Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описано, как интегрировать облачные службы удостоверений SAP с идентификатором Microsoft Entra. Когда вы интегрируете службы облачных удостоверений SAP с идентификатором Microsoft Entra, вы можете:
- Контролируйте в Microsoft Entra ID, кто имеет доступ к облачным службам удостоверений SAP.
- Включите автоматический вход пользователей в sap Cloud Identity Services и подчиненные приложения SAP с помощью учетных записей Microsoft Entra.
- Управляйте своими учетными записями в одном центральном месте.
Совет
Следуйте рекомендациям и передовым практикам из руководства "Using Microsoft Entra ID to secure access to SAP platforms and applications" для введения в эксплуатацию.
Требования
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:
- Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете бесплатно создать учетную запись.
- Одна из следующих ролей:
- Клиент служб облачных удостоверений SAP
- Учетная запись пользователя в sap Cloud Identity Services с разрешениями администратора.
Если у вас еще нет пользователей в идентификаторе Microsoft Entra, начните со статьи о планировании развертывания Microsoft Entra для предоставления пользователей с помощью исходных и целевых приложений SAP. В этой статье показано, как подключить Microsoft Entra к авторитетным источникам для списка работников в организации, таких как SAP SuccessFactors. В нем также показано, как использовать Microsoft Entra для настройки удостоверений для этих работников, чтобы они могли войти в одно или несколько приложений SAP, таких как SAP ECC или SAP S/4HANA.
Если вы настраиваете единый вход в SAP Cloud Identity Services в рабочей среде, где вы будете управлять доступом к рабочим нагрузкам SAP с помощью управления удостоверениями Microsoft Entra ID, ознакомьтесь с предварительными условиями настройки Microsoft Entra ID для управления удостоверениями перед началом работы.
Описание сценария
В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.
- Службы облачных удостоверений SAP поддерживают SSO, инициированный поставщиком услуг (SP) и поставщиком удостоверений (IDP).
- Облачные службы удостоверений SAP поддерживают автоматическую подготовку пользователей.
Прежде чем углубиться в технические подробности, очень важно разобраться в основных понятиях этого процесса. Облачные службы удостоверений SAP позволяют реализовать единый вход в приложениях и службах SAP с тем же интерфейсом единого входа, что и приложения, отличные от SAP, интегрированные непосредственно с идентификатором Microsoft Entra ID в качестве поставщика удостоверений.
Облачные службы удостоверений SAP действует как поставщик удостоверений, выполняющий роль прокси для других приложений SAP в качестве целевых систем. Идентификационная платформа Microsoft Entra, в свою очередь, выступает в качестве ведущего провайдера идентификации в этой конфигурации.
На следующей схеме показана связь доверия:
При этой настройке службы SAP Cloud Identity Services настраиваются как одно или несколько приложений в идентификаторе Microsoft Entra. Microsoft Entra настроена как поставщик корпоративных удостоверений в облачных службах удостоверений SAP.
Все приложения и службы SAP, которые вы хотите предоставить единый вход таким образом, впоследствии настраиваются в качестве приложений в облачных службах идентификации SAP.
Назначение пользователя на роль приложения SAP Cloud Identity Services в Microsoft Entra управляет выдачей токенов Microsoft Entra для облачных служб удостоверений SAP. Авторизация для предоставления доступа к определенным приложениям и службам SAP и назначениям ролей для этих приложений SAP выполняется в облачных службах идентификации SAP и самих приложениях. Эта авторизация может быть основана на пользователях и группах, предоставленных из Microsoft Entra ID.
Примечание.
В настоящее время обе стороны протестировали только веб-SSO. Потоки, необходимые для взаимодействия "приложение — API" или "API — API", должны работать, но пока не тестировались. Они тестируются во время последующих мероприятий.
Добавление SAP Cloud Identity Services из коллекции
Чтобы настроить интеграцию SAP Cloud Identity Services с системой Microsoft Entra ID, необходимо добавить SAP Cloud Identity Services из галереи в список управляемых приложений SaaS.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к Entra ID>Enterprise-приложения>Новое приложение.
- В разделе "Добавление из коллекции" в поле поиска введите SAP Cloud Identity Services .
- Выберите sap Cloud Identity Services на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в ваш тенант.
Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Дополнительные сведения о мастерах Microsoft 365.
Настройка и тестирование единого входа Microsoft Entra для SAP Cloud Identity Services
Настройте и проверьте единый вход Microsoft Entra в SAP Cloud Identity Services с помощью тестового пользователя B.Simon. Для работы SSO необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в SAP Cloud Identity Services.
