öğretici: SAP Fiori ile çoklu oturum açma (SSO) tümleştirmesi Azure Active Directory

  • Makale
  • Okumak için 7 dakika

Bu öğreticide SAP Fiori 'ı Azure Active Directory (Azure AD) ile tümleştirmeyi öğreneceksiniz. SAP Fiori 'i Azure AD ile tümleştirdiğinizde şunları yapabilirsiniz:

  • Azure AD 'de SAP Fiori 'e erişimi olan denetim.
  • Kullanıcılarınızın Azure AD hesaplarıyla SAP Fiori 'ta otomatik olarak oturum açmalarına olanak sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin-Azure portal.

Önkoşullar

Başlamak için aşağıdaki öğeler gereklidir:

  • Bir Azure AD aboneliği. Aboneliğiniz yoksa ücretsiz bir hesapalabilirsiniz.
  • SAP Fiori çoklu oturum açma (SSO) etkin aboneliği.

Senaryo açıklaması

Bu öğreticide, Azure AD SSO 'yu bir test ortamında yapılandırıp test edersiniz.

  • SAP Fiori, SP tarafından başlatılan SSO 'yu destekler

Not

SAP Fiori tarafından başlatılan iFrame kimlik doğrulaması için, bir mini kimlik doğrulaması için SAML Authbir parametresinin ıpassive parametresini kullanmanızı öneririz. Ipassive parametresi hakkında daha fazla bilgi IÇIN Azure AD SAML çoklu oturum açma bilgilerine bakın.

SAP Fiori 'ın Azure AD 'ye tümleştirilmesini yapılandırmak için, Gallery 'den yönetilen SaaS uygulamaları listenize SAP Fiori eklemeniz gerekir.

  1. Azure portal iş veya okul hesabı ya da kişisel Microsoft hesabı kullanarak oturum açın.
  2. sol gezinti bölmesinde Azure Active Directory hizmeti ' ni seçin.
  3. Enterprise uygulamalar ' a gidin ve tüm uygulamalar' ı seçin.
  4. Yeni uygulama eklemek için Yeni uygulama' yı seçin.
  5. Galeriden Ekle bölümünde, arama kutusuna SAP Fiori yazın.
  6. Sonuçlar panelinden SAP Fiori ' ı seçin ve ardından uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

SAP Fiori için Azure AD SSO 'yu yapılandırma ve test etme

B. Simon adlı bir test KULLANıCıSı kullanarak SAP Fiori Ile Azure AD SSO 'yu yapılandırın ve test edin. SSO 'nun çalışması için, SAP Fiori 'deki bir Azure AD kullanıcısı ve ilgili Kullanıcı arasında bir bağlantı ilişkisi oluşturmanız gerekir.

Azure AD SSO 'yu SAP Fiori ile yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Azure AD SSO 'Yu yapılandırın -kullanıcılarınızın bu özelliği kullanmasını sağlamak için.
    1. Azure AD test kullanıcısı oluşturun -B. Simon Ile Azure AD çoklu oturum açma sınamasını test edin.
    2. Azure AD Test kullanıcısına atama -Azure AD çoklu oturum açma özelliğini kullanmak için B. Simon 'u etkinleştirmek için.
  2. SAP FIORI SSO 'Yu yapılandırma -uygulama tarafında çoklu oturum açma ayarlarını yapılandırmak için.
    1. SAP Fiori test kullanıcısı oluşturun -bu, kullanıcının Azure AD gösterimine bağlı olan SAP Fiori 'de B. Simon 'a karşılık gelen bir.
  3. Test SSO -yapılandırmanın çalışıp çalışmadığını doğrulamak için.

Azure AD SSO’yu yapılandırma

Azure portal Azure AD SSO 'yu etkinleştirmek için bu adımları izleyin.

  1. Yeni bir Web tarayıcısı penceresi açın ve SAP Fiori şirket sitenizde yönetici olarak oturum açın.

  2. Http ve https hizmetlerinin etkin olduğundan ve Ilgili bağlantı noktalarının smicm işlem koduna atandığından emin olun.

  3. SAP System T01 Için SAP Business Client 'da oturum açın; çoklu oturum açma gereklidir. Ardından, HTTP güvenlik oturumu yönetimini etkinleştirin.

    1. İşlem kodu SICF_SESSIONS git. Geçerli değerlere sahip tüm ilgili profil parametreleri gösteriliyor. Aşağıdaki örneğe benzer şekilde görünür:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Not

      Parametreleri kuruluşunuzun gereksinimlerine göre ayarlayın. Yukarıdaki parametreler yalnızca örnek olarak verilmiştir.

