Öğretici: SAP İş Teknolojisi Platformu ile Microsoft Entra SSO tümleştirmesi

  • Makale

Bu öğreticide SAP İş Teknolojisi Platformu'nun Microsoft Entra Id ile tümleştirilmesini öğreneceksiniz. SAP İş Teknolojisi Platform'u Microsoft Entra Id ile tümleştirdiğinizde şunları yapabilirsiniz:

  • SAP İş Teknolojisi Platformu'na kimlerin erişimi olduğunu Microsoft Entra Id'de kontrol edin.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla SAP İş Teknolojisi Platformu'nda otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

Ön koşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

  • Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
  • SAP İş Teknolojisi Platformu çoklu oturum açma (SSO) özellikli abonelik.

Önemli

Çoklu oturum açmayı test etmek için kendi uygulamanızı dağıtmanız veya SAP İş Teknolojisi Platformu hesabınızdaki bir uygulamaya abone olmanız gerekir. Bu öğreticide, hesapta bir uygulama dağıtılır.

Senaryo açıklaması

Bu öğreticide, bir test ortamında Microsoft Entra çoklu oturum açmayı yapılandırıp test edin.

  • SAP İş Teknolojisi Platformu, SP tarafından başlatılan SSO'ları destekler.

SAP İş Teknolojisi Platformu'nun Microsoft Entra ID ile tümleştirilmesini yapılandırmak için galeriden yönetilen SaaS uygulamaları listenize SAP business Technology Platform eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna SAP İş Teknolojisi Platformu yazın.
  4. Sonuçlar panelinden SAP İş Teknolojisi Platformu'na tıklayın ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

SAP İş Teknolojisi Platformu için Microsoft Entra SSO yapılandırma ve test

B.Simon adlı bir test kullanıcısını kullanarak SAP İş Teknolojisi Platformu ile Microsoft Entra SSO'ları yapılandırın ve test edin. SSO'nun çalışması için, SAP İş Teknolojisi Platformu'ndaki bir Microsoft Entra kullanıcısı ile ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

SAP İş Teknolojisi Platformu ile Microsoft Entra SSO'yı yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.
    1. Britta Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. Britta Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
  2. UYGULAMA tarafında Çoklu Oturum Açma ayarlarını yapılandırmak için SAP İş Teknolojisi Platformu SSO'sunu yapılandırın.
    1. SAP İş Teknolojisi Platformu test kullanıcısı oluşturma - KULLANıCıNıN Microsoft Entra gösterimine bağlı SAP business Technology Platform'da Britta Simon'ın bir karşılığına sahip olmak.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP İş Teknolojisi Platformu>Çoklu oturum açma'ya göz atın.

  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  4. SAML ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.

    Edit Basic SAML Configuration

  5. Temel SAML Yapılandırması bölümünde, aşağıdaki alanların değerlerini girin:

    a. Tanımlayıcı metin kutusunda SAP İş Teknolojisi Platformunuzun türüne aşağıdaki desenlerden birini kullanarak bir URL sağlayacaksınız:

    Tanımlayıcı
    https://hanatrial.ondemand.com/<instancename>
    https://hana.ondemand.com/<instancename>
    https://us1.hana.ondemand.com/<instancename>
    https://ap1.hana.ondemand.com/<instancename>

    b. Yanıt URL'si metin kutusuna aşağıdaki desenlerden birini kullanarak bir URL yazın:

    Yanıt URL'si
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>
    https://<subdomain>.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

    c. Oturum Açma URL'si metin kutusuna, SAP İş Teknolojisi Platformu uygulamanızda oturum açmak için kullanıcılarınızın kullandığı URL'yi yazın. Bu, SAP İş Teknolojisi Platformu uygulamanızdaki korumalı bir kaynağın hesaba özgü URL'sidir. URL aşağıdaki deseni temel alır: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

    Dekont

    Bu, SAP İş Teknolojisi Platformu uygulamanızda kullanıcının kimliğini doğrulamasını gerektiren URL'dir.