Чтобы настроить и проверить единый вход Microsoft Entra в SAP Cloud Identity Services, выполните следующие действия.
-
Настройте единый вход Microsoft Entra , чтобы пользователи могли использовать эту функцию.
- Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
- Назначьте тестового пользователя Microsoft Entra , чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
-
Настройка SSO в SAP Cloud Identity Services , чтобы настроить параметры единого входа на стороне приложения.
- Создайте тестового пользователя SAP Cloud Identity Services — чтобы в SAP Cloud Identity Services имелся аналог пользователя B.Simon, связанный с Microsoft Entra представлением пользователя.
- Тест SSO - чтобы проверить, работает ли конфигурация.
Получите метаданные федерации облачных служб удостоверений SAP
Войдите в консоль администрирования sap Cloud Identity Services. URL-адрес имеет следующий шаблон:
https://<tenant-id>.accounts.ondemand.com/adminилиhttps://<tenant-id>.trial-accounts.ondemand.com/admin.В разделе "Приложения и ресурсы" выберите "Параметры клиента".
На вкладке "Единый вход" выберите SAML 2.0 Configuration. Затем выберите "Скачать файл метаданных" , чтобы скачать метаданные федерации облачных служб удостоверений SAP.
Настройка единой системы входа Microsoft Entra
Чтобы включить функцию единого входа Microsoft Entra, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к Entra ID>Корпоративные приложения. Введите имя приложения, например облачные службы удостоверений SAP. Выберите приложение, а затем выберите единый вход.
На странице "Выбор метода единого входа" выберите SAML.
В разделе "Базовая конфигурация SAML", если у вас есть файл метаданных поставщика услуг от SAP Cloud Identity Services, выполните следующие действия.
a. Выберите "Отправить файл метаданных".
б. Выберите логотип папки , чтобы выбрать файл метаданных, скачанный из SAP, и нажмите кнопку "Отправить".
с. После успешной отправки файла метаданных значения идентификатора и URL-адреса ответа автоматически заполняются в разделе "Базовая конфигурация SAML".
Примечание.
Если значения идентификатора и URL-адреса ответа не заполняются автоматически, заполните их вручную в соответствии с вашими требованиями.
Если вы хотите настроить дополнительные конфигурации, на странице "Настройка единого входа" на странице SAML выберите значок карандаша для базовой конфигурации SAML , чтобы изменить параметры.
В текстовом поле URL-адрес входа (необязательно) введите URL-адрес для входа в конкретное бизнес-приложение.
Примечание.
Обновите это значение, указав фактический URL-адрес входа. Дополнительные сведения см. в статье о базе знаний SAP 3128585. Обратитесь в службу поддержки клиентов служб облачных удостоверений SAP , если у вас возникли вопросы.
Приложение SAP Cloud Identity Services ожидает утверждения SAML в определенном формате, что требует добавления настраиваемых сопоставлений атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.
В дополнение к описанному выше приложение SAP Cloud Identity Services ожидает несколько дополнительных атрибутов в ответе SAML, как показано ниже. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.
Имя. Атрибут источника Имя имя_пользователя.givenname На странице "Настройка Single Sign-On с помощью SAML" в разделе "Сертификат подписи SAML" выберите "Скачать", чтобы скачать XML-файл метаданных из предложенных вариантов в зависимости от ваших потребностей и сохранить его на компьютере.
В разделе "Настройка облачных удостоверений SAP " скопируйте соответствующие URL-адреса в соответствии с вашим требованием.
Создание и назначение тестового пользователя Microsoft Entra
Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя, чтобы создать тестовую учетную запись пользователя B.Simon.
Настройка единого входа для SAP Cloud Identity Services
В этом разделе описано, как создать поставщика корпоративных удостоверений в консоли администрирования sap Cloud Identity Services. Дополнительные сведения см. в разделе "Создание корпоративного поставщика удостоверений" в консоли администрирования.
Войдите в консоль администрирования sap Cloud Identity Services. URL-адрес имеет следующий шаблон:
https://<tenant-id>.accounts.ondemand.com/adminилиhttps://<tenant-id>.trial-accounts.ondemand.com/admin.В разделе "Поставщики удостоверений" выберите плитку "Поставщики корпоративных удостоверений".
Нажмите кнопку +Создать , чтобы создать поставщика удостоверений.
Выполните следующие действия на диалоговом окне Создание поставщика удостоверений.
a. Укажите правильное имя в поле Имя для отображения.
б. Выберите идентификатор Microsoft ADFS/Entra (SAML 2.0) в раскрывающемся списке.
с. Нажмите кнопку "Создать".