    2. Gerekirse, SAP sisteminin örnek (varsayılan) profilinde parametreleri ayarlayın ve SAP sistemini yeniden başlatın.

    3. Bir HTTP güvenlik oturumunu etkinleştirmek için ilgili istemciye çift tıklayın.

      SAP 'deki Ilgili profil parametrelerinin geçerli değerleri sayfası

    4. Aşağıdaki SıCF hizmetlerini etkinleştirin:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. SAP System [T01/122.368] iş istemcisinde Transaction Code SAML2 sayfasına gidin. Yapılandırma Kullanıcı arabirimi yeni bir tarayıcı penceresinde açılır. Bu örnekte, SAP System 122 için Iş Istemcisini kullanırız.

    SAP Fiori Iş Istemcisi oturum açma sayfası

  5. Kullanıcı adınızı ve parolanızı girip oturum aç' ı seçin.

    SAP 'de ABAP System T01/122.368 sayfasının SAML 2,0 yapılandırması

  6. Sağlayıcı adı kutusunda T01122 değerini http: / /t01122 ile değiştirin ve ardından Kaydet' i seçin.

    Not

    Varsayılan olarak, sağlayıcı adı biçimindedir <sid> <client> . Azure AD,://biçiminde ad bekliyor <protocol> <name> . : // <sid> <client> Azure AD 'de birden çok SAP Fiori ABAP altyapısını yapılandırabilmek için sağlayıcı adını https olarak tutmanızı öneririz.

    SAP 'de ABAP System T01/122.368 sayfasının SAML 2,0 yapılandırmasındaki güncelleştirilmiş sağlayıcı adı

  7. Yerel sağlayıcı sekmesi > meta verileri' ni seçin.

  8. SAML 2,0 meta verileri iletişim kutusunda, oluşturulan meta veri xml dosyasını indirin ve bilgisayarınıza kaydedin.

    SAP SAML 2,0 meta verileri iletişim kutusunda meta verileri Indir bağlantısı

  9. Azure portal, SAP Fiori uygulama tümleştirmesi sayfasında, Yönet bölümünü bulun ve Çoklu oturum açma' yı seçin.

  10. Çoklu oturum açma yöntemi seçin sayfasında SAML' yi seçin.

  11. SAML ile çoklu oturum açmayı ayarlama sayfasında, ayarları düzenlemek IÇIN temel SAML yapılandırması kalem simgesine tıklayın.

    Temel SAML yapılandırmasını düzenle

  12. Temel SAML yapılandırması bölümünde, hizmet sağlayıcısı meta verileri dosyanız varsa, aşağıdaki adımları uygulayın:

    1. Upload meta veri dosyası' na tıklayın.

      Upload meta veri dosyası

    2. Meta veri dosyasını seçmek için klasör logosu ' na tıklayın ve upload' ye tıklayın.

      meta veri dosyası seçin

    3. Meta veri dosyası başarıyla karşıya yüklendiğinde, tanımlayıcı ve yanıt URL 'SI değerleri temel SAML yapılandırması bölmesine otomatik olarak doldurulur. Oturum açma URL 'si kutusunda, aşağıdaki düzene sahıp bir URL girin: https://<your company instance of SAP Fiori> .

      Not

      Bazı müşteriler yanlış yapılandırılmış yanıt URL değerleriyle ilgili hataları raporlar. Bu hatayı görürseniz, örneğiniz için doğru yanıt URL 'sini ayarlamak için aşağıdaki PowerShell betiğini kullanabilirsiniz:

      Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"

      ServicePrincipalKomut dosyasını çalıştırmadan önce nesne kimliğini kendiniz ayarlayabilir veya buraya geçirebilirsiniz.

  13. SAP Fiori uygulaması, SAML onayları 'nin belirli bir biçimde olmasını bekler. Bu uygulama için aşağıdaki talepleri yapılandırın. Bu öznitelik değerlerini yönetmek için, SAML Ile tek Sign-On ayarla bölmesinde Düzenle' yi seçin.