    Oturum Açma URL'si
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>

    Dekont

    Bu değerler gerçek değildir. Bu değerleri gerçek Tanımlayıcı, Yanıt URL'si ve Oturum açma URL'si ile güncelleştirin. Oturum Açma URL'sini ve Tanımlayıcıyı almak için SAP İş Teknolojisi Platformu İstemcisi destek ekibine başvurun. Öğreticinin ilerleyen bölümlerinde açıklanan güven yönetimi bölümünden alabileceğiniz yanıt URL'si.

  6. SAML ile Çoklu Oturum Açmayı Ayarla sayfasındaki SAML İmzalama Sertifikası bölümünde, gereksinimlerinize göre verilen seçeneklerden Federasyon Meta Verileri XML'sini indirmek ve bilgisayarınıza kaydetmek için İndir'e tıklayın.

    The Certificate download link

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcıları Tüm kullanıcılar'a> göz atın.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur seçeneğini belirleyin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, SAP Business Technology Platform'a erişim vererek B.Simon'un çoklu oturum açmayı kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP İş Teknolojisi Platformu'na göz atın.
  3. Uygulamanın genel bakış sayfasında Kullanıcılar ve gruplar'ı seçin.
  4. Kullanıcı/grup ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ıseçin.
    1. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın.
    2. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
    3. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

SAP İş Teknolojisi Platformu SSO'sını yapılandırma

  1. Farklı bir web tarayıcısı penceresinde sap business technology platform kokpitinde https://account.<landscape host>.ondemand.com/cockpitoturum açın (örneğin: https://account.hanatrial.ondemand.com/cockpit).

  2. Güven sekmesine tıklayın.

    Trust

  3. Güven Yönetimi bölümünde, Yerel Hizmet Sağlayıcısı'nın altında aşağıdaki adımları gerçekleştirin:

    Screenshot that shows the

    a. Düzenle'yi tıklatın.

    b. Yapılandırma Türü olarak Özel'i seçin.

    c. Yerel Sağlayıcı Adı olarak varsayılan değeri bırakın. Bu değeri kopyalayın ve SAP İş Teknolojisi Platformu için Microsoft Entra yapılandırmasındaki Tanımlayıcı alanına yapıştırın.

    d. İmzalama Anahtarı ve İmzalama Sertifikası anahtar çifti oluşturmak için Anahtar Çifti Oluştur'a tıklayın.

    e. Asıl Yayma olarak Devre Dışı'yı seçin.

    f. Kimlik Doğrulamayı Zorla olarak Devre Dışı'yı seçin.

    r. Kaydet'e tıklayın.

  4. Yerel Hizmet Sağlayıcısı ayarlarını kaydettikten sonra Yanıt URL'sini almak için aşağıdakileri yapın:

    Get Metadata

    a. Meta Verileri Al'a tıklayarak SAP İş Teknolojisi Platformu meta veri dosyasını indirin.

    b. İndirilen SAP İş Teknolojisi Platformu meta veri XML dosyasını açın ve ns3:AssertionConsumerService etiketini bulun.

    c. Location özniteliğinin değerini kopyalayın ve sap business technology platform için Microsoft Entra yapılandırmasındaki Yanıt URL'si alanına yapıştırın.

  5. Güvenilen Kimlik Sağlayıcısı sekmesine ve ardından Güvenilen Kimlik Sağlayıcısı Ekle'ye tıklayın.

    Screenshot that shows the

    Dekont

    Güvenilen kimlik sağlayıcıları listesini yönetmek için Yerel Hizmet Sağlayıcısı bölümünde Özel yapılandırma türünü seçmiş olmanız gerekir. Varsayılan yapılandırma türü için, SAP ID Hizmeti'ne düzenlenemez ve örtük bir güvene sahipsinizdir. Hiçbiri için herhangi bir güven ayarına sahip değilsiniz.

  6. İndirilen meta veri dosyasını karşıya yüklemek için Genel sekmesine ve ardından Gözat'a tıklayın.

    Trust Management

    Dekont

    Meta veri dosyası karşıya yüklendikten sonra Çoklu Oturum Açma URL'si, Tek Oturum Kapatma URL'si ve İmzalama Sertifikası değerleri otomatik olarak doldurulur.

