Självstudie: Azure Active Directory integrering med enkel inloggning (SSO) med SAP NetWeaver

  • Artikel
  • 11 minuter för att läsa

I den här självstudien lär du dig att integrera SAP NetWeaver med Azure Active Directory (Azure AD). När du integrerar SAP NetWeaver med Azure AD kan du:

  • Kontrollera i Azure AD vem som har åtkomst till SAP NetWeaver.
  • Gör så att dina användare automatiskt loggas in på SAP NetWeaver med sina Azure AD-konton.
  • Hantera dina konton på en central plats – Azure Portal.

Förutsättningar

För att komma igång behöver du följande:

  • En Azure AD-prenumeration. Om du inte har någon prenumeration kan du skaffa ett kostnadsfritt konto.
  • SAP NetWeaver-prenumeration med enkel inloggning (SSO).
  • SAP NetWeaver V7.20 krävs minst

Scenariobeskrivning

  • SAP NetWeaver stöder både SAML (SP-initierad enkel inloggning) och OAuth. I den här självstudien konfigurerar och testar du enkel inloggning med Azure AD i en testmiljö.

Anteckning

Identifierare för det här programmet är ett fast strängvärde så att endast en instans kan konfigureras i en klientorganisation.

Anteckning

Konfigurera programmet antingen i SAML eller i OAuth enligt organisationens krav.

Om du vill konfigurera integreringen av SAP NetWeaver i Azure Active Directory måste du lägga till SAP NetWeaver från galleriet till din lista över hanterade SaaS-appar.

  1. Logga in på Azure Portal med ett arbets- eller skolkonto eller en personlig Microsoft-konto.
  2. I det vänstra navigeringsfönstret väljer du Azure Active Directory tjänst.
  3. Gå till Företagsprogram och välj sedan Alla program.
  4. Om du vill lägga till ett nytt program väljer du Nytt program.
  5. I avsnittet Lägg till från galleriet skriver du SAP NetWeaver i sökrutan.
  6. Välj SAP NetWeaver i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Konfigurera och testa enkel inloggning med Azure AD för SAP NetWeaver

Konfigurera och testa enkel inloggning i Azure AD med SAP NetWeaver med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Azure AD-användare och den relaterade användaren i SAP NetWeaver.

Utför följande steg för att konfigurera och testa enkel inloggning i Azure AD med SAP NetWeaver:

  1. Konfigurera enkel inloggning med Azure AD så att användarna kan använda den här funktionen.
    1. Skapa en Azure AD-testanvändare för att testa enkel inloggning med Azure AD med B.Simon.
    2. Tilldela Azure AD-testanvändaren så att B.Simon kan använda enkel inloggning med Azure AD.
  2. Konfigurera SAP NetWeaver med SAML för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa SAP NetWeaver-testanvändare för att ha en motsvarighet för B.Simon i SAP NetWeaver som är länkad till Azure AD-representationen av användaren.
  3. Testa enkel inloggning för att kontrollera om konfigurationen fungerar.
  4. Konfigurera SAP NetWeaver för OAuth för att konfigurera OAuth-inställningarna på programsidan.

Konfigurera Azure AD SSO

I det här avsnittet aktiverar du enkel inloggning med Azure AD i Azure-portalen.

Konfigurera enkel inloggning i Azure Active Directory med SAP NetWeaver genom att göra följande:

  1. Öppna ett nytt webbläsarfönster och logga in på sap NetWeaver-företagswebbplatsen som administratör

  2. Se till att tjänsterna http och https är aktiva och att lämpliga portar tilldelas i transaktionskoden SMICM.

  3. Logga in på sap-systemets företagsklient (T01), där enkel inloggning krävs och aktivera HANTERING av HTTP-säkerhetssessioner.

    a. Gå till transaktionskod SICF_SESSIONS. Den visar alla relevanta profilparametrar med aktuella värden. De ser ut så här:-

    login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0 
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

    Anteckning

    Justera parametrarna ovan enligt organisationens krav. Parametrarna ovan anges här endast som indikation.

    b. Om det behövs justerar du parametrarna i instansen/standardprofilen för SAP-systemet och startar om SAP-systemet.

    c. Dubbelklicka på relevant klient för att aktivera HTTP-säkerhetssession.

    HTTP-säkerhetssessionen

    d. Aktivera nedan SICF-tjänsterna nedan:

    /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Gå till transaktionskod SAML2 i SAP-systemets företagsklient [T01/122]. Ett användargränssnitt öppnas i en webbläsare. I det här exemplet antog vi att SAP-företagsklienten är 122.

