Självstudie: Azure AD SSO-integrering med SAP Cloud Platform

  • Artikel
  • 8 minuter för att läsa

I den här självstudien lär du dig att integrera SAP Cloud Platform med Azure Active Directory (Azure AD). När du integrerar SAP Cloud Platform med Azure AD kan du:

  • I Azure AD kan du styra vem som har åtkomst SAP Cloud Platform.
  • Gör så att dina användare automatiskt loggas in på SAP Cloud Platform med sina Azure AD-konton.
  • Hantera dina konton på en central plats – Azure Portal.

Förutsättningar

För att komma igång behöver du följande:

  • En Azure AD-prenumeration. Om du inte har en prenumeration kan du skaffa ett kostnadsfritt konto.
  • SAP Cloud Platform-prenumeration med enkel inloggning (SSO).

Viktigt

Du måste distribuera ditt eget program eller prenumerera på ett program på ditt SAP Cloud Platform-konto för att testa enkel inloggning. I den här självstudien distribueras ett program i kontot.

Scenariobeskrivning

I den här självstudien konfigurerar och testar du enkel inloggning med Azure AD i en testmiljö.

  • SAP Cloud Platform har stöd för SP-initierad enkel inloggning.

Om du vill konfigurera integreringen av SAP Cloud Platform i Azure AD så måste du lägga till SAP Cloud Platform från galleriet till din lista över hanterade SaaS-appar.

  1. Logga in på Azure Portal med ett arbets- eller skolkonto eller ett personligt Microsoft-konto.
  2. I det vänstra navigeringsfönstret väljer du Azure Active Directory tjänst.
  3. Gå till Företagsprogram och välj sedan Alla program.
  4. Om du vill lägga till ett nytt program väljer du Nytt program.
  5. I avsnittet Lägg till från galleriet skriver SAP Cloud Platform i sökrutan.
  6. Välj SAP Cloud Platform från resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Konfigurera och testa enkel inloggning med Azure AD för SAP Cloud Platform

Konfigurera och testa enkel inloggning med Azure AD SAP Cloud Platform med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Azure AD-användare och den relaterade användaren i SAP Cloud Platform.

Utför följande steg för att konfigurera och SAP Cloud Platform enkel inloggning med Azure AD:

  1. Konfigurera enkel inloggning med Azure AD – så att användarna kan använda den här funktionen.
    1. Skapa en Azure AD-testanvändare – för att testa enkel inloggning med Azure AD med Britta Simon.
    2. Tilldela Azure AD-testanvändaren – så att Britta Simon kan använda enkel inloggning med Azure AD.
  2. Konfigurera SAP Cloud Platform enkel inloggning – för att konfigurera inställningarna Sign-On enkel inloggning på programsidan.
    1. Skapa en SAP Cloud Platform-testanvändare – för att få en motpart Britta Simon i SAP Cloud Platform som är länkad till Azure AD-representationen för användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera Azure AD SSO

Följ dessa steg för att aktivera enkel inloggning med Azure AD i Azure Portal.

  1. I Azure Portal går du SAP Cloud Platform programintegreringssidan, går till avsnittet Hantera och väljer enkel inloggning.

  2. På sidan Välj en metod för enkel inloggning väljer du SAML.

  3. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  4. I avsnittet Grundläggande SAML-konfiguration anger du värdena för följande fält:

    a. I identifierare-textrutan så anger du din SAP Cloud Platforms typ, en URL med en av följande mönster:

    Identifierare
    https://hanatrial.ondemand.com/<instancename>
    https://hana.ondemand.com/<instancename>
    https://us1.hana.ondemand.com/<instancename>
    https://ap1.hana.ondemand.com/<instancename>

    b. I textrutan Svars-URL skriver du en URL med något av följande mönster:

    Svars-URL
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>
    https://<subdomain>.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

    c. I textrutan inloggning på URL:en, skriver du in den URL som används av dina användare för att logga in på ditt SAP Cloud Platform-program. Det är den kontospecifika URL:en för en skyddad resurs i ditt SAP Cloud Platform-program. URL:en är baserad på följande mönster: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

    Anteckning

    Det här är URL:en i ditt SAP Cloud Platform-program som kräver att användaren autentiseras.

