Share via

Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med SAP NetWeaver

  • Artikel

I den här självstudien lär du dig att integrera SAP NetWeaver med Microsoft Entra-ID. När du integrerar SAP NetWeaver med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till SAP NetWeaver.
  • Gör så att dina användare automatiskt loggas in på SAP NetWeaver med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Förutsättningar

För att komma igång behöver du följande:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • SAP NetWeaver-prenumeration med enkel inloggning (SSO) aktiverat.
  • SAP NetWeaver V7.20 krävs minst

Beskrivning av scenario

  • SAP NetWeaver stöder både SAML (SP-initierad enkel inloggning) och OAuth. I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

Kommentar

Identifieraren för det här programmet är ett fast strängvärde så att endast en instans kan konfigureras i en klientorganisation.

Kommentar

Konfigurera programmet antingen i SAML eller i OAuth enligt organisationens krav.

För att konfigurera integreringen av SAP NetWeaver i Microsoft Entra-ID måste du lägga till SAP NetWeaver från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du SAP NetWeaver i sökrutan.
  4. Välj SAP NetWeaver från resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för SAP NetWeaver

Konfigurera och testa Microsoft Entra SSO med SAP NetWeaver med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i SAP NetWeaver.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med SAP NetWeaver:

  1. Konfigurera Enkel inloggning med Microsoft Entra så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare för att testa enkel inloggning med Microsoft Entra med B.Simon.
    2. Tilldela Microsoft Entra-testanvändaren för att göra det möjligt för B.Simon att använda enkel inloggning med Microsoft Entra.
  2. Konfigurera SAP NetWeaver med SAML för att konfigurera SSO-inställningarna på programsidan.
    1. Skapa SAP NetWeaver-testanvändare för att ha en motsvarighet till B.Simon i SAP NetWeaver som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa enkel inloggning för att kontrollera om konfigurationen fungerar.
  4. Konfigurera SAP NetWeaver för OAuth för att konfigurera OAuth-inställningarna på programsidan.

Konfigurera enkel inloggning med Microsoft Entra

I det här avsnittet aktiverar du enkel inloggning med Microsoft Entra.

Utför följande steg för att konfigurera enkel inloggning med Microsoft Entra med SAP NetWeaver:

  1. Öppna ett nytt webbläsarfönster och logga in på din SAP NetWeaver-företagswebbplats som administratör

  2. Se till att tjänsterna http och https är aktiva och att lämpliga portar tilldelas i transaktionskoden SMICM.

  3. Logga in på affärsklienten för SAP System (T01), där enkel inloggning krävs och aktivera HANTERING av HTTP-säkerhetssessioner.

    1. Gå till transaktionskod SICF_SESSIONS. Den visar alla relevanta profilparametrar med aktuella värden. De ser ut så här:-

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0 
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Kommentar

      Justera parametrarna ovan enligt organisationens krav. Parametrarna ovan anges här endast som indikation.

    2. Justera vid behov parametrarna i instansen/standardprofilen för SAP-systemet och starta om SAP-systemet.

    3. Dubbelklicka på relevant klient för att aktivera HTTP-säkerhetssession.

      The HTTP Security session

    4. Aktivera nedan SICF-tjänsterna nedan:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Gå till transaktionskod SAML2 i SAP-systemets företagsklient [T01/122]. Ett användargränssnitt öppnas i en webbläsare. I det här exemplet antog vi att SAP-företagsklienten är 122.

    Transaction code

  5. Ange ditt användarnamn och lösenord som ska anges i användargränssnittet och klicka på Redigera.

    username and password

  6. Ersätt providernamn från T01122 till http://T01122 och klicka på Spara.

    Kommentar

    Som standard kommer providernamnet som <sid><client> format, men Microsoft Entra-ID förväntar sig namn i formatet <protocol>://<name>, och rekommenderar att du behåller providernamnet så https://<sid><client> att flera SAP NetWeaver ABAP-motorer kan konfigureras i Microsoft Entra-ID.

    The multiple SAP NetWeaver ABAP engines

  7. Generera metadata för tjänstleverantör: – När vi är klara med att konfigurera inställningarna för den lokala leverantören och betrodda leverantörer i användargränssnittet för SAML 2.0 är nästa steg att generera tjänstleverantörens metadatafil (som innehåller alla inställningar, när det gäller autentisering och andra konfigurationer i SAP). När den här filen har genererats måste vi ladda upp den i Microsoft Entra-ID.

    Generating Service Provider Metadata

    1. Gå till fliken Local Provider (Lokal provider).

    2. Klicka på Metadata.

    3. Spara den genererade XML-filen för metadata på datorn och ladda upp den i avsnittet Grundläggande SAML-konfiguration för att fylla i värdena för identifierare och svars-URL i Azure-portalen automatiskt.

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till sidan för SAP NetWeaver-programintegrering av Identity>Applications>Enterprise-program>, leta upp avsnittet Hantera och välj Enkel inloggning.