    Transaktionskod

  5. Ange ditt användarnamn och lösenord som ska anges i användargränssnittet och klicka på Redigera.

    användarnamn och lösenord

  6. Ersätt providernamn från T01122 till http://T01122 och klicka på Spara.

    Anteckning

    Som standard är providernamnet ett format, men Azure AD förväntar sig namn i formatet , vilket rekommenderar att du underhåller providernamnet så att flera <sid><client> <protocol>://<name> SAP https://<sid><client> NetWeaver-ABAP-motorer kan konfigureras i Azure AD.

    Flera SAP NetWeaver-ABAP motorer

  7. Generera metadata för tjänstleverantör: – När vi är klara med att konfigurera inställningarna för den lokala leverantören och betrodda leverantörer i användargränssnittet för SAML 2.0 är nästa steg att generera tjänstleverantörens metadatafil (som innehåller alla inställningar, när det gäller autentisering och andra konfigurationer i SAP). När den här filen har genererats måste vi ladda upp den i Azure AD.

    Generera tjänstleverantörsmetadata

    a. Gå till fliken Local Provider (Lokal provider).

    b. Klicka på Metadata.

    c. Spara den genererade METADATA-XML-filen på datorn och ladda upp den i avsnittet Grundläggande SAML-konfiguration för att fylla i värdena identifierare och svars-URL automatiskt i Azure Portal.

Följ dessa steg för att aktivera enkel inloggning med Azure AD i Azure Portal.

  1. I Azure Portal du avsnittet Hantera på sidan för SAP NetWeaver-programintegrering och väljer Enkel inloggning.

  2. På sidan Välj en metod för enkel inloggning väljer du SAML.

  3. På sidan Konfigurera enkel Sign-On med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  4. I avsnittet Grundläggande SAML-konfiguration utför du följande steg om du vill konfigurera programmet i IDP-initierat läge:

    a. Klicka Upload metadatafil för att ladda upp tjänstleverantörens metadatafil, som du har fått tidigare.

    b. Klicka på mappikonen för att välja metadatafilen och klicka på Ladda upp.

    c. När metadatafilen har laddats upp fylls värdena för Identifierare och Svars-URL i automatiskt i textrutan i avsnittet Grundläggande SAML-konfiguration enligt följande:

    d. I textrutan Inloggnings-URL skriver du en URL med följande mönster: https://<your company instance of SAP NetWeaver>

    Anteckning

    Vi har fått rapporter från några kunder om ett fel med felaktig svars-URL som har konfigurerats för deras instans. Om du får ett sådant fel kan du använda följande PowerShell-skript som en tillfällig åtgärd för att ange rätt svars-URL för din instans:

    Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"

    ServicePrincipal Object ID ska anges av dig först, eller så kan du skicka det också här.

  5. SAP NetWeaver-programmet förväntar sig SAML-försäkran i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. I följande skärmbild visas listan över standardattribut. Klicka på ikonen Redigera för att öppna dialogrutan Användarattribut.

    redigera attribue

  6. I avsnittet Användaranspråk i dialogrutan Användarattribut konfigurerar du SAML-tokenattributet på det sätt som visas i bilden ovan och utför följande steg:

    a. Öppna dialogrutan Hantera användaranspråk genom att klicka på redigeringsikonen.

    redigeringsikonen

    image

    b. Välj ExtractMailPrefix() i listan Transformering.

    c. I listan Parameter 1 väljer du user.userprincipalname.

    d. Klicka på Spara.

  7. På sidan Konfigurera enkel inloggning Sign-On med SAML går du till avsnittet SAML-signeringscertifikat, hittar XML för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

    Länk för nedladdning av certifikatet

  8. I avsnittet Konfigurera SAP NetWeaver kopierar du lämpliga URL:er baserat på dina behov.

    Kopiera konfigurations-URL:er

Skapa en Azure AD-testanvändare

I det här avsnittet skapar du en testanvändare i Azure Portal med namnet B.Simon.

  1. I det vänstra fönstret i Azure Portal väljer du Azure Active Directory, väljer Användare och sedan Alla användare.
  2. Välj Ny användare överst på skärmen.
  3. Följ dessa steg i Användaregenskaper:
    1. I Namn-fältet skriver du B.Simon.
    2. I fältet Användarnamn anger du username@companydomain.extension . Till exempel B.Simon@contoso.com.
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Klicka på Skapa.