Перейдите в раздел "Доверие" —> конфигурация SAML 2.0. В поле Файл метаданных выберите Обзор, чтобы загрузить XML-файл метаданных, скачанный из конфигурации SSO Microsoft Entra.
Нажмите кнопку "Сохранить".
Следующие действия нужно выполнять только в том случае, если вы хотите добавить и включить единый вход для другого приложения SAP. Повторите шаги, указанные в разделе «Добавление SAP Cloud Identity Services из галереи».
На стороне Entra на странице интеграции с приложением SAP Cloud Identity Services выберите Связанный вход.
Сохраните конфигурацию.
Для получения дополнительной информации см. документацию о сервисах SAP Cloud Identity в разделе Интеграция с Microsoft Entra ID.
Примечание.
Новое приложение применит ту же конфигурацию единого входа, которая настроена для первого приложения SAP. Убедитесь, что в консоли администрирования SAP Cloud Identity Services указаны те же поставщики корпоративных удостоверений.
Создание тестового пользователя SAP Cloud Identity Services
Вам не нужно создавать пользователя в SAP Cloud Identity Services. Пользователи, которые находятся в магазине пользователей Microsoft Entra, могут использовать функции единого входа.
В SAP Cloud Identity Services поддерживается опция федерации удостоверений. Это позволяет приложению проверять, существуют ли пользователи, прошедшие аутентификацию через корпоративного поставщика удостоверений, в хранилище пользователей SAP Cloud Identity Services.
Опция федерации удостоверений по умолчанию отключена. Если федерация идентичности включена, доступ к приложению смогут получить только те пользователи, которые были импортированы в SAP Cloud Identity Services.
Для получения дополнительных сведений о включении или отключении федерации удостоверений с облачными службами удостоверений SAP см. раздел "Включение федерации удостоверений с облачными службами удостоверений SAP" в Настройка федерации удостоверений с помощью хранилища удостоверений SAP Cloud Identity Services.
Примечание.
Облачные службы удостоверений SAP также поддерживают автоматическую подготовку пользователей, см. дополнительные сведения о настройке автоматической подготовки пользователей.
Тест единого входа
В этом разделе вы испытываете конфигурацию единого входа Microsoft Entra с помощью следующих параметров: инициированных поставщиком услуг и инициированных поставщиком удостоверений.
При возникновении ошибок при входе в облачные службы удостоверений SAP с идентификатором корреляции в консоли администрирования облачных удостоверений SAP можно найти журналы устранения неполадок для этого идентификатора корреляции. Дополнительные сведения см. в статье базы знаний SAP 2698571 и статье базы знаний SAP 3201824 .
Инициация СП:
Выберите Тестировать это приложение, этот параметр перенаправляет на URL-адрес для входа в SAP Cloud Identity Services, где можно инициировать поток входа.
Перейдите напрямую по URL для входа в SAP Cloud Identity Services и начните процесс авторизации оттуда.
Инициировано поставщиком удостоверений
- Выберите Тестировать это приложение, и вы автоматически войдете в SAP Cloud Identity Services, для которого настроили единый вход в систему.
Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. Щелкнув на плитку SAP Cloud Identity Services в разделе "Мои приложения", если настроено в режиме SP, вы будете перенаправлены на страницу входа в приложение для инициации процесса входа. Если настроено в режиме IDP, вы автоматически войдете в SAP Cloud Identity Services, для которого настроена функция единого входа (SSO). Дополнительные сведения о моих приложениях см. в разделе "Общие сведения о моих приложениях".
Связанное содержимое
Чтобы синхронизировать пользователей из Microsoft Entra с SAP Cloud Identity Services, включите автоматическую подготовку пользователей.
После настройки единого входа в SAP Cloud Identity Services вы также можете настроить SAP Cloud Identity Services для пересылки всех запросов единого входа в Microsoft Entra. Если этот параметр включен в службах SAP Cloud Identity Services, каждый раз, когда пользователь пытается получить доступ к приложению, подключенном к облачным службам удостоверений SAP, службам облачных удостоверений SAP будет пересылаться запрос проверки подлинности в Microsoft Entra, даже если у пользователя есть активный сеанс в облачных службах удостоверений SAP.
Вы также можете применить элементы управления сеансами, которые защищают конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Элементы управления сеансом являются расширением функции условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облачных приложений.
Вы также можете управлять доступом к приложениям SAP BTP, используя Microsoft Entra ID Governance для формирования групп, связанных с ролями в коллекции ролей BTP. Дополнительные сведения см. в разделе "Управление доступом к SAP BTP".
Ознакомьтесь с рекомендациями и руководством по передовой практике для внедрения установки.