    Kullanıcı öznitelikleri bölmesi

  14. Kullanıcı öznitelikleri & talepler BÖLMESINDE, SAML belirteci özniteliklerini önceki görüntüde gösterildiği gibi yapılandırın. Ardından, aşağıdaki adımları izleyin:

    1. Kullanıcı taleplerini Yönet bölmesini açmak için Düzenle ' yi seçin.

    2. Dönüştürme listesinde Extractmailprefix () öğesini seçin.

    3. Parametre 1 listesinde User. UserPrincipalName' i seçin.

    4. Kaydet’i seçin.

      Kullanıcı taleplerini Yönet bölmesi

      Kullanıcı taleplerini Yönet bölmesindeki dönüştürme bölümü

  15. SAML ile çoklu oturum açmayı ayarlama sayfasında, SAML imzalama sertifikası bölümünde, Federasyon meta verileri XML 'i bulun ve sertifikayı indirip bilgisayarınıza kaydetmek için İndir ' i seçin.

    Sertifika indirme bağlantısı

  16. SAP Fiori ayarla bölümünde, gereksiniminize göre uygun URL 'leri kopyalayın.

    Yapılandırma URL 'Lerini Kopyala

Azure AD test kullanıcısı oluşturma

Bu bölümde, B. Simon adlı Azure portal bir test kullanıcısı oluşturacaksınız.

  1. Azure portal sol bölmeden Azure Active Directory' i seçin, kullanıcılar' ı seçin ve ardından tüm kullanıcılar' ı seçin.
  2. Ekranın üst kısmındaki Yeni Kullanıcı ' yı seçin.
  3. Kullanıcı özellikleri ' nde şu adımları izleyin:
    1. Ad alanına B.Simon girin.
    2. Kullanıcı adı alanına, girin username@companydomain.extension . Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından parola kutusunda görüntülenen değeri yazın.
    4. Oluştur’a tıklayın.

Azure AD test kullanıcısını atama

Bu bölümde, SAP Fiori 'e erişim vererek Azure çoklu oturum açma özelliğini kullanmak için B. Simon 'u etkinleştireceksiniz.

  1. Azure portal Enterprise uygulamalar' ı seçin ve ardından tüm uygulamalar' ı seçin.
  2. Uygulamalar listesinde SAP Fiori' ı seçin.
  3. Uygulamanın genel bakış sayfasında Yönet bölümünü bulun ve Kullanıcılar ve gruplar' ı seçin.
  4. Kullanıcı Ekle' yi seçin, sonra atama Ekle iletişim kutusunda Kullanıcılar ve gruplar ' ı seçin.
  5. Kullanıcılar ve gruplar iletişim kutusunda, kullanıcılar listesinden B. Simon ' ı seçin ve ardından ekranın alt kısmındaki Seç düğmesine tıklayın.
  6. Kullanıcılara bir rolün atanmasını bekliyorsanız, Rol Seç açılır listesinden bunu seçebilirsiniz. Bu uygulama için ayarlanmış bir rol yoksa, "varsayılan erişim" rolü seçili olduğunu görürsünüz.
  7. Atama Ekle Iletişim kutusunda ata düğmesine tıklayın.

SAP Fiori SSO 'yu yapılandırma

  1. SAP sisteminde oturum açın ve işlem kodu SAML2' e gidin. SAML yapılandırma sayfası ile yeni bir tarayıcı penceresi açılır.

  2. Güvenilir bir kimlik sağlayıcısı (Azure AD) için uç noktaları yapılandırmak üzere, güvenilir sağlayıcılar sekmesini seçin.

    SAP 'deki güvenilir sağlayıcılar sekmesi

  3. ekle' yi seçin ve bağlam menüsünden Upload meta veri dosyası ' nı seçin.

    SAP 'de veri ekleme ve Upload meta veri dosyası seçenekleri

  4. Azure portal indirdiğiniz meta veri dosyasını Upload. İleri’yi seçin.

    SAP 'ye yüklenecek meta veri dosyasını seçin

  5. Sonraki sayfada, diğer ad kutusuna diğer adı girin. Örneğin, aadsts. İleri’yi seçin.

    SAP 'deki diğer ad kutusu

  6. Özet algoritması kutusundaki değerin SHA-256 olduğundan emin olun. İleri’yi seçin.

    SAP 'de Özet algoritması değerini doğrulama

  7. Tek Sign-On uç noktaları altında http post' ı seçin ve ardından İleri' yi seçin.

    SAP 'de tek Sign-On uç noktası seçenekleri

  8. Çoklu oturum kapatma uç noktaları altında http yeniden yönlendirme' yi seçin ve İleri' yi seçin.