  3. På sidan Välj en metod för enkel inloggning väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Edit Basic SAML Configuration

  5. I avsnittet Grundläggande SAML-konfiguration utför du följande steg om du vill konfigurera programmet i IDP-initierat läge:

    1. Klicka på Ladda upp metadatafil för att ladda upp metadatafilen för tjänstleverantören, som du har fått tidigare.

    2. Klicka på mappikonen för att välja metadatafilen och klicka på Ladda upp.

    3. När metadatafilen har laddats upp fylls värdena för Identifierare och Svars-URL i automatiskt i textrutan i avsnittet Grundläggande SAML-konfiguration enligt följande:

    4. I textrutan Inloggnings-URL skriver du in en URL med följande mönster: https://<your company instance of SAP NetWeaver>

    Kommentar

    Vissa kunder har påträffat ett fel i en felaktig svars-URL som konfigurerats för deras instans. Om du får ett sådant fel använder du dessa PowerShell-kommandon. Uppdatera först svars-URL:erna i programobjektet med svars-URL:en och uppdatera sedan tjänstens huvudnamn. Använd Get-MgServicePrincipal för att hämta ID-värdet för tjänstens huvudnamn.

    $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  6. SAP NetWeaver-programmet förväntar sig SAML-försäkran i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. I följande skärmbild visas listan över standardattribut. Klicka på ikonenRedigera för att öppna dialogrutan Användarattribut.

    edit attribute

  7. I avsnittet Användaranspråk i dialogrutan Användarattribut konfigurerar du SAML-tokenattributet på det sätt som visas i bilden ovan och utför följande steg:

    1. Öppna dialogrutan Hantera användaranspråk genom att klicka på redigeringsikonen.

      edit icon

      image

    2. Välj ExtractMailPrefix() i listan Transformering.

    3. I listan Parameter 1 väljer du user.userprincipalname.

    4. Klicka på Spara.

  8. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och letar upp XML för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

    The Certificate download link

  9. I avsnittet Konfigurera SAP NetWeaver kopierar du lämpliga URL:er baserat på dina behov.

    Copy configuration URLs

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Gå till Identitet>Användare>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till SAP NetWeaver.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>SAP NetWeaver.
  3. På appens översiktssida hittar du avsnittet Hantera och väljer Användare och grupper.
  4. Välj Lägg till användare och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
  6. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera SAP NetWeaver med SAML

  1. Logga in på SAP-systemet och gå till transaktionskoden SAML2. Ett nytt webbläsarfönster öppnas med en skärm för konfiguration av SAML.

  2. Om du vill konfigurera slutpunkter för betrodd identitetsprovider (Microsoft Entra-ID) går du till fliken Betrodda providers .

    Configure Single Sign-On Trusted Providers

  3. Tryck på Lägg till och välj Ladda upp metadatafil på snabbmenyn.

    Configure Single Sign-On 2

  4. Ladda upp metadatafil som du har laddat ned.

    Configure Single Sign-On 3

  5. Ange aliasnamnet på nästa skärm, Till exempel aadsts och tryck på Nästa för att fortsätta.

    Configure Single Sign-On 4

  6. Se till att din sammandragsalgoritm ska vara SHA-256 och att den inte kräver några ändringar och tryck på Nästa.

    Configure Single Sign-On 5

  7. Single Sign-On Endpoints (Slutpunkter för enkel inloggning) använder du HTTP POST och klickar på Nästa för att fortsätta.

    Configure Single Sign-On 6

  8. Single Logout Endpoints (Slutpunkter för enkel utloggning) använder du HTTP POST och klickar på Nästa för att fortsätta.

    Configure Single Sign-On 7

  9. Artifact Endpoints (Slutpunkter för artefakter) trycker du på Nästa för att fortsätta.

    Configure Single Sign-On 8

  10. Vid Autentiseringskrav klickar du på Slutför.

    Configure Single Sign-On 9

  11. Gå till fliken Trusted Provider (Betrodd provider)>Identitetsfederation (längst ned på skärmen). Klicka på Redigera.

    Configure Single Sign-On 10

  12. Klicka på Lägg till under fliken Identitetsfederation (det nedre fönstret).

    Configure Single Sign-On 11

  13. I popup-fönstret väljer du Ospecificerad från nameID-format som stöds och klickar på OK.

    Configure Single Sign-On 12

  14. Ange värdet för användar-ID-källa som kontrollattribut, värdet för mappningsläge för användar-ID som E-post och Kontrollattributnamn som http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    Configure Single Sign-On

  15. Observera att värden för mappningsläge för användar-ID :t källa och användar-ID avgör länken mellan SAP-användare och Microsoft Entra-anspråk.

Scenario: SAP-användare till Microsoft Entra-användarmappning.

  1. Skärmbild med NameID-information från SAP.

    Configure Single Sign-On 13

  2. Skärmbild som nämner obligatoriska anspråk från Microsoft Entra-ID.

    Configure Single Sign-On 14

    Scenario: Välj SAP-användar-ID baserat på konfigurerad e-postadress i SU01. I det här fallet ska e-post-ID konfigureras i su01 för varje användare som behöver enkel inloggning.

