öğretici: SAP NetWeaver ile çoklu oturum açma (SSO) tümleştirmesi Azure Active Directory

  • Makale
  • Okumak için 9 dakika

Bu öğreticide SAP NetWeaver 'ı Azure Active Directory (Azure AD) ile tümleştirmeyi öğreneceksiniz. SAP NetWeaver 'i Azure AD ile tümleştirdiğinizde şunları yapabilirsiniz:

  • Azure AD 'de SAP NetWeaver 'e erişimi olan denetim.
  • Kullanıcılarınızın Azure AD hesaplarıyla SAP NetWeaver 'ta otomatik olarak oturum açmalarına olanak sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin-Azure portal.

Önkoşullar

Başlamak için aşağıdaki öğeler gereklidir:

  • Bir Azure AD aboneliği. Aboneliğiniz yoksa ücretsiz bir hesapalabilirsiniz.
  • SAP NetWeaver çoklu oturum açma (SSO) etkin aboneliği.
  • SAP NetWeaver V 7.20 en az gereklidir

Senaryo açıklaması

  • SAP NetWeaver, SAML (SP tarafından başlatılan SSO) ve OAuth'ı destekler. Bu öğreticide, Azure AD SSO 'yu bir test ortamında yapılandırıp test edersiniz.

Not

Bu uygulamanın tanımlayıcısı, tek bir kiracıda yalnızca bir örneğin yapılandırılabilmesini sağlamak için sabit bir dize değeridir.

Not

Uygulamayı, kurumsal gereksiniminize göre SAML ya da OAuth içinde yapılandırın.

SAP NetWeaver 'ın Azure AD 'ye tümleştirilmesini yapılandırmak için, Gallery 'den yönetilen SaaS uygulamaları listenize SAP NetWeaver eklemeniz gerekir.

  1. Azure portal iş veya okul hesabı ya da kişisel Microsoft hesabı kullanarak oturum açın.
  2. sol gezinti bölmesinde Azure Active Directory hizmeti ' ni seçin.
  3. Enterprise uygulamalar ' a gidin ve tüm uygulamalar' ı seçin.
  4. Yeni uygulama eklemek için Yeni uygulama' yı seçin.
  5. Galeriden Ekle bölümünde, arama kutusuna SAP NetWeaver yazın.
  6. Sonuçlar panelinden SAP NetWeaver ' ı seçin ve ardından uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

SAP NetWeaver için Azure AD SSO 'yu yapılandırma ve test etme

B. Simon adlı bir test KULLANıCıSı kullanarak SAP NetWeaver Ile Azure AD SSO 'yu yapılandırın ve test edin. SSO 'nun çalışması için, SAP NetWeaver 'deki bir Azure AD kullanıcısı ve ilgili Kullanıcı arasında bir bağlantı ilişkisi oluşturmanız gerekir.

Azure AD SSO 'yu SAP NetWeaver ile yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Azure AD SSO 'Yu yapılandırın .
    1. B. Simon ile Azure AD çoklu oturum açma sınamasını test etmek için bir Azure AD test kullanıcısı oluşturun .
    2. Azure AD çoklu oturum açma özelliğini kullanmak için B. Simon 'u etkinleştirmek üzere Azure AD test kullanıcısını atayın .
  2. Uygulama tarafında SSO ayarlarını yapılandırmak için SAML kullanarak SAP NetWeaver 'ı yapılandırın .
    1. SAP NetWeaver 'ın Azure AD gösterimine bağlı olan SAP NetWeaver 'de buna karşılık gelen B. Simon 'a sahip olması için SAP test kullanıcısı oluşturun .
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için test SSO 'su .
  4. Uygulama tarafında OAuth ayarlarını yapılandırmak için, OAuth IÇIN SAP NetWeaver 'ı yapılandırın .

Azure AD SSO’yu yapılandırma

Bu bölümde, Azure portal Azure AD çoklu oturum açma özelliğini etkinleştirirsiniz.

