Öğretici: SAP Cloud Platform ile Azure AD SSO tümleştirmesi

Bu öğreticide, SAP Cloud Platform (Azure AD) ile Azure Active Directory etmeyi öğrenirsiniz. Azure AD ile SAP Cloud Platform zaman şunları sabilirsiniz:

• Azure AD'de erişim izni olan SAP Cloud Platform.
• Kullanıcılarınızı Azure AD hesaplarıyla otomatik olarak SAP Cloud Platform oturum açın.
• Hesaplarınızı tek bir merkezi konumda yönetme : Azure portal.

Önkoşullar

Çalışmaya başlama için aşağıdaki öğelere ihtiyacınız vardır:

• Azure AD aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap edinebilirsiniz.
• SAP Cloud Platform çoklu oturum açma (SSO) özellikli abonelik.

Senaryo açıklaması

Bu öğreticide, Bir test ortamında Azure AD çoklu oturum açma yapılandıracak ve test edersiniz.

• SAP Cloud Platform SP tarafından başlatılan SSO'yi destekler.

Galeriden SAP Cloud Platform ekleme

Azure AD ile SAP Cloud Platform yapılandırmak için galeriden SAP Cloud Platform SaaS uygulamaları listenize veri eklemeniz gerekir.

1. bir iş veya Azure portal hesabı veya kişisel hesap kullanarak Microsoft hesabı.
2. Sol gezinti bölmesinde, Azure Active Directory seçin.
3. Uygulamalar'Enterprise gidin ve Ardından Tüm Uygulamalar'ı seçin.
4. Yeni uygulama eklemek için Yeni uygulama'ya tıklayın.
5. Galeriden ekle bölümünde arama kutusuna SAP Cloud Platform yazın.
6. Sonuçlar SAP Cloud Platform seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

SAP Cloud Platform için Azure AD SSO'SAP Cloud Platform

B.Simon adlı bir test kullanıcısı kullanarak Azure AD SSO SAP Cloud Platform yı yapılandırma ve test edin. SSO'nun çalışması için Azure AD kullanıcısı ile ilgili kullanıcı arasında bir bağlantı ilişkisi SAP Cloud Platform.

Azure AD SSO'SAP Cloud Platform yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

1. Kullanıcılarının bu özelliği kullanmalarını sağlamak için Azure AD SSO'larını yapılandırma.
   1. Britta Simon ile Azure AD çoklu oturum açma test etmek için bir Azure AD test kullanıcısı oluşturun.
   2. Britta Simon'un Azure AD çoklu oturum açmasını kullanmasına olanak sağlamak için Azure AD test kullanıcısını attayın.
2. Uygulama SAP Cloud Platform tek sunucu ayarlarını yapılandırmak için Sign-On SSO'ya tıklayın.
   1. Kullanıcının SAP Cloud Platform Azure AD gösterimine bağlı olan bir SAP Cloud Platform Britta Simon'un bir karşıtını oluşturmak için bir test kullanıcısı oluşturun.
3. Yapılandırmanın çalıştığını doğrulamak için SSO'nun testini kullanın.

Azure AD SSO’yu yapılandırma

Azure AD SSO'nun azure ad SSO'Azure portal.

1. Uygulama Azure portal uygulama tümleştirme SAP Cloud Platform yönet bölümünü bulun ve çoklu oturum açma seçeneğini seçin.

2. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

3. SAML ile çoklu oturum açma ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.

   

4. Temel SAML Yapılandırması bölümünde aşağıdaki alanların değerlerini girin:

   a. Tanımlayıcı metin kutusuna aşağıdaki desenlerden birini SAP Cloud Platform bir URL yazın:

   Tanımlayıcı
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. Yanıt URL'si metin kutusuna aşağıdaki desenlerden birini kullanarak bir URL yazın:

   Yanıt URL'si
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. Oturum Açma URL'si metin kutusuna kullanıcılarınız tarafından uygulama uygulamanıza oturum açması için SAP Cloud Platform yazın. Bu, uygulamanıza yönelik korumalı bir kaynağın hesaba özgü URL'SAP Cloud Platform olur. URL aşağıdaki desene dayalıdır: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Not

   Bu, SAP Cloud Platform kimliğini doğrulamasını gerektiren url'dir.

   Oturum Açma URL'si
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Not

   Bu değerler gerçek değildir. Bu değerleri gerçek Tanımlayıcı, Yanıt URL'si ve Oturum Açma URL'si ile güncelleştirin. URL SAP Cloud Platform tanımlayıcıyı almak için İstemci destek Sign-On ekibiyle iletişime geçin. Öğreticinin ilerleyen kısımlarında açıklanan güven yönetimi bölümünden yanıt URL'sini edinebilirsiniz.