    SAP 'de çoklu oturum kapatma uç noktaları seçenekleri

  9. Yapıt uç noktaları altında devam etmek için İleri ' yi seçin.

    SAP 'de yapıt uç noktaları seçenekleri

  10. Kimlik doğrulama gereksinimleri altında son' u seçin.

    SAP 'de kimlik doğrulama gereksinimleri seçenekleri ve son seçeneği

  11. Güvenilen sağlayıcı > kimliği Federasyonu (sayfanın alt kısmında) seçeneğini belirleyin. Düzenle'yi seçin.

    SAP 'deki güvenilen sağlayıcı ve Kimlik Federasyonu sekmeleri

  12. Add (Ekle) seçeneğini belirleyin.

    Kimlik Federasyonu sekmesindeki Ekle seçeneği

  13. Desteklenen NameID biçimleri Iletişim kutusunda belirtilmemiş' i seçin. Tamam’ı seçin.

    Desteklenen NameID biçimleri iletişim kutusu ve SAP 'de seçenekler

    Kullanıcı kimliği kaynağı ve Kullanıcı kimliği eşleme modu değerleri, SAP kullanıcısı ve Azure AD talebi arasındaki bağlantıyı belirlenir.

    Senaryo 1: SAP KULLANıCıSıNıN Azure AD kullanıcı eşlemesi

    1. SAP 'de, NameID biçimi "belirtilmemiş" bölümünde Ayrıntılar:

      A P 'deki ' NameID biçimi "belirtilmemiş" ' iletişim kutusunun ' ayrıntılarını gösteren ekran görüntüsü.

    2. Azure portal, Kullanıcı öznitelikleri & talepler altında, Azure AD 'den gerekli talepleri aklınızda edin.

      "Kullanıcı öznitelikleri & talepleri" iletişim kutusunu gösteren ekran görüntüsü.

    2. senaryo: SU01 ' de yapılandırılan e-posta adresine bağlı olarak SAP Kullanıcı kimliğini seçin. Bu durumda, SSO gerektiren her kullanıcı için e-posta KIMLIĞI SU01 ' de yapılandırılmalıdır.

    1. SAP 'de, NameID biçimi "belirtilmemiş" bölümünde Ayrıntılar:

      SAP 'de NameID biçimi "belirtilmemiş" iletişim kutusunun ayrıntıları

    2. Azure portal, Kullanıcı öznitelikleri & talepler altında, Azure AD 'den gerekli talepleri aklınızda edin.

      Azure portal Kullanıcı öznitelikleri ve talepler iletişim kutusu

  14. Kaydet' i seçin ve ardından kimlik sağlayıcısını etkinleştirmek için Etkinleştir ' i seçin.

    SAP 'de kaydetme ve etkinleştirme seçenekleri

  15. İstendiğinde Tamam ' ı seçin.

    SAP 'de SAML 2,0 yapılandırma iletişim kutusunda Tamam seçeneği

SAP Fiori test kullanıcısı oluşturma

Bu bölümde SAP Fiori 'da Britta Simon adlı bir Kullanıcı oluşturacaksınız. SAP Fiori platformunda Kullanıcı eklemek için şirket içi SAP uzmanlarınız veya kuruluşunuzun SAP iş ortağı ile çalışın.

Test SSO 'SU

  1. SAP Fiori ' de kimlik sağlayıcısı Azure AD etkinleştirildikten sonra, çoklu oturum açmayı test etmek için aşağıdaki URL 'Lerden birine erişmeyi deneyin (Kullanıcı adı ve parola istenmez):

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Not

    <sap-url>Gerçek SAP ana bilgisayar adıyla değiştirin.

  2. Test URL 'SI sizi SAP 'deki aşağıdaki test uygulaması sayfasına götürebilmelidir. Sayfa açılırsa Azure AD çoklu oturum açma başarıyla ayarlanır.

    SAP 'deki standart test uygulaması sayfası

  3. Kullanıcı adı ve parola istenirse, sorunu tanılamaya yardımcı olması için izlemeyi etkinleştirin. İzleme için aşağıdaki URL 'YI kullanın:

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Sonraki adımlar

SAP Fiori 'ı yapılandırdıktan sonra, kuruluşunuzun hassas verilerinin gerçek zamanlı olarak ayıklanmasını ve zaman korumasını koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi koşullu erişimden genişletiliyor. Bulut uygulamaları Için Microsoft Defender ile oturum denetimini nasıl zorlayacağınızı öğrenin.