SAP NetWeaver ile Azure AD çoklu oturum açmayı yapılandırmak için aşağıdaki adımları uygulayın:

  1. Yeni bir Web tarayıcı penceresi açın ve SAP NetWeaver şirket sitenizde yönetici olarak oturum açın

  2. Http ve https hizmetlerinin etkin olduğundan ve uygun bağlantı noktalarının Smick T-Code ' a atandığından emin olun.

  3. SSO 'nun gerekli olduğu ve HTTP güvenlik oturumu yönetimini etkinleştirmesi gereken SAP System (T01) iş istemcisinde oturum açın.

    a. Işlem kodu SICF_SESSIONS git. Geçerli değerlerle ilgili tüm profil parametrelerini görüntüler. Şu şekilde görünür:-

    login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0 
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

    Not

    Kuruluş gereksinimlerinize göre yukarıdaki parametreleri ayarlayın, yukarıdaki parametrelere yalnızca gösterge olarak verilirler.

    b. Gerekirse, parametreleri ayarla SAP sisteminin örnek/varsayılan profilinde ve SAP sistemini yeniden başlatın.

    c. HTTP güvenlik oturumunu etkinleştirmek için ilgili istemciye çift tıklayın.

    HTTP güvenlik oturumu

    d. SıCF hizmetlerini aşağıdan etkinleştirin:

    /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. SAP System [T01/122.368] iş istemcisinde Transaction Code SAML2 'a gidin. Bir tarayıcıda Kullanıcı arabirimini açar. Bu örnekte, SAP Business Client 122 olarak kabul ediyoruz.

    İşlem kodu

  5. Kullanıcı arabirimine girmek için Kullanıcı adınızı ve parolanızı girip Düzenle' ye tıklayın.

    Kullanıcı adı ve parola

  6. Sağlayıcı adını T01122 olarak değiştirin http://T01122 ve Kaydet' e tıklayın.

    Not

    Varsayılan olarak, sağlayıcı adı biçim olarak gelir <sid><client> , ancak Azure AD, <protocol>://<name> https://<sid><client> Azure AD 'de birden çok SAP NetWeaver ABAP altyapısına izin verecek şekilde, sağlayıcı adının korunmasını öneren, biçiminde ad bekler.

    Çoklu SAP NetWeaver ABAP motorları

  7. Hizmet sağlayıcı meta verileri oluşturuluyor:-SAML 2,0 Kullanıcı arabiriminde yerel sağlayıcı ve Güvenilen sağlayıcılar ayarlarını yapılandırma ile işiniz bittiğinde, sonraki adım hizmet sağlayıcısının meta veri dosyasını (tüm ayarları, kimlik doğrulama bağlamlarını ve SAP 'deki diğer yapılandırmalarını içerir) oluşturmak olacaktır. Bu dosya oluşturulduktan sonra Azure AD 'ye yüklemesi gerekir.

    Hizmet sağlayıcı meta verileri oluşturuluyor

    a. Yerel sağlayıcı sekmesine gidin.

    b. Meta veriler' e tıklayın.

    c. Oluşturulan meta VERI XML dosyasını bilgisayarınıza kaydedin ve Azure Portal tanımlayıcı ve yanıt URL 'si DEğERLERINI otomatik olarak doldurmak için temel SAML yapılandırması bölümüne yükleyin.

Azure portal Azure AD SSO 'yu etkinleştirmek için bu adımları izleyin.

  1. Azure portal, SAP NetWeaver uygulama tümleştirmesi sayfasında, Yönet bölümünü bulun ve Çoklu oturum açma' yı seçin.

  2. Çoklu oturum açma yöntemi seçin sayfasında SAML' yi seçin.

  3. SAML Ile tek Sign-On ayarlama sayfasında, ayarları düzenlemek IÇIN temel SAML yapılandırması kalem simgesine tıklayın.

    Temel SAML yapılandırmasını düzenle

  4. Temel SAML yapılandırması bölümünde, uygulamayı IDP tarafından başlatılan modda yapılandırmak istiyorsanız aşağıdaki adımı uygulayın:

    a. daha önce edindiğiniz Service Provider meta veri dosyasını karşıya yüklemek için Upload meta veri dosyası ' na tıklayın.

    b. Meta veri dosyasını seçmek için klasör logosu ' na tıklayın ve upload' ye tıklayın.

    c. Meta veri dosyası başarıyla karşıya yüklendikten sonra tanımlayıcı ve yanıt URL değerleri, temel SAML yapılandırması bölüm metin kutusunda aşağıda gösterildiği gibi otomatik olarak doldurulur:

    d. Oturum açma URL 'si metin kutusunda, aşağıdaki kalıbı kullanarak bir URL yazın:https://<your company instance of SAP NetWeaver>

    Not

    Örnekleri için yapılandırılmış yanlış yanıt URL 'SI hatası bildiren birkaç müşteriyi gördük. Bu tür bir hata alırsanız, örneğiniz için doğru yanıt URL 'sini ayarlamak için aşağıdaki PowerShell betiğini geçici bir çözüm olarak kullanabilirsiniz.:

    Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"

    ServicePrincipal nesne KIMLIĞI ilk olarak sizin tarafınızdan ayarlanacak ya da bunu da buraya geçirebilmeniz gerekir.