Tilldela Azure AD-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning med Azure genom att ge åtkomst till SAP NetWeaver.

  1. I Azure Portal väljer du Företagsprogram och sedan Alla program.
  2. I listan över program väljer du SAP NetWeaver.
  3. På appens översiktssida hittar du avsnittet Hantera och väljer Användare och grupper.
  4. Välj Lägg till användare och sedan Användare och grupper i dialogrutan Lägg till tilldelning.
  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll. Om ingen roll har ställts in för den här appen visas rollen "Standardåtkomst".
  6. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera SAP NetWeaver med SAML

  1. Logga in på SAP-systemet och gå till transaktionskoden SAML2. Ett nytt webbläsarfönster öppnas med en skärm för konfiguration av SAML.

  2. För att konfigurera slutpunkter för betrodda identitetsproviders (Azure AD) går du till fliken Trusted Providers (Betrodda providers).

    Konfigurera enkla Sign-On betrodda providers

  3. Tryck på Lägg till och välj Ladda upp metadatafil på snabbmenyn.

    Konfigurera enkel Sign-On 2

  4. Ladda upp metadatafilen som du har laddat ned från Azure-portalen.

    Konfigurera enkel Sign-On 3

  5. Ange aliasnamnet på nästa skärm, Till exempel aadsts och tryck på Nästa för att fortsätta.

    Konfigurera enkel Sign-On 4

  6. Se till att din sammandragsalgoritm ska vara SHA-256 och att den inte kräver några ändringar och tryck på Nästa.

    Konfigurera enkel Sign-On 5

  7. Single Sign-On Endpoints (Slutpunkter för enkel inloggning) använder du HTTP POST och klickar på Nästa för att fortsätta.

    Konfigurera enkel Sign-On 6

  8. Single Logout Endpoints (Slutpunkter för enkel utloggning) använder du HTTP POST och klickar på Nästa för att fortsätta.

    Konfigurera enkel Sign-On 7

  9. Artifact Endpoints (Slutpunkter för artefakter) trycker du på Nästa för att fortsätta.

    Konfigurera enkel Sign-On 8

  10. Vid Autentiseringskrav klickar du på Slutför.

    Konfigurera enkel Sign-On 9

  11. Gå till fliken Betrodd > provideridentitetsfederation (längst ned på skärmen). Klicka på Redigera.

    Konfigurera enkel Sign-On 10

  12. Klicka på Lägg till under fliken Identitetsfederation (det nedre fönstret).

    Konfigurera enkel Sign-On 11

  13. I popup-fönstret väljer du Ospecificerad från NameID-format som stöds och klickar på OK.

    Konfigurera enkel Sign-On 12

  14. Ange värdet för User ID Source (Källa för användar-ID) som Assertion Attribute (Kontrollattribut) och User ID mapping mode (Mappningsläge för användar-ID) som Email (E-post) och Assertion Attribute Name (Namn på kontrollattribut) som http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name .

    Konfigurera enkel inloggning

  15. Observera att värdena för Mappningsläge för användar-ID och Källa för användar-ID avgör länken mellan SAP-användare och Azure AD-anspråk.

    Scenario: Användarmappning för SAP-användare till Azure AD.

    a. Skärmbild med NameID-information från SAP.

    Konfigurera enkel Sign-On 13

    b. Skärmbild som nämner nödvändiga anspråk från Azure AD.

    Konfigurera enkel Sign-On 14

    Scenario: Välj SAP-användar-ID baserat på konfigurerad e-postadress i SU01. I det här fallet ska e-post-ID konfigureras i su01 för varje användare som behöver enkel inloggning.

    a. Skärmbild med NameID-information från SAP.

    Konfigurera enkel Sign-On 15

    b. skärmbild som nämner nödvändiga anspråk från Azure AD.

    Konfigurera enkel Sign-On 16

  16. Klicka på Spara och klicka sedan på Aktivera för att aktivera identitetsprovider.

    Konfigurera enkel Sign-On 17

  17. Klicka på OK när du uppmanas till detta.

    Konfigurera enkel Sign-On 18

    Skapa SAP NetWeaver-testanvändare

    I det här avsnittet skapar du en användare med namnet B.simon i SAP NetWeaver. Arbeta med ditt interna SAP-expertteam eller med din organisations SAP-partner för att lägga till användare i SAP NetWeaver-plattformen.