  7. Öznitelikler sekmesine tıklayın.

  8. Öznitelikler sekmesinde aşağıdaki adımı gerçekleştirin:

    Attributes

    a. Onay Tabanlı Öznitelik Ekle'ye tıklayın ve aşağıdaki onay tabanlı öznitelikleri ekleyin:

    Assertion Özniteliği Asıl Öznitelik
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname ad
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname soyadı
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress e-posta

    Dekont

    Özniteliklerin yapılandırması, SCP'deki uygulamaların nasıl geliştirildiğine, yani SAML yanıtında hangi özniteliklerin beklediğini ve kodda bu özniteliğe hangi adla (Asıl Öznitelik) eriştiğine bağlıdır.

    b. Ekran görüntüsündeki Varsayılan Öznitelik yalnızca çizim amaçlıdır. Senaryonun çalışması için gerekli değildir.

    c. Ekran görüntüsünde gösterilen Asıl Öznitelik adları ve değerleri, uygulamanın nasıl geliştirildiğinden bağlıdır. Uygulamanızın farklı eşlemeler gerektirmesi mümkündür.

Onay tabanlı gruplar

İsteğe bağlı bir adım olarak, Microsoft Entra kimlik Sağlayıcınız için onay tabanlı gruplar yapılandırabilirsiniz.

SAP İş Teknolojisi Platformu'nda grupları kullanmak, SAML 2.0 onayında öznitelik değerleriyle belirlenen SAP İş Teknolojisi Platformu uygulamalarınızda bir veya daha fazla kullanıcıyı dinamik olarak bir veya daha fazla role atamanızı sağlar.

Örneğin, onay "contract=temporary" özniteliğini içeriyorsa, etkilenen tüm kullanıcıların "GEÇİCİ" grubuna eklenmesini isteyebilirsiniz. "GEÇİCİ" grubu, SAP İş Teknolojisi Platformu hesabınızda dağıtılan bir veya daha fazla uygulamadan bir veya daha fazla rol içerebilir.

SAP İş Teknolojisi Platformu hesabınızdaki uygulamaların bir veya daha fazla rolüne birden çok kullanıcıyı aynı anda atamak istediğinizde onay tabanlı grupları kullanın. Belirli rollere yalnızca tek veya az sayıda kullanıcı atamak istiyorsanız, bunları doğrudan SAP İş Teknolojisi Platformu kokpitinin "Yetkilendirmeler" sekmesinde atamanızı öneririz.

SAP İş Teknolojisi Platformu test kullanıcısı oluşturma

Microsoft Entra kullanıcılarının SAP İş Teknolojisi Platformu'nda oturum açmasını sağlamak için, SAP İş Teknolojisi Platformu'ndaki rolleri onlara atamanız gerekir.

Kullanıcıya rol atamak için aşağıdaki adımları uygulayın:

  1. SAP İş Teknolojisi Platformu kokpitinizde oturum açın.

  2. Aşağıdakileri uygulayın:

    Authorizations

    a. Yetkilendirme'ye tıklayın.

    b. Kullanıcılar sekmesine tıklayın.

    c. Kullanıcı metin kutusuna kullanıcının e-posta adresini yazın.

    d. Kullanıcıyı bir role atamak için Ata'ya tıklayın.

    e. Kaydet'e tıklayın.

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

  • Bu uygulamayı test et'e tıklayın; bu, oturum açma akışını başlatabileceğiniz SAP İş Teknolojisi Platformu Oturum Açma URL'sine yönlendirilir.

  • DOĞRUDAN SAP İş Teknolojisi Platformu Oturum Açma URL'sine gidin ve oturum açma akışını buradan başlatın.

  • Microsoft Uygulamalarım kullanabilirsiniz. Uygulamalarım SAP İş Teknolojisi Platformu kutucuğuna tıkladığınızda, SSO'nun ayarlandığı SAP İş Teknolojisi Platformu'nda otomatik olarak oturum açmanız gerekir. Uygulamalarım hakkında daha fazla bilgi için bkz. Uygulamalarım giriş.

Sonraki adımlar

SAP Business Technology Platform'ı yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.