  5. SAP NetWeaver uygulaması, SAML belirteci öznitelikleri yapılandırmanıza özel öznitelik eşlemeleri eklemenizi gerektiren belirli bir biçimde SAML onayları bekler. Aşağıdaki ekran görüntüsünde varsayılan özniteliklerin listesi gösterilmektedir. Kullanıcı öznitelikleri iletişim kutusunu açmak için Düzenle simgesine tıklayın.

    öznitelik 'yi Düzenle

  6. Kullanıcı öznitelikleri Iletişim kutusundaki Kullanıcı talepleri bölümünde, YUKARıDAKI görüntüde gösterildiği gibi SAML belirteci özniteliğini yapılandırın ve aşağıdaki adımları gerçekleştirin:

    a. Kullanıcı taleplerini Yönet iletişim kutusunu açmak için Düzenle simgesine tıklayın.

    Düzenle simgesi

    image

    b. Dönüştürme listesinden ExtractMailPrefix() öğesini seçin.

    c. Parametre 1 listesinden user.userprincipalname öğesini seçin.

    d. Kaydet’e tıklayın.

  7. SAML ile Tek Sign-On Ayarla sayfasında, SAML İmzalama Sertifikası bölümünde Federasyon Meta Verileri XML'ini bulun ve İndir'i seçerek sertifikayı indirin ve bilgisayarınıza kaydedin.

    Sertifika indirme bağlantısı

  8. SAP NetWeaver'ı Ayarlama bölümünde, gereksiniminize göre uygun URL'leri kopyalayın.

    Yapılandırma URL'lerini kopyalama

Azure AD test kullanıcısı oluşturma

Bu bölümde, B.Simon adlı bir Azure portal test kullanıcısı oluşturabilirsiniz.

  1. Uygulamanın sol bölmesinden, Azure portal'Azure Active Directory, Kullanıcılar'ı ve ardından Tüm kullanıcılar'ı seçin.
  2. Ekranın üst kısmında Yeni kullanıcı'ya tıklayın.
  3. Kullanıcı özelliklerinde şu adımları izleyin:
    1. Ad alanına B.Simon girin.
    2. Kullanıcı adı alanına username@companydomain.extension girin. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Oluştur’a tıklayın.

Azure AD test kullanıcısına atama

Bu bölümde, SAP NetWeaver'a erişim iznini kullanarak B.Simon'un Azure çoklu oturum açmasını kullanmasını sağlayacaksınız.

  1. Uygulama Azure portal Uygulamalar'Enterprise ve ardından Tüm uygulamalar'ı seçin.
  2. Uygulamalar listesinde SAP NetWeaver'ı seçin.
  3. Uygulamanın genel bakış sayfasında Yönet bölümünü bulun ve Kullanıcılar ve gruplar'ı seçin.
  4. Kullanıcı ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ı seçin.
  5. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'u seçin ve ekranın alt kısmından Seç düğmesine tıklayın. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçin. Bu uygulama için herhangi bir rol ayarlanmasa "Varsayılan Erişim" rolünün seçili olduğunu görüyorsunuz.
  6. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

SAML kullanarak SAP NetWeaver'ı yapılandırma

  1. SAP sisteminde oturum açma ve SAML2 işlem koduna gidin. SAML yapılandırma ekranıyla yeni bir tarayıcı penceresi açar.

  2. Güvenilen Kimlik sağlayıcısı (Azure AD) için Uç noktaları yapılandırmak için Güvenilen Sağlayıcılar sekmesine gidin.

    Tek Veya Sign-On Sağlayıcılar Yapılandırma

  3. Ekle'ye basın ve Upload Menüsünden Meta Veri Dosyası'Upload'yi seçin.

    Tekli Sign-On 2'yi yapılandırma

  4. Upload indirdiğiniz meta veri dosyasını Azure portal.

    Tekli Sign-On 3'ü yapılandırma

  5. Sonraki ekrana Diğer Ad adını yazın. Örneğin, devam etmek için aadsts ve Next tuşuna basın.

    Tekli Sign-On 4'ü yapılandırma

  6. Özet Algoritmanız SHA-256 olmalı ve herhangi bir değişiklik gerektirmez ve Ardından tuşuna basın.