    Inloggnings-URL
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>

    Anteckning

    Dessa värden är inte verkliga. Uppdatera dessa värden med faktisk identifierare, svars-URL och inloggnings-URL. Kontakta supportteamet för SAP Cloud Platform-klienten för att få inloggnings-URL och identifierare. Svars-URL:en kan du hämta från förtroendehanteringsavsnittet som beskrivs senare i självstudien.

  5. På sidan Set up Single Sign-On with SAML (Konfigurera enkel inloggning med SAML) går du till avsnittet SAML Signing Certificate (SAML-signeringscertifikat), klickar på Ladda ned för att ladda ned Federation Metadata-XML från de angivna alternativen enligt dina behov och spara den på datorn.

    Länk för nedladdning av certifikatet

Skapa en Azure AD-testanvändare

I det här avsnittet skapar du en testanvändare i Azure Portal namnet B.Simon.

  1. I det vänstra fönstret i Azure Portal väljer du Azure Active Directory, väljer Användare och sedan Alla användare.
  2. Välj Ny användare överst på skärmen.
  3. I Användaregenskaper följer du dessa steg:
    1. I Namn-fältet skriver du B.Simon.
    2. I fältet Användarnamn anger du username@companydomain.extension . Till exempel B.Simon@contoso.com.
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Klicka på Skapa.

Tilldela Azure AD-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning med Azure genom att ge åtkomst till SAP Cloud Platform.

  1. I Azure Portal väljer du Företagsprogram och sedan Alla program.
  2. I programlistan väljer du SAP Cloud Platform.
  3. På appens översiktssida hittar du avsnittet Hantera och väljer Användare och grupper.
  4. Välj Lägg till användare och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning.
  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
  6. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den från listrutan Välj en roll. Om ingen roll har ställts in för den här appen visas rollen "Standardåtkomst".
  7. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera SAP Cloud Platform enkel inloggning

  1. I ett annat webbläsarfönster, loggar du in på SAP Cloud Platform Cockpit på https://account.<landscape host>.ondemand.com/cockpit(till exempel: https://account.hanatrial.ondemand.com/cockpit).

  2. Klicka på Förtroende-fliken.

    Förtroende

  3. I avsnittet förtroendehantering under Lokal tjänstleverantör, utför du följande steg:

    Skärmbild som visar avsnittet "Förtroendehantering" med fliken "Lokal tjänstleverantör" markerad och alla textrutor markerade.

    a. Klicka på Redigera.

    b. Som Konfigurationstyp, väljer du Anpassad.

    c. Som Namn på lokal leverantör, lämna standardvärdet. Kopiera det här värdet och klistra in det i fältet Identifierare i Azure AD-konfigurationen för SAP Cloud Platform.

    d. Generera en Signeringsnyckel och ett Signeringscertifikat-nyckelpar genom att klicka på Generera nyckelpar.

    e. Som Huvudsaklig spridning så väljer du Inaktiverad.

    f. Som Tvinga autentisering så väljer du Inaktiverad.

    ex. Klicka på Spara.

  4. När du har sparat inställningarna för Lokal tjänstleverantör så utför du följande för att hämta svars-URL:en:

    Hämta metadata

    a. Hämta SAP Cloud Platform-metadatafilen genom att klicka på Hämta metadata.

    b. Öppna den hämtade XML-filen för SAP Cloud Platform-metadata och hitta sedan taggen ns3:AssertionConsumerService.

    c. Kopiera värdet för attributet Plats och klistra in det i fältet Svars-URL i Azure AD-konfigurationen för SAP Cloud Platform.

