Öğretici: SAP NetWeaver ile Microsoft Entra Çoklu oturum açma (SSO) tümleştirmesi

  • Makale

Bu öğreticide SAP NetWeaver'ı Microsoft Entra Id ile tümleştirmeyi öğreneceksiniz. SAP NetWeaver'ı Microsoft Entra Id ile tümleştirdiğinizde şunları yapabilirsiniz:

  • Microsoft Entra Id'de SAP NetWeaver'a kimlerin erişimi olduğunu denetleme.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla SAP NetWeaver'da otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

Önkoşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

  • Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
  • SAP NetWeaver çoklu oturum açma (SSO) özellikli abonelik.
  • SAP NetWeaver V7.20 en azından gerekli

Senaryo açıklaması

  • SAP NetWeaver hem SAML (SP tarafından başlatılan SSO) hem de OAuth'u destekler. Bu öğreticide, Microsoft Entra SSO'sunu bir test ortamında yapılandırıp test edin.

Not

Bu uygulamanın tanımlayıcısı sabit bir dize değeridir, bu nedenle tek bir kiracıda yalnızca bir örnek yapılandırılabilir.

Not

Uygulamayı SAML'de veya OAuth'da kuruluş gereksinimlerinize göre yapılandırın.

SAP NetWeaver'ın Microsoft Entra Id ile tümleştirmesini yapılandırmak için, yönetilen SaaS uygulamaları listenize galeriden SAP NetWeaver eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna SAP NetWeaver yazın.
  4. Sonuçlar panelinden SAP NetWeaver'ı seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

SAP NetWeaver için Microsoft Entra SSO yapılandırma ve test

B.Simon adlı bir test kullanıcısını kullanarak SAP NetWeaver ile Microsoft Entra SSO'u yapılandırın ve test edin. SSO'nun çalışması için Bir Microsoft Entra kullanıcısı ile SAP NetWeaver'daki ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

SAP NetWeaver ile Microsoft Entra SSO'u yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'nuzu yapılandırın.
    1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
  2. UYGULAMA tarafında SSO ayarlarını yapılandırmak için SAML kullanarak SAP NetWeaver'ı yapılandırın.
    1. SAP NetWeaver'da kullanıcının Microsoft Entra gösterimine bağlı bir B.Simon'a sahip olmak için SAP NetWeaver test kullanıcısı oluşturun.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.
  4. Uygulama tarafında OAuth ayarlarını yapılandırmak için OAuth için SAP NetWeaver'ı yapılandırın.

Microsoft Entra SSO'sını yapılandırma

Bu bölümde Microsoft Entra çoklu oturum açmayı etkinleştirebilirsiniz.

SAP NetWeaver ile Microsoft Entra çoklu oturum açmayı yapılandırmak için aşağıdaki adımları gerçekleştirin:

  1. Yeni bir web tarayıcısı penceresi açın ve SAP NetWeaver şirket sitenizde yönetici olarak oturum açın

  2. SMICM T-Code'da http ve https hizmetlerinin etkin olduğundan ve uygun bağlantı noktalarının atandığından emin olun.

  3. SSO'nun gerekli olduğu SAP Sisteminin (T01) iş istemcisinde oturum açın ve HTTP Güvenlik oturumu Yönetimi'ni etkinleştirin.

    1. İşlem kodu SICF_SESSIONS gidin. Geçerli değerlerle tüm ilgili profil parametrelerini görüntüler. Aşağıdaki gibi görünürler:-

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0 
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Not

      Yukarıdaki parametreleri kuruluşunuzun gereksinimlerine göre ayarlayın. Yukarıdaki parametreler burada yalnızca gösterge olarak verilmiştir.

    2. Gerekirse, SAP sisteminin örnek/varsayılan profilinde parametreleri ayarlayın ve SAP sistemini yeniden başlatın.

    3. HTTP güvenlik oturumlarını etkinleştirmek için ilgili istemciye çift tıklayın.

      The HTTP Security session

    4. Aşağıdaki SICF hizmetlerini etkinleştirin:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. [T01/122] SAP sisteminin iş istemcisinde İşlem kodu SAML2'ye gidin. Tarayıcıda bir kullanıcı arabirimi açar. Bu örnekte SAP iş istemcisi olarak 122 olduğunu varsaydık.

    Transaction code

  5. Kullanıcı arabirimine girmek için kullanıcı adınızı ve parolanızı girin ve Düzenle'ye tıklayın.

    username and password

  6. Sağlayıcı Adı'nın yerine T01122 yazın ve Kaydet'e http://T01122tıklayın.

    Not

    Varsayılan olarak sağlayıcı adı biçim olarak <sid><client> gelir, ancak Microsoft Entra Id, birden çok SAP NetWeaver ABAP altyapısının <protocol>://<name>Microsoft Entra ID'de yapılandırılmasına izin vermek için sağlayıcı adını https://<sid><client> korumayı önerir.