    Tekli Sign-On 5'i yapılandırma

  7. Tek Uç Sign-On'ta HTTP POST'u kullanın ve devam etmek için Sonraki'ye tıklayın.

    Tekli Sign-On 6'yi yapılandırma

  8. TekLi Oturum Açma Uç Noktaları'da HTTPRedirect'i seçin ve devam etmek için Sonraki'ye tıklayın.

    Tekli Sign-On 7'yi yapılandırma

  9. Yapıt Uç Noktaları'nın üzerinde, devam etmek için Sonraki'ne basın.

    Tekli Sign-On 8'i yapılandırma

  10. Kimlik Doğrulama Gereksinimleri'de Son'a tıklayın.

    Tekli Sign-On 9 yapılandırma

  11. Güvenilen Sağlayıcı Kimliği Federasyonu > sekmesine gidin (ekranın alt kısmından). Düzenle’ye tıklayın.

    Tekli Sign-On 10 yapılandırma

  12. Kimlik Federasyonu sekmesinin altında Ekle'ye tıklayın (alt pencere).

    Tekli Sign-On 11'i yapılandırma

  13. Açılan pencerede Desteklenen NameID biçimlerinden Belirtilmeyen'i seçin ve Tamam'a tıklayın.

    Tekli Sign-On 12'yi yapılandırma

  14. Kullanıcı Kimliği Kaynağı değerini Onay Özniteliği, Kullanıcı Kimliği eşleme modu değerini E-posta ve Onay Özniteliği Adı olarak http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name girin.

    Tekli Yapılandırma Sign-On

  15. Kullanıcı Kimliği Kaynağı ve Kullanıcı Kimliği eşleme modu değerlerinin SAP kullanıcısı ile Azure AD talebi arasındaki bağlantıyı saptadı olduğunu unutmayın.

    Senaryo: SAP Kullanıcıdan Azure AD'ye kullanıcı eşleme.

    a. SAP'den NameID ayrıntıları ekran görüntüsü.

    Tekli Sign-On 13'ü yapılandırma

    b. Azure AD'den gerekli talepler'i ifade eden ekran görüntüsü.

    Tekli Sign-On 14'ü yapılandırma

    Senaryo: SU01'de yapılandırılan e-posta adresine göre SAP kullanıcı kimliğini seçin. Bu durumda, SSO gerektiren her kullanıcı için su01 içinde e-posta kimliği yapılandırıldı.

    a. SAP'den NameID ayrıntıları ekran görüntüsü.

    Tekli Sign-On 15'i yapılandırma

    b. Azure AD'den gerekli talepler'in bahsederek ekran görüntüsü.

    Tekli Sign-On 16 yapılandırma

  16. Kimlik sağlayıcısını etkinleştirmek için Kaydet'e ve ardından Etkinleştir'e tıklayın.

    Tekli Sign-On 17'yi yapılandırma

  17. İstendiğinde Tamam'a tıklayın.

    Tekli Sign-On 18'i yapılandırma

    SAP NetWeaver test kullanıcısı oluşturma

    Bu bölümde, SAP NetWeaver'da B.simon adlı bir kullanıcı oluşturabilirsiniz. Lütfen kendi SAP uzman ekibiyle veya sap netweaver platformunda kullanıcıları eklemek için kuruluş SAP iş ortağınız ile birlikte çalışın.

SSO'nun testini

  1. Kimlik sağlayıcısı Azure AD etkinleştirildikten sonra, SSO'ya (kullanıcı adı ve parola sorulmayacak) kontrol etmek için aşağıdaki URL'& deneyin

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    (veya) aşağıdaki URL'yi kullanın

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    Not

    sapurl'yi gerçek SAP ana bilgisayar adı ile değiştirin.

  2. Yukarıdaki URL sizi aşağıdaki belirtilen ekrana götürmektedir. Aşağıdaki sayfaya ulaşabilirsiniz, Azure AD SSO kurulumu başarıyla tamamlanmıştır.