Testa enkel inloggning

  1. När identitetsprovidern Azure AD aktiverades försöker du öppna nedanstående URL för att kontrollera SSO (det kommer ingen uppmaning för användarnamn och lösenord)

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    (eller) använd webbadressen nedan

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    Anteckning

    Ersätt sapurl med själva SAP-värdnamnet.

  2. Webbadressen ovan bör ta dig under den nämnda skärmen. Om du kan komma till sidan nedan är Azure AD SSO-installationen klar.

    test Single Sign-On

  3. Om du ser en uppmaning för användarnamn och lösenord ska du diagnostisera problemet genom att aktivera spårning med hjälp av nedanstående URL

    https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Konfigurera SAP NetWeaver för OAuth

  1. DEN SAP-dokumenterade processen är tillgänglig på platsen: NetWeaver Gateway Service Enabling (Aktivera) och OAuth 2.0 Scope Creation (Omfångsskapande för OAuth 2.0)

  2. Gå till SPRO och leta upp Aktivera och underhåll tjänster.

    Aktivera och underhålla tjänster

  3. I det här exemplet vill vi ansluta OData-tjänsten: DAAG_MNGGRP med OAuth till Azure AD SSO. Använd den tekniska tjänstens namnsökning efter tjänsten och aktivera den om den ännu inte är aktiv, redan DAAG_MNGGRP (sök green efter status under fliken ICF nodes (ICF-noder). Kontrollera om systemaliaset (det anslutna backend-systemet, där tjänsten faktiskt körs) är korrekt.

    OData-tjänst

    • Klicka sedan på pushbutton OAuth i det övre knappfältet och tilldela scope (behåll standardnamnet som det erbjuds).

  4. I vårt exempel är DAAG_MNGGRP_001 omfånget , det genereras från tjänstnamnet genom att automatiskt lägga till ett tal. Rapporten /IWFND/R_OAUTH_SCOPES kan användas för att ändra namnet på omfånget eller skapa manuellt.

    Konfigurera OAuth

    Anteckning

    Meddelande soft state status is not supported – kan ignoreras eftersom det inte finns några problem. Mer information finns här.

Skapa en tjänstanvändare för OAuth 2.0-klienten

  1. OAuth2 använder en service ID för att hämta åtkomsttoken för slutanvändaren för dess räkning. Viktig begränsning av OAuth-design: måste vara identisk med OAuth 2.0 Client ID OAuth 2.0-klienten använder för inloggning när en username åtkomsttoken begärs. Därför ska vi i vårt exempel registrera en OAuth 2.0-klient med namnet CLIENT1, och som en förutsättning måste en användare med samma namn (CLIENT1) finnas i SAP-systemet och den användaren som vi ska konfigurera för att användas av det refererade programmet.

  2. När du registrerar en OAuth-klient använder vi SAML Bearer Grant type .

    Anteckning

    Mer information finns i OAuth 2.0 Client Registration (OAuth 2.0-klientregistrering) för SAML Bearer Grant Type (Beviljandetyp för SAML-bearer) här.

  3. tcod: SU01 / skapa användare CLIENT1 som och tilldela lösenord, spara den som behöver ange autentiseringsuppgifter till API-programmeraren, som ska använda användarnamnet till den anropande System type koden. Ingen profil eller roll ska tilldelas.

Registrera det nya OAuth 2.0-klient-ID:t med skapandeguiden

  1. Om du vill registrera en ny OAuth 2.0-klient startar du transaktionen SOAUTH2. Transaktionen visar en översikt över de OAuth 2.0-klienter som redan har registrerats. Välj Skapa för att starta guiden för den nya OAuth-klienten med namnet CLIENT1 i det här exemplet.

  2. Gå till T-Code: SOAUTH2, ange beskrivningen och klicka sedan på Nästa.

    SOAUTH2

    OAuth 2.0-klient-ID

  3. Välj den SAML2 IdP – Azure AD som redan har lagts till i listrutan och spara.

    SAML2 IdP – Azure AD 1

    SAML2 IdP – Azure AD 2

    SAML2 IdP – Azure AD 3

  4. Klicka på Lägg till under omfångstilldelning för att lägga till det tidigare skapade omfånget: DAAG_MNGGRP_001

    Omfång

    omfångstilldelning

  5. Klicka på Slutför.

Nästa steg

När du har konfigurerat Azure AD SAP NetWeaver kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltrering av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för Cloud Apps.