    The multiple SAP NetWeaver ABAP engines

  7. Hizmet Sağlayıcısı Meta Verileri Oluşturma:- SAML 2.0 Kullanıcı Arabiriminde Yerel Sağlayıcı ve Güvenilen Sağlayıcılar ayarlarını yapılandırmayı tamamladıktan sonra, sonraki adım hizmet sağlayıcısının meta veri dosyasını (SAP'deki tüm ayarları, kimlik doğrulama bağlamlarını ve diğer yapılandırmaları içerecek şekilde) oluşturmak olacaktır. Bu dosya oluşturulduktan sonra bunu Microsoft Entra Id'ye yüklememiz gerekir.

    Generating Service Provider Metadata

    1. Yerel Sağlayıcı sekmesine gidin.

    2. Meta Veriler'e tıklayın.

    3. Oluşturulan Meta Veri XML dosyasını bilgisayarınıza kaydedin ve Azure portalında Tanımlayıcı ve Yanıt URL'si değerlerini otomatik olarak doldurmaya yönelik Temel SAML Yapılandırması bölümüne yükleyin.

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP NetWeaver uygulama tümleştirme sayfasına göz atın, Yönet bölümünü bulun ve Çoklu oturum açma'yı seçin.

  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  4. SamL ile Çoklu Oturum Açmayı Ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.

    Edit Basic SAML Configuration

  5. Temel SAML Yapılandırması bölümünde, uygulamayı IDP tarafından başlatılan modda yapılandırmak istiyorsanız aşağıdaki adımı gerçekleştirin:

    1. Daha önce edindiğiniz Hizmet Sağlayıcısı meta veri dosyasını karşıya yüklemek için Meta veri dosyasını karşıya yükle'ye tıklayın.

    2. Klasör logosuna tıklayarak meta veri dosyasını seçin ve Karşıya Yükle'ye tıklayın.

    3. Meta veri dosyası başarıyla karşıya yüklendikten sonra, Tanımlayıcı ve Yanıt URL'si değerleri aşağıda gösterildiği gibi Temel SAML Yapılandırması bölümü metin kutusunda otomatik olarak doldurulur:

    4. Oturum açma URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<your company instance of SAP NetWeaver>

    Not

    Bazı müşteriler, örnekleri için yapılandırılmış yanlış bir Yanıt URL'si hatasıyla karşılaştı. Böyle bir hata alırsanız bu PowerShell komutlarını kullanın. Önce uygulama nesnesindeki Yanıt URL'lerini Yanıt URL'si ile güncelleştirin, ardından hizmet sorumlusunu güncelleştirin. Hizmet Sorumlusu Kimliği değerini almak için Get-MgServicePrincipal kullanın.

    $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  6. SAP NetWeaver uygulaması SAML onaylarını belirli bir biçimde bekler ve bu da SAML belirteç öznitelikleri yapılandırmanıza özel öznitelik eşlemeleri eklemenizi gerektirir. Aşağıdaki ekran görüntüsünde varsayılan özniteliklerin listesi gösterilmektedir. Kullanıcı Öznitelikleri iletişim kutusunu açmak için Düzenle simgesine tıklayın.

    edit attribute

  7. Kullanıcı Öznitelikleri iletişim kutusundaki Kullanıcı Talepleri bölümünde, yukarıdaki görüntüde gösterildiği gibi SAML belirteci özniteliğini yapılandırın ve aşağıdaki adımları uygulayın:

    1. Düzenle simgesine tıklayarak Kullanıcı taleplerini yönet iletişim kutusunu açın.

      edit icon

      image

    2. Dönüştürme listesinden ExtractMailPrefix() öğesini seçin.

    3. Parametre 1 listesinden user.userprincipalname öğesini seçin.

    4. Kaydet'i tıklatın.

  8. SAML ile Çoklu Oturum Açmayı Ayarla sayfasındaki SAML İmzalama Sertifikası bölümünde Federasyon Meta Verileri XML'sini bulun ve İndir'i seçerek sertifikayı indirip bilgisayarınıza kaydedin.