    Test Tekli Sign-On

  3. Kullanıcı adı & istemi oluşursa lütfen aşağıdaki URL'yi kullanarak izlemeyi etkinleştirerek sorunu tanıyın

    https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

OAuth için SAP NetWeaver'ı yapılandırma

  1. SAP Belgelenmiş işlemi şu konumda kullanılabilir: NetWeaver Ağ Geçidi Hizmeti Etkinleştirme ve OAuth 2.0 Kapsam Oluşturma

  2. SPRO'ya gidin ve Etkinleştirme ve Bakım hizmetlerini bulun.

    Hizmetleri etkinleştirme ve koruma

  3. Bu örnekte OData hizmetini OAuth ile DAAG_MNGGRP Azure AD SSO'ya bağlamak istiyoruz. Hizmet için teknik hizmet adı arama özelliğini kullanın ve henüz etkin değilken etkinleştirin DAAG_MNGGRP green (ICF düğümleri sekmesinin altında durum olup olmadığını bakın). Sistem diğer adı (hizmetin gerçekten çalıştır bulunduğu bağlı arka uç sistemi) doğru olduğundan emin olun.

    OData hizmeti

    • Sonra üstteki düğme çubuğunda basma ve OAuth ' a tıklayın ve scope (varsayılan adı sunulsun) atayın.

  4. Bizim örneğimiz için kapsam, DAAG_MNGGRP_001 otomatik olarak bir sayı eklenerek hizmet adından oluşturulur. Rapor /IWFND/R_OAUTH_SCOPES , kapsam adını değiştirmek veya el ile oluşturmak için kullanılabilir.

    OAuth 'ı yapılandırma

    Not

    İleti soft state status is not supported – sorun olmadığından yoksayılabilir. Daha ayrıntılı bilgi için burayabakın.

OAuth 2,0 Istemcisi için bir hizmet kullanıcısı oluşturma

  1. OAuth2, service ID Son Kullanıcı adına erişim belirtecini almak için bir kullanır. OAuth tasarımına göre önemli kısıtlama: OAuth 2.0 Client ID username bir erişim belirteci istenirken OAuth 2,0 istemcisinin oturum açması için kullanması ile aynı olmalıdır. Bu nedenle, bizim örneğimizde, ISTEMCI1 adına sahip bir OAuth 2,0 istemcisini kaydedebiliyoruz ve bir önkoşul olarak, SAP sisteminde aynı ada (ISTEMCI1) sahip olan bir kullanıcının ve başvurulan uygulama tarafından kullanılmak üzere yapılandıracağız bir kullanıcı var olmalıdır.

  2. Bir OAuth Istemcisi kaydedilirken, kullanılır SAML Bearer Grant type .

    Not

    Daha fazla ayrıntı için, buradaSAML taşıyıcı verme türü için OAuth 2,0 istemci kaydına bakın.

  3. TCOD: SU01/Kullanıcı ISTEMCI1 'i oluşturma System type ve parola atama, kimlik bilgisini, çağıran koda Kullanıcı adı ile yazmak ısteyen API Programlayıcısının kimlik bilgilerini sağlamak için gereken şekilde kaydedin. Hiçbir profil veya rol atanmalıdır.

Yeni OAuth 2,0 Istemci KIMLIĞINI oluşturma Sihirbazı ile kaydetme

  1. Yeni bir OAuth 2,0 Client start TRANSACTION SOAUTH2 kaydetmek için. İşlem, zaten kayıtlı olan OAuth 2,0 istemcilerle ilgili bir genel bakış görüntüler. CLIENT1in Bu örnek olarak adlandırılan yeni OAuth istemcisinin sihirbazını başlatmak için Oluştur ' a tıklayın.

  2. T-Code: SOAUTH2 adresine gidin ve açıklamayı girip İleri' ye tıklayın.

    SOAUTH2

    OAuth 2,0 Istemci KIMLIĞI

  3. Açılan listeden zaten eklenmiş olan SAML2 IDP – Azure AD ' ı seçin ve kaydedin.

    SAML2 IDP – Azure AD 1

    SAML2 IDP – Azure AD 2

    SAML2 IDP – Azure AD 3

  4. Daha önce oluşturulan kapsamı eklemek için kapsam ataması altında Ekle ' ye tıklayın: DAAG_MNGGRP_001

    Kapsam

    kapsam ataması

  5. Son' a tıklayın.

Sonraki Adımlar

Azure AD SAP NetWeaver 'ı yapılandırdıktan sonra, kuruluşunuzun hassas verilerinin gerçek zamanlı olarak ayıklanmasını ve zaman korumasını koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi koşullu erişimden genişletiliyor. Bulut uygulamaları Için Microsoft Defender ile oturum denetimini nasıl zorlayacağınızı öğrenin.