard har providernamnet formatet <sid> <client> . Azure AD förväntar sig namnet i formatet <protocol> :// <name> . Vi rekommenderar att du behåller providernamnet som https : // <sid> <client> så att du kan konfigurera flera SAP Fiori ABAP motorer i Azure AD.

    Det uppdaterade providernamnet på sidan SAML 2.0-konfiguration ABAP System T01/122 i SAP

  7. Välj fliken Metadata för lokal > provider.

  8. I dialogrutan SAML 2.0 Metadata (SAML 2.0-metadata) laddar du ned xml-filen med genererade metadata och sparar den på datorn.

    Länken Ladda ned metadata i dialogrutan SAP SAML 2.0-metadata

  9. På sidan Azure Portal SAP Fiori-programintegrering går du till avsnittet Hantera och väljer enkel inloggning.

  10. På sidan Välj en metod för enkel inloggning väljer du SAML.

  11. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  12. I avsnittet Grundläggande SAML-konfiguration utför du följande steg om du har metadatafilen för tjänstleverantör:

    1. Klicka på Ladda upp metadatafil.

      Ladda upp metadatafil

    2. Klicka på mappikonen för att välja metadatafilen och klicka på Ladda upp.

      välj metadatafil

    3. När metadatafilen har laddats upp fylls värdena Identifierare och Svars-URL i automatiskt i fönstret Grundläggande SAML-konfiguration. I rutan Inloggnings-URL anger du en URL som har följande mönster: https://<your company instance of SAP Fiori> .

      Anteckning

      Några kunder rapporterar fel som rör felaktigt konfigurerade svars-URL-värden. Om du ser det här felet kan du använda följande PowerShell-skript för att ange rätt svars-URL för din instans:

      Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"

      Du kan ange ServicePrincipal objekt-ID:t själv innan du kör skriptet, eller så kan du skicka det här.

  13. SAP Fiori-programmet förväntar sig att SAML-försäkran har ett visst format. Konfigurera följande anspråk för det här programmet. Om du vill hantera dessa attributvärden går du till fönstret Konfigurera enkel Sign-On med SAML och väljer Redigera.

    Fönstret Användarattribut

  14. I fönstret Användarattribut & anspråk konfigurerar du SAML-tokenattributen enligt föregående bild. Utför sedan följande steg:

    1. Välj Redigera för att öppna fönstret Hantera användaranspråk.

    2. I listan Transformering väljer du ExtractMailPrefix().

    3. I listan Parameter 1 väljer du user.userprincipalname.

    4. Välj Spara.

      Fönstret Hantera användaranspråk

      Avsnittet Transformering i fönstret Hantera användaranspråk

  15. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat, hittar XML för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

    Länk för nedladdning av certifikatet

  16. I avsnittet Konfigurera SAP Fiori kopierar du lämpliga URL:er baserat på dina behov.

    Kopiera konfigurations-URL:er

Skapa en Azure AD-testanvändare

I det här avsnittet skapar du en testanvändare i Azure Portal med namnet B.Simon.

  1. I den vänstra rutan i Azure Portal väljer du Azure Active Directory, väljer Användare och sedan Alla användare.
  2. Välj Ny användare överst på skärmen.
  3. I Användaregenskaper följer du dessa steg:
    1. I Namn-fältet skriver du B.Simon.
    2. I fältet Användarnamn anger du username@companydomain.extension . Till exempel B.Simon@contoso.com.
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Klicka på Skapa.

Tilldela Azure AD-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning med Azure genom att ge åtkomst till SAP Fiori.

  1. I Azure Portal väljer du Företagsprogram och sedan Alla program.
  2. I programlistan väljer du SAP Fiori.
  3. På appens översiktssida hittar du avsnittet Hantera och väljer Användare och grupper.
  4. Välj Lägg till användare och sedan Användare och grupper i dialogrutan Lägg till tilldelning.
  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
  6. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll. Om ingen roll har ställts in för den här appen visas rollen "Standardåtkomst" vald.
  7. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera enkel inloggning för SAP Fiori

  1. Logga in på SAP-systemet och gå till transaktionskoden SAML2. Ett nytt webbläsarfönster öppnas med SIDAN SAML-konfiguration.