    The Certificate download link

  9. SAP NetWeaver'ı ayarlama bölümünde, gereksinimlerinize göre uygun URL'leri kopyalayın.

    Copy configuration URLs

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur'u belirleyin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, SAP NetWeaver'a erişim vererek B.Simon'un çoklu oturum açma özelliğini kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP NetWeaver'a göz atın.
  3. Uygulamanın genel bakış sayfasında Yönet bölümünü bulun ve Kullanıcılar ve gruplar'ı seçin.
  4. Kullanıcı ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ıseçin.
  5. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
  6. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

SAML kullanarak SAP NetWeaver'ı yapılandırma

  1. SAP sisteminde oturum açın ve SAML2 işlem koduna gidin. SAML yapılandırma ekranıyla yeni tarayıcı penceresi açılır.

  2. Güvenilen Kimlik sağlayıcısı (Microsoft Entra Id) için Bitiş noktalarını yapılandırmak için Güvenilen Sağlayıcılar sekmesine gidin.

    Configure Single Sign-On Trusted Providers

  3. Ekle'ye basın ve bağlam menüsünden Meta Veri Dosyasını Karşıya Yükle'yi seçin.

    Configure Single Sign-On 2

  4. İndirdiğiniz meta veri dosyasını karşıya yükleyin.

    Configure Single Sign-On 3

  5. Sonraki ekranda Diğer Ad adını yazın. Örneğin, aadsts tuşuna basın ve devam etmek için İleri'ye basın.

    Configure Single Sign-On 4

  6. Özet Algoritmanızın SHA-256 olması ve herhangi bir değişiklik gerektirmediğinden emin olun ve İleri'ye basın.

    Configure Single Sign-On 5

  7. Çoklu Oturum Açma Uç Noktaları'nda HTTP POST kullanın ve devam etmek için İleri'ye tıklayın.

    Configure Single Sign-On 6

  8. Tek Oturum Kapatma Uç Noktaları'nda HTTPRedirect'i seçin ve devam etmek için İleri'ye tıklayın.

    Configure Single Sign-On 7

  9. Yapıt Uç Noktaları'nda devam etmek için İleri'ye basın.

    Configure Single Sign-On 8

  10. Kimlik Doğrulama Gereksinimleri'nin üzerinde Son'a tıklayın.

    Configure Single Sign-On 9

  11. Güvenilir Sağlayıcı>Kimliği Federasyonu (ekranın alt kısmından) sekmesine gidin. Düzenle'yi tıklatın.

    Configure Single Sign-On 10

  12. Kimlik Federasyonu sekmesinin (alt pencere) altında Ekle'ye tıklayın.

    Configure Single Sign-On 11

  13. Açılan pencerede, Desteklenen NameID biçimlerinden Belirtilmemiş'iseçin ve Tamam'a tıklayın.

    Configure Single Sign-On 12

  14. Kullanıcı Kimliği Kaynağı değerini Onay Özniteliği, Kullanıcı Kimliği eşleme modu değerini E-posta ve Onay Özniteliği Adı olarak http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameverin.

    Configure Single Sign-On

  15. SAP kullanıcısı ile Microsoft Entra talebi arasındaki bağlantıyı Kullanıcı Kimliği Kaynağı ve Kullanıcı Kimliği eşleme modu değerlerinin belirlediğini unutmayın.

Senaryo: SAP Kullanıcısı ile Microsoft Entra kullanıcı eşlemesi.

  1. SAP'den NameID ayrıntıları ekran görüntüsü.

    Configure Single Sign-On 13

  2. Microsoft Entra Id'den gerekli taleplerden bahseden ekran görüntüsü.

    Configure Single Sign-On 14

    Senaryo: SU01'de yapılandırılmış e-posta adresine göre SAP kullanıcı kimliğini seçin. Bu durumda, SSO gerektiren her kullanıcı için su01'de e-posta kimliği yapılandırılmalıdır.

    1. SAP'den NameID ayrıntıları ekran görüntüsü.

      Configure Single Sign-On 15

    2. Microsoft Entra Id'den gerekli taleplerden bahseden ekran görüntüsü.

    Configure Single Sign-On 16

  3. Kaydet'e ve ardından Etkinleştir'e tıklayarak kimlik sağlayıcısını etkinleştirin.

    Configure Single Sign-On 17

  4. İstendikten sonra Tamam'a tıklayın.

    Configure Single Sign-On 18

SAP NetWeaver test kullanıcısı oluşturma

Bu bölümde SAP NetWeaver'da B.simon adlı bir kullanıcı oluşturacaksınız. Kullanıcıları SAP NetWeaver platformuna eklemek için lütfen sap uzman ekibinizde çalışın veya kuruluşunuzun SAP iş ortağıyla birlikte çalışın.

SSO'ları test edin

  1. Kimlik sağlayıcısı Microsoft Entra Id etkinleştirildikten sonra SSO'ları denetlemek için aşağıdaki URL'ye erişmeyi deneyin (kullanıcı adı ve parola istenmez)

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    (veya) aşağıdaki URL'yi kullanın

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    Not

    sapurl değerini gerçek SAP konak adıyla değiştirin.