    1. Skärmbild med NameID-information från SAP.

      Configure Single Sign-On 15

    2. skärmbild som nämner obligatoriska anspråk från Microsoft Entra-ID.

    Configure Single Sign-On 16

  3. Klicka på Spara och klicka sedan på Aktivera för att aktivera identitetsprovider.

    Configure Single Sign-On 17

  4. Klicka på OK när du uppmanas till detta.

    Configure Single Sign-On 18

Skapa SAP NetWeaver-testanvändare

I det här avsnittet skapar du en användare med namnet B.simon i SAP NetWeaver. Arbeta med ditt interna SAP-expertteam eller med din organisations SAP-partner för att lägga till användare i SAP NetWeaver-plattformen.

Testa enkel inloggning

  1. När identitetsprovidern Microsoft Entra-ID har aktiverats kan du prova att komma åt webbadressen nedan för att kontrollera enkel inloggning (det finns ingen uppmaning om användarnamn och lösenord)

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    (eller) använd webbadressen nedan

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    Kommentar

    Ersätt sapurl med själva SAP-värdnamnet.

  2. Webbadressen ovan bör ta dig under den nämnda skärmen. Om du kan nå upp till sidan nedan är installationen av Enkel inloggning i Microsoft Entra klar.

    test Single Sign-On

  3. Om du ser en uppmaning för användarnamn och lösenord ska du diagnostisera problemet genom att aktivera spårning med hjälp av nedanstående URL

    https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Konfigurera SAP NetWeaver för OAuth

  1. SAP-dokumenterad process är tillgänglig på platsen: NetWeaver Gateway Service Enabling och OAuth 2.0 Scope Creation

  2. Gå till SPRO och leta reda på Aktivera och underhålla tjänster.

    Activate and Maintain services

  3. I det här exemplet vill vi ansluta OData-tjänsten: DAAG_MNGGRP med OAuth till Microsoft Entra SSO. Använd den tekniska tjänstens namnsökning efter tjänsten DAAG_MNGGRP och aktivera om den inte redan är aktiv (leta green efter status under fliken ICF-noder). Kontrollera att systemalias (det anslutna serverdelssystemet, där tjänsten faktiskt körs) är korrekt.

    OData service

    • Klicka sedan på pushbutton OAuth i det övre knappfältet och tilldela scope (behåll standardnamnet som det erbjuds).

  4. I vårt exempel är DAAG_MNGGRP_001omfånget , det genereras från tjänstnamnet genom att automatiskt lägga till ett tal. Rapporten /IWFND/R_OAUTH_SCOPES kan användas för att ändra namnet på omfånget eller skapa manuellt.

    Configure OAuth

    Kommentar

    Meddelande soft state status is not supported – kan ignoreras, eftersom inga problem.

Skapa en tjänstanvändare för OAuth 2.0-klienten

  1. OAuth2 använder en service ID för att hämta åtkomsttoken för slutanvändaren för dess räkning. Viktig begränsning av OAuth-design: OAuth 2.0 Client ID måste vara identisk med username OAuth 2.0-klienten som används för inloggning när du begär en åtkomsttoken. Därför ska vi i vårt exempel registrera en OAuth 2.0-klient med namn CLIENT1, och som en förutsättning måste en användare med samma namn (CLIENT1) finnas i SAP-systemet och den användare som vi konfigurerar för att användas av det refererade programmet.

  2. När du registrerar en OAuth-klient använder SAML Bearer Grant typevi .

    Kommentar

    Mer information finns i OAuth 2.0-klientregistrering för SAML Bearer Grant Type här.

  3. tcod: SU01 / skapa användare CLIENT1 som System type och tilldela lösenord, spara det som behöver ange autentiseringsuppgifterna för API-programmeraren, som ska bränna den med användarnamnet till den anropande koden. Ingen profil eller roll ska tilldelas.

Registrera det nya OAuth 2.0-klient-ID:t med guiden skapa

  1. Registrera en ny OAuth 2.0-klientstarttransaktionSOAUTH2. Transaktionen visar en översikt över de OAuth 2.0-klienter som redan har registrerats. Välj Skapa för att starta guiden för den nya OAuth-klienten med namnet CLIENT1 i det här exemplet.

  2. Gå till T-Code: SOAUTH2 och Ange beskrivningen och klicka sedan på nästa.

    SOAUTH2

    OAuth 2.0 Client ID

  3. Välj det redan tillagda SAML2-ID:t – Microsoft Entra-ID i listrutan och spara.

    SAML2 IdP – Microsoft Entra ID 1

    SAML2 IdP – Microsoft Entra ID 2

    SAML2 IdP – Microsoft Entra ID 3

  4. Klicka på Lägg till under omfångstilldelning för att lägga till det tidigare skapade omfånget: DAAG_MNGGRP_001

    Scope

    scope assignment

  5. Klicka på Slutför.

Nästa steg

När du har konfigurerat Microsoft Entra SAP NetWeaver kan du tillämpa sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorsstyrd åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.