  2. Om du vill konfigurera slutpunkter för en betrodd identitetsprovider (Azure AD) väljer du fliken Betrodda providers.

    Fliken Betrodda providers i SAP

  3. Välj Lägg till och välj Upload metadatafil på snabbmenyn.

    Alternativen Lägg till Upload metadatafil i SAP

  4. Upload metadatafilen som du laddade ned i Azure Portal. Välj Nästa.

    Välj den metadatafil som ska laddas upp i SAP

  5. Ange aliasnamnet i rutan Alias på nästa sida. Till exempel aadsts. Välj Nästa.

    Rutan Alias i SAP

  6. Kontrollera att värdet i rutan Sammanfattad algoritm är SHA-256. Välj Nästa.

    Verifiera värdet för sammanfattad algoritm i SAP

  7. Under Enskilda Sign-On slutpunkter väljer du HTTP POST och sedan Nästa.

    Alternativ Sign-On slutpunkter för enskilda slutpunkter i SAP

  8. Under Single Logout Endpoints (Slutpunkter för enkel utloggning) väljer du HTTP Redirect (HTTP-omdirigering) och sedan Next (Nästa).

    Alternativ för slutpunkter för enkel utloggning i SAP

  9. Under Artefaktslutpunkter väljer du Nästa för att fortsätta.

    Alternativ för artefaktslutpunkter i SAP

  10. Under Autentiseringskrav väljer du Slutför.

    Alternativ för autentiseringskrav och alternativet Slutför i SAP

  11. Välj Betrodd > provideridentitetsfederation (längst ned på sidan). Välj Redigera.

    Flikarna Betrodd provider och identitetsfederation i SAP

  12. Välj Lägg till.

    Alternativet Lägg till på fliken Identitetsfederation

  13. I dialogrutan NameID-format som stöds väljer du Ospecificerade. Välj OK.

    Dialogrutan NameID-format som stöds och alternativ i SAP

    Värdena för User ID Source (Källa för användar-ID) och User ID Mapping Mode (Mappningsläge för användar-ID) avgör länken mellan SAP-användaren och Azure AD-anspråket.

    Scenario 1: SAP-användare till Azure AD-användarmappning

    1. I SAP går du till Information om NameID-formatet "Ospecificerad" och noterar informationen:

      Skärmbild som visar dialogrutan "Information om NameID-format "Ospecificerad" i S A P.

    2. Notera de Azure Portal anspråken från Azure AD & anspråk under Användarattribut i Azure Portal på begäran.

      Skärmbild som visar dialogrutan "Användarattribut & anspråk".

    Scenario 2: Välj SAP-användar-ID baserat på den konfigurerade e-postadressen i SU01. I det här fallet ska e-post-ID:t konfigureras i SU01 för varje användare som behöver enkel inloggning.

    1. I SAP går du till Information om NameID-formatet "Ospecificerad" och noterar informationen:

      Dialogrutan Information om NameID-formatet "Unspecified" (Ospecificerad) i SAP

    2. Notera de Azure Portal anspråken från Azure AD & anspråk under Användarattribut i Azure Portal på begäran.

      Dialogrutan Användarattribut och anspråk i Azure Portal

  14. Välj Spara och välj sedan Aktivera för att aktivera identitetsprovidern.

    Alternativen Spara och Aktivera i SAP

  15. Välj OK när du tillfrågas.

    Alternativet OK i dialogrutan SAML 2.0-konfiguration i SAP

Skapa SAP Fiori-testanvändare

I det här avsnittet skapar du en användare med namnet Britta Simon i SAP Fiori. Ta hjälp av ditt internt SAP-expertteam eller din organisations SAP-partner för att lägga till användaren på SAP Fiori-plattformen.

Testa enkel inloggning

  1. När identitetsprovidern Azure AD har aktiverats i SAP Fiori kan du försöka komma åt någon av följande URL:er för att testa enkel inloggning (du bör inte uppmanas att ange ett användarnamn och lösenord):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Anteckning

    Ersätt <sap-url> med det faktiska SAP-värdnamnet.

  2. Test-URL:en bör ta dig till följande testprogramsida i SAP. Om sidan öppnas konfigureras enkel inloggning med Azure AD.

    Standardtestprogramsidan i SAP

  3. Om du uppmanas att ange ett användarnamn och lösenord aktiverar du spårning för att diagnostisera problemet. Använd följande URL för spårningen:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Nästa steg

När du har konfigurerat SAP Fiori kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltrering av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för Cloud Apps.