  2. Yukarıdaki URL sizi aşağıda belirtilen ekrana götürmelidir. Aşağıdaki sayfaya ulaşabiliyorsanız, Microsoft Entra SSO kurulumu başarıyla yapılır.

    test Single Sign-On

  3. Kullanıcı adı ve parola istemi oluşursa, aşağıdaki URL'yi kullanarak izlemeyi etkinleştirerek sorunu tanılayın

    https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

SAP NetWeaver'ı OAuth için yapılandırma

  1. SAP Documented işlemi şu konumda kullanılabilir: NetWeaver Ağ Geçidi Hizmeti Etkinleştirme ve OAuth 2.0 Kapsam Oluşturma

  2. SPRO'ya gidin ve Etkinleştirme ve Bakım hizmetlerini bulun.

    Activate and Maintain services

  3. Bu örnekte, OData hizmetini DAAG_MNGGRP OAuth ile Microsoft Entra SSO'ya bağlamak istiyoruz. Hizmet DAAG_MNGGRP için teknik hizmet adı aramasını kullanın ve henüz etkin değilse etkinleştirin (ICF düğümleri sekmesinde durumu arayın green ). Sistem diğer adının (hizmetin gerçekten çalıştığı bağlı arka uç sistemi) doğru olduğundan emin olun.

    OData service

    • Ardından üst düğme çubuğundaki düğme OAuth düğmesine tıklayın ve atayın scope (varsayılan adı teklif edilen şekilde tutun).

  4. Bizim örneğimiz için kapsam, DAAG_MNGGRP_001otomatik olarak bir sayı eklenerek hizmet adından oluşturulur. Rapor /IWFND/R_OAUTH_SCOPES , kapsamın adını değiştirmek veya el ile oluşturmak için kullanılabilir.

    Configure OAuth

    Not

    İleti soft state status is not supported – sorun olmadığı için yoksayılabilir.

OAuth 2.0 İstemcisi için hizmet kullanıcısı oluşturma

  1. OAuth2, son kullanıcının erişim belirtecini kendi adına almak için bir service ID kullanır. OAuth tasarımına göre önemli kısıtlama: OAuth 2.0 Client ID , Erişim Belirteci istenirken oturum açmak için kullanılan OAuth 2.0 istemcisiyle username aynı olmalıdır. Bu nedenle, örneğimiz için adı CLIENT1 olan bir OAuth 2.0 istemcisini kaydedeceğiz ve önkoşul olarak SAP sisteminde aynı ada (CLIENT1) sahip bir kullanıcının bulunması ve başvuruda bulunu uygulama tarafından kullanılmak üzere yapılandıracağımız kullanıcı olması gerekir.

  2. OAuth İstemcisi kaydederken kullanırız SAML Bearer Grant type.

    Not

    Daha fazla ayrıntı için burada SAML Taşıyıcı Verme Türü için OAuth 2.0 İstemci Kaydı'na bakın.

  3. tcod: SU01 / kullanıcı CLIENT1 System type oluşturun ve parola atayın, kimlik bilgilerini api programcısına sağlamanız gerektiğinde kaydedin; bu kimlik bilgilerini çağıran koda kullanıcı adıyla yazması gerekir. Profil veya rol atanmamalıdır.

Yeni OAuth 2.0 İstemci Kimliğini oluşturma sihirbazına kaydetme

  1. Yeni bir OAuth 2.0 istemcisi kaydetmek için işlem SOAUTH2 başlatın. İşlem, önceden kaydedilmiş olan OAuth 2.0 istemcileri hakkında genel bir bakış görüntüler. Bu örnekte client1 adlı yeni OAuth istemcisinin sihirbazını başlatmak için Oluştur'u seçin.

  2. T-Code: SOAUTH2 gidin ve Açıklamayı belirtin, ardından İleri'ye tıklayın.

    SOAUTH2

    OAuth 2.0 Client ID

  3. Açılan listeden zaten eklenmiş SAML2 IdP – Microsoft Entra Id'yi seçin ve kaydedin.

    SAML2 IdP – Microsoft Entra ID 1

    SAML2 IdP – Microsoft Entra ID 2

    SAML2 IdP – Microsoft Entra ID 3

  4. Daha önce oluşturulan kapsamı eklemek için Kapsam ataması altında Ekle'ye tıklayın:DAAG_MNGGRP_001

    Scope

    scope assignment

  5. Son'a tıklayın.

Sonraki Adımlar

Microsoft Entra SAP NetWeaver'ı yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan Oturum Denetimi'ni zorunlu kılabilirsiniz. Oturum Denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.