5. SAML ile Tek Sign-On Ayarlama sayfasında, SAML İmzalama Sertifikası bölümünde, Federasyon Meta Verileri XML'ini gereksiniminize göre verilen seçeneklerden indirmek ve bilgisayarınıza kaydetmek için İndir'e tıklayın.

   

Azure AD test kullanıcısı oluşturma

Bu bölümde, B.Simon adlı Azure portal bir test kullanıcısı oluşturabilirsiniz.

1. Bölmenin sol bölmesinden Azure portal'Azure Active Directory, Kullanıcılar'ı ve ardından Tüm kullanıcılar'ı seçin.
2. Ekranın üst kısmında Yeni kullanıcı'ya tıklayın.
3. Kullanıcı özelliklerinde şu adımları izleyin:
   1. Ad alanına B.Simon girin.
   2. Kullanıcı adı alanına username@companydomain.extension girin. Örneğin, B.Simon@contoso.com.
   3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
   4. Oluştur’a tıklayın.

Azure AD test kullanıcısına atama

Bu bölümde B.Simon'un azure çoklu oturum açma özelliğine erişim izni SAP Cloud Platform.

1. Uygulama Azure portal Uygulamalar'Enterprise ve ardından Tüm uygulamalar'ı seçin.
2. Uygulamalar listesinde Uygulama'SAP Cloud Platform.
3. Uygulamanın genel bakış sayfasında Yönet bölümünü bulun ve Kullanıcılar ve gruplar'ı seçin.
4. Kullanıcı ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ı seçin.
5. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'u seçin ve ekranın alt kısmından Seç düğmesine tıklayın.
6. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçin. Bu uygulama için herhangi bir rol ayarlanmasa "Varsayılan Erişim" rolünün seçili olduğunu görüyorsunuz.
7. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

SSO SAP Cloud Platform yapılandırma

1. Farklı bir web tarayıcısı penceresinde, SAP Cloud Platform...'de oturum açın https://account.<landscape host>.ondemand.com/cockpit (örneğin: https://account.hanatrial.ondemand.com/cockpit) .

2. Güven sekmesine tıklayın.

   

3. Güven Yönetimi bölümünde, Yerel Hizmet Sağlayıcısı altında aşağıdaki adımları gerçekleştirin:

   

   a. Düzenle’ye tıklayın.

   b. Yapılandırma Türü olarak Özel'i seçin.

   c. Yerel Sağlayıcı Adı olarak varsayılan değeri bırakın. Bu değeri kopyalayın ve Azure AD yapılandırmasında tanımlayıcı alanına SAP Cloud Platform.

   d. İmzalama Anahtarı ve İmzalama Sertifikası anahtar çifti oluşturmak için Anahtar Çifti Oluştur'a tıklayın.

   e. Sorumlu Yayma olarak Devre Dışı'ı seçin.

   f. Zorlamalı kimlik doğrulaması olarak devre dışı seçeneğini belirleyin.

   örneğin: Kaydet’e tıklayın.

4. Yerel hizmet sağlayıcısı ayarlarını kaydettikten sonra, yanıt URL 'sini almak için aşağıdakileri gerçekleştirin:

   

   a. Meta veri al' a tıklayarak SAP Cloud Platform meta veri dosyasını indirin.

   b. İndirilen SAP Cloud Platform meta veri XML dosyasını açın ve NS3: AssertionConsumerService etiketini bulun.

   c. Location özniteliğinin değerini kopyalayın ve ardından SAP bulut platformu IÇIN Azure AD yapılandırması ' nda yanıt URL 'si alanına yapıştırın.

5. Güvenilen kimlik sağlayıcısı sekmesine tıklayın ve ardından güvenilen kimlik sağlayıcısı ekle' ye tıklayın.

   

   Not

   Güvenilen kimlik sağlayıcılarının listesini yönetmek için, yerel hizmet sağlayıcısı bölümünde özel yapılandırma türünü seçmiş olmanız gerekir. Varsayılan yapılandırma türü için, SAP KIMLIĞI hizmetine düzenlenemeyen ve örtük bir güveniniz vardır. Hiçbiri için herhangi bir güven ayarı yoktur.

