Настройка SAP Cloud Identity Services для единого входа с Microsoft Entra ID

В этой статье вы узнаете, как интегрировать sap Cloud Identity Services с Microsoft Entra ID для единого входа. Интеграция служб облачных удостоверений SAP с Microsoft Entra ID позволяет:

  • Контролируйте в Microsoft Entra ID, какие методы аутентификации пользователи могут использовать в облачных службах удостоверений SAP.
  • Включите автоматический вход пользователей в sap Cloud Identity Services и подчиненные приложения SAP с помощью учетных записей Microsoft Entra.
  • Управляйте своими учетными записями в одном центральном месте.

Совет

Следуйте рекомендациям и руководству по передовым методам "Using Microsoft Entra ID to secure access to SAP platforms and applications", чтобы выполнить настройку.

Требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

Если у вас еще нет пользователей в Microsoft Entra ID, начните с статьи план развертывания Microsoft Entra для подготовки пользователей с помощью источника SAP и целевых приложений. В этой статье показано, как подключить Microsoft Entra и авторитетные источники, такие как SAP SuccessFactors, для получения списка работников в организации. В нем также показано, как использовать Microsoft Entra для настройки удостоверений для этих работников, чтобы они могли войти в одно или несколько приложений SAP, таких как SAP ECC или SAP S/4HANA.

Если вы настраиваете одноэтапную аутентификацию в SAP Cloud Identity Services в рабочей среде, где вы будете управлять доступом к рабочим нагрузкам SAP с помощью Управление Microsoft Entra ID, ознакомьтесь с предварительными требованиями перед настройкой Microsoft Entra ID для управления удостоверениями перед продолжением.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в SAP Cloud Identity Services.

  • Службы облачных удостоверений SAP поддерживают единый вход (SSO), инициированный как поставщиком услуг (SP), так и поставщиком удостоверений (IDP) с использованием SAML. Облачные службы удостоверений SAP также поддерживают OpenID Connect, но этот параметр не рассматривается в этой статье.
  • Облачные службы удостоверений SAP также поддерживают управление пользователями и группами в Microsoft Entra ID. Дополнительные сведения см. в статье об автоматической подготовке пользователей.

Прежде чем углубиться в технические подробности, очень важно разобраться в основных понятиях этого процесса. Облачные службы удостоверений SAP позволяют реализовать единый вход в приложениях и службах SAP с тем же опытом единого входа, что и в приложениях, отличных от SAP, напрямую интегрированных с Microsoft Entra ID в качестве идентификационного провайдера.

Облачные службы удостоверений SAP действует как поставщик удостоверений, выполняющий роль прокси для других приложений SAP в качестве целевых систем. Microsoft Entra ID, в свою очередь, выступает в качестве ведущего поставщика идентификации в данной конфигурации.

На следующей схеме показана связь доверия:

Diagram архитектуры отношений доверия между приложениями SAP, облачными службами идентификации SAP и Microsoft Entra.

При этой настройке службы SAP Cloud Identity Services настроены как одно или несколько приложений в Microsoft Entra ID. Microsoft Entra настроен как поставщик удостоверений Corporate Identity Provider в облачных службах удостоверений SAP.

Все приложения и службы SAP, которые вы хотите предоставить единый вход таким образом, впоследствии