Настройка SAP Fiori для единого входа с помощью идентификатора Microsoft Entra

2025-05-20

Из этой статьи вы узнаете, как интегрировать SAP Fiori с идентификатором Microsoft Entra. Интеграция SAP Fiori с идентификатором Microsoft Entra позволяет:

Контролируйте, кто имеет доступ к SAP Fiori в Microsoft Entra ID.
Включите автоматический вход пользователей в SAP Fiori с помощью учетных записей Microsoft Entra.
Управляйте своими аккаунтами централизованно.

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие условия:

Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете бесплатно создать учетную запись.
Одна из следующих ролей:

Подписка SAP Fiori с функцией единого входа.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

SAP Fiori поддерживает единый вход, инициированный поставщиком службы

Примечание.

Для аутентификации iFrame, инициированной SAP Fiori, рекомендуется использовать параметр IsPassive в SAML AuthnRequest для тихой аутентификации. Дополнительные сведения о параметре IsPassive см. в сведениях о едином входе Microsoft Entra SAML .

Добавление SAP Fiori из галереи

Чтобы настроить интеграцию SAP Fiori с идентификатором Microsoft Entra ID, необходимо добавить SAP Fiori из коллекции в список управляемых приложений SaaS.

Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к Entra ID>Enterprise приложениям>и создайте новое приложение.
В разделе "Добавление из коллекции " в поле поиска введите SAP Fiori .
Выберите SAP Fiori на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш арендный объект.

Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для SAP Fiori

Настройте и проверьте единый вход Microsoft Entra в SAP Fiori с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в SAP Fiori.

Чтобы настроить и проверить единый вход Microsoft Entra в SAP Fiori, выполните следующие действия.

Настройте единый вход Microsoft Entra , чтобы пользователи могли использовать эту функцию.
1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
2. Назначьте тестового пользователя Microsoft Entra , чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
Настройка единого входа SAP Fiori — настройка параметров единого входа на стороне приложения.
1. Создайте тестового пользователя SAP Fiori, чтобы в SAP Fiori был аналог пользователя B.Simon, связанный с представлением пользователя Microsoft Entra.
Тестирование единого входа - чтобы проверить, работает ли конфигурация.

Настройте SSO в Microsoft Entra

Выполните следующие действия, чтобы активировать Microsoft Entra SSO.

Откройте новое окно веб-браузера и войдите на свой корпоративный сайт SAP Fiori как администратор.
Убедитесь, что службы http и https активны, а соответствующие порты назначены коду транзакции SMICM.
Войдите в SAP Business Client для SAP system T01, где требуется использование единого входа. После этого активируйте управление сеансами безопасности HTTP.
1. Перейдите к коду транзакции SICF_SESSIONS. Отображаются все соответствующие параметры профиля с текущими значениями. Они выглядят следующим образом:
```
login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60
```
  Примечание.
  
  Настройте параметры на основе требований организации. Приведенные выше параметры задаются только в качестве примера.
2. При необходимости настройте параметры в профиле экземпляра (по умолчанию) системы SAP и перезапустите систему SAP.
3. Дважды выберите соответствующий клиент, чтобы включить сеанс безопасности HTTP.
4. Активируйте следующие службы SICF.
```
/sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
```
Перейдите к коду транзакции SAML2 в бизнес-клиенте для системы SAP [T01/122]. В новом окне браузера откроется пользовательский интерфейс настройки. В этом примере мы используем бизнес-клиент для системы SAP 122.
Введите имя пользователя и пароль, а затем нажмите кнопку "Войти".
В поле "Имя поставщика" замените T01122 на http://T01122, затем выберите "Сохранить".

Примечание.

По умолчанию имя поставщика имеет формат <sid><client>. Идентификатор Microsoft Entra ожидает имя в формате <protocol>://<name>. Рекомендуется оставить имя поставщика в формате https://<sid><client>, чтобы вы могли настроить несколько движков SAP Fiori ABAP в Microsoft Entra ID.

Об обновленном имени поставщика на странице конфигурации SAML 2.0 системы ABAP System T01/122 в SAP
Выберите вкладку "Локальный поставщик">Метаданные.
В диалоговом окне метаданных SAML 2.0 загрузите созданный XML-файл метаданных и сохраните его на компьютере.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к Entra ID>Корпоративные приложения>SAP Fiori>Single sign-on.
На странице "Выбор метода единого входа" выберите SAML.
На странице "Настройка единого входа" на странице SAML выберите значок карандаша для базовой конфигурации SAML , чтобы изменить параметры.
В разделе "Базовая конфигурация SAML" , если у вас есть файл метаданных поставщика услуг, выполните следующие действия.
1. Выберите "Отправить файл метаданных".
2. Выберите логотип папки , чтобы выбрать файл метаданных и нажмите кнопку "Отправить".
3. При успешной отправке файла метаданных значения идентификатора и URL-адреса ответа автоматически заполняются в области "Базовая конфигурация SAML ". В поле URL-адреса входа введите URL-адрес, имеющий следующий шаблон: https://<your company instance of SAP Fiori>
  Примечание.
  