6. Genel sekmesine tıklayın ve ardından indirilen meta veri dosyasını karşıya yüklemek için Araştır ' a tıklayın.

   

   Not

   Meta veri dosyasını karşıya yükledikten sonra, Çoklu oturum açma URL 'si, Çoklu oturum kapatma URL 'Si ve imza sertifikası değerleri otomatik olarak doldurulur.

7. Öznitelikler sekmesine tıklayın.

8. Öznitelikler sekmesinde aşağıdaki adımı gerçekleştirin:

   

   a. Assertion-Based öznitelik Ekle' ye tıklayın ve ardından aşağıdaki onaylama tabanlı öznitelikleri ekleyin:

   Assertion özniteliği	Principal özniteliği
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	FirstName
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	Soyadı
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	e-posta

   Not

   Özniteliklerin yapılandırması, SCP 'deki uygulamaların nasıl geliştirildiğini, diğer bir deyişle, SAML yanıtında beklediği öznitelikleri ve bu özniteliğe hangi adın (Principal özniteliği) erişebileceğini bağlıdır.

   b. Ekran görüntüsündeki Varsayılan özniteliği yalnızca çizim amaçlıdır. Senaryonun çalışması için gerekli değildir.

   c. Ekran görüntüsünde gösterilen Principal özniteliği için adlar ve değerler uygulamanın nasıl geliştirildiğine bağlıdır. Uygulamanız farklı eşlemeler gerektiriyor olabilir.

Onaylama tabanlı gruplar

isteğe bağlı bir adım olarak, Azure Active Directory kimlik sağlayıcınız için onaylama tabanlı grupları yapılandırabilirsiniz.

SAP bulut platformunda grupların kullanılması, bir veya daha fazla kullanıcıyı SAP bulut platformu uygulamalarınızdaki bir veya daha fazla rol için dinamik olarak atamanızı, SAML 2,0 onaylama içindeki özniteliklerin değerleriyle tespit etmenizi sağlar.

Örneğin, onaylama "sözleşme = geçici" özniteliğini içeriyorsa, etkilenen tüm kullanıcıların "geçici" grubuna eklenmesini isteyebilirsiniz. "Geçici" Grup, SAP bulut platformu hesabınızda dağıtılan bir veya daha fazla uygulamadan bir veya daha fazla rol içerebilir.

SAP bulut platformu hesabınızdaki bir veya daha fazla uygulama rolüne aynı anda birçok kullanıcı atamak istediğinizde onaylama tabanlı grupları kullanın. Belirli rollere yalnızca tek veya az sayıda kullanıcı atamak istiyorsanız, bunları SAP bulut platformu kokpitinin "yetkilendirmeler" sekmesinde doğrudan atamanız önerilir.

SAP bulut platformu test kullanıcısı oluşturma

Azure AD kullanıcılarının SAP bulut platformunda oturum açmasını sağlamak için, SAP bulut platformunda roller atamanız gerekir.

Bir kullanıcıya bir rol atamak için aşağıdaki adımları uygulayın:

1. SAP Cloud Platform kokpiti ' nda oturum açın.

2. Şunları yapın:

   

   a. Yetkilendirme' ye tıklayın.

   b. Kullanıcılar sekmesine tıklayın.

   c. Kullanıcı metin kutusuna kullanıcının e-posta adresini yazın.

   d. Kullanıcıyı bir role atamak için ata ' ya tıklayın.

   e. Kaydet’e tıklayın.

Test SSO 'SU

Bu bölümde, Azure AD çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edersiniz.

• Azure portal içinde Bu uygulamayı test et ' e tıklayın. Bu, oturum açma akışını başlatabileceğiniz SAP bulut platformu oturum açma URL 'sine yeniden yönlendirilir.

• SAP Cloud Platform oturum açma URL 'sine doğrudan gidin ve oturum akışını buradan başlatın.

• Microsoft My Apps ' i kullanabilirsiniz. Uygulamalarım içindeki SAP Cloud Platform kutucuğuna tıkladığınızda, SSO 'yu ayarladığınız SAP bulut platformunda otomatik olarak oturum açmış olmanız gerekir. Uygulamalarım hakkında daha fazla bilgi için bkz. uygulamalarıma giriş.

Sonraki adımlar

SAP bulut platformunu yapılandırdıktan sonra, kuruluşunuzun hassas verilerinin gerçek zamanlı olarak ayıklanmasını ve zaman korumasını koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi koşullu erişimden genişletiliyor. Bulut uygulamaları Için Microsoft Defender ile oturum denetimini nasıl zorlayacağınızı öğrenin.