  5. Klicka på fliken Betrodd identitetsprovider och sedan på Lägg till betrodd identitetsprovider.

    Skärmbild som visar sidan "Förtroendehantering" med fliken "Betrodd identitetsprovider" markerad.

    Anteckning

    Om du vill hantera listan med betrodda identitetsprovidrar så måste du ha valt typ av anpassad konfiguration i avsnittet lokal tjänstleverantör. Som standardkonfigurationstyp har du ett icke-redigerbart och implicit förtroende till SAP-ID-tjänsten. För Ingen så har du inga förtroendeinställningar.

  6. Klicka på Allmänt-fliken och sedan på Bläddra för att överföra den hämtade metadatafilen.

    Förtroendehantering

    Anteckning

    När du har överfört metadatafilen så fylls värdena för URL för enkel inloggning, URL för enkel utloggning och Signeringscertifikat i automatiskt.

  7. Klicka på fliken Attribut.

  8. Attribut-fliken, utför du följande steg:

    Attribut

    a. Klicka på Lägg till försäkransbaserat attribut och lägg sedan till följande försäkransbaserade attribut:

    Försäkransattribut Huvudnamnsattribut
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname förnamn
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname efternamn
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress e-post

    Anteckning

    Konfigurationen av attributen beror på hur programmen på SCP utvecklas, det vill säga vilka attribut som de förväntar sig i SAML-svaret och under vilket namn (huvudnamnsattribut) de har åtkomst till det här attributet i koden.

    b. Standardattributet i skärmbilden är bara i illustrativt syfte. Det krävs inte för att få scenariot att fungera.

    c. Namnen och värdena för huvudnamnsattributet som visas i skärmbilden beror på hur programmet utvecklas. Det är möjligt att ditt program kräver olika mappningar.

Försäkransbaserade grupper

Som ett valfritt steg så kan du konfigurera försäkransbaserade grupper för din Azure Active Directory-identitetsprovider.

Med grupper på SAP Cloud Platform så kan du dynamiskt tilldela en eller flera användare till en eller flera roller i dina SAP Cloud Platform-program, baserat på värden för attribut i SAML 2.0-försäkran.

Om försäkran till exempel innehåller attributet ”contract=temporary” så kan du vilja att alla berörda användare läggs till i gruppen ”TEMPORARY”. Gruppen ”TEMPORARY” kan innehålla en eller flera roller från en eller flera program som distribueras i ditt SAP Cloud Platform-konto.

Använd försäkransbaserade grupper när du vill tilldela många användare samtidigt till en eller flera roller av program i ditt SAP Cloud Platform-konto. Om du bara vill tilldela en enskild eller ett litet antal användare till specifika roller så rekommenderar vi att du tilldelar dem direkt i fliken Auktoriseringar i SAP Cloud Platform-cockpiten.

Skapa SAP Cloud Platform-testanvändare

För att låta Azure AD-användare logga in till SAP Cloud Platform så måste du tilldela roller i SAP Cloud Platform till dem.

Om du vill tilldela en roll till en användare så utför du följande steg:

  1. Logga in på din SAP Cloud Platform-cockpit.

  2. Utför följande:

    Auktoriseringar

    a. Klicka på Auktorisering.

    b. Klicka på fliken Användare.

    c. I textrutan Användare så skriver du in användarens e-postadress.

    d. Klicka på Tilldela för att tilldela användaren till en roll.

    e. Klicka på Spara.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Azure AD med följande alternativ.

  • Klicka på Testa det här programmet i Azure Portal. Detta omdirigerar till SAP Cloud Platform inloggnings-URL där du kan initiera inloggningsflödet.

  • Gå till SAP Cloud Platform inloggnings-URL direkt och initiera inloggningsflödet därifrån.

  • Du kan använda Microsoft Mina appar. När du klickar SAP Cloud Platform på Mina appar bör du automatiskt loggas in på SAP Cloud Platform som du har ställt in enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du SAP Cloud Platform kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltrering av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för Cloud Apps.