  Некоторые клиенты столкнулись с ошибкой, связанной с неправильно настроенным URL-адресом ответа для их экземпляра. Если вы получаете такую ошибку, используйте эти команды PowerShell. Сначала обновите URL-адреса ответа в объекте приложения на URL-адрес ответа, а затем обновите служебный принципал. Используйте Метод Get-MgServicePrincipal , чтобы получить значение идентификатора субъекта-службы.
```
$params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
```
Приложение SAP Fiori ожидает утверждения SAML в определенном формате. Настройте следующие утверждения для этого приложения. Чтобы управлять этими значениями атрибутов, в области Настройка одиночного Sign-On с SAML выберите Изменить.
На панели "Атрибуты пользователя и утверждения " настройте атрибуты токена SAML, как показано на предыдущем рисунке. Затем сделайте следующее:
1. Выберите "Изменить", чтобы открыть панель "Управление утверждениями пользователей ".
2. В списке преобразований выберите ExtractMailPrefix().
3. В списке параметров 1 выберите user.userprincipalname.
4. Нажмите кнопку "Сохранить".
На странице "Настройка единого входа с помощью SAML " в разделе "Сертификат подписи SAML " найдите XML метаданных федерации и выберите "Скачать ", чтобы скачать сертификат и сохранить его на компьютере.
Скопируйте соответствующие URL-адреса в разделе "Настройка SAP Fiori " в соответствии с вашим требованием.

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя, чтобы создать тестовую учетную запись B.Simon.

Настройка единого входа SAP Fiori

Войдите в систему SAP и перейдите к коду транзакции SAML2. Откроется новое окно браузера со страницей настройки SAML.
Чтобы настроить конечные точки для доверенного поставщика удостоверений (Microsoft Entra ID), выберите вкладку «Доверенные поставщики».
Выберите "Добавить" и выберите " Отправить файл метаданных " в контекстном меню.
Отправьте скачанный файл метаданных. Нажмите кнопку "Далее".
На следующей странице в поле "Псевдоним" введите имя псевдонима. Например, aadsts. Нажмите кнопку "Далее".
Убедитесь, что значение в поле "Алгоритм дайджеста " — SHA-256. Нажмите кнопку "Далее".
В разделе "Отдельные Sign-On конечные точки" выберите HTTP POST и нажмите кнопку "Далее".
В разделе "Конечные точки единого выхода" выберите "Перенаправление HTTP" и нажмите кнопку "Далее".
В разделе "Конечные точки артефакта" нажмите кнопку "Далее ".
В разделе "Требования к проверке подлинности" нажмите кнопку "Готово".
Выберите доверенного поставщика>федерацию удостоверений (в нижней части страницы). Выберите "Изменить".
Нажмите кнопку "Добавить".
В диалоговом окне "Поддерживаемые форматы nameID" выберите "Не указано". Нажмите кнопку "ОК".

Значения источника идентификатора пользователя и режима сопоставления идентификатора пользователя определяют связь между пользователем SAP и требованием Microsoft Entra.

Сценарий 1. Сопоставление пользователей SAP с Microsoft Entra
1. В SAP в разделе "Сведения о формате NameID" "Не указано", обратите внимание на сведения:
2. На портале Azure в разделе "Атрибуты пользователя и утверждения" обратите внимание на необходимые утверждения из идентификатора Microsoft Entra.
Сценарий 2. Выберите идентификатор пользователя SAP на основе настроенного адреса электронной почты в SU01. В этом случае идентификатор электронной почты должен быть настроен в SU01 для каждого пользователя, которому требуется единый вход.
1. В SAP в разделе "Сведения о формате NameID" "Не указано", обратите внимание на сведения:
2. На портале Azure в разделе "Атрибуты пользователя и утверждения" обратите внимание на необходимые утверждения из идентификатора Microsoft Entra.
Нажмите кнопку "Сохранить", а затем нажмите кнопку "Включить ", чтобы включить поставщик удостоверений.
Нажмите кнопку "ОК " при появлении запроса.

Создание тестового пользователя SAP Fiori

В этом разделе описано, как создать пользователя Britta Simon в SAP Fiori. Обратитесь к вашей рабочей группе экспертов SAP или партнеру SAP организации, чтобы добавить пользователя на платформу SAP Fiori.

Тестирование SSO

После активации идентификатора поставщика удостоверений Microsoft Entra в SAP Fiori попробуйте получить доступ к одному из следующих URL-адресов для проверки единого входа (вам не нужно запрашивать имя пользователя и пароль):
- https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
- https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
Примечание.

Замените <sap-url> фактическим именем узла SAP.
URL-адрес теста должен перенаправить вас на следующую страницу тестового приложения в SAP. Если откроется страница, единый вход Microsoft Entra успешно настроен.
Если вам будет предложено указать имя пользователя и пароль, включите трассировку для диагностики проблемы. Используйте следующий URL-адрес для трассировки:

https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

После настройки SAP Fiori вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансами выходит за рамки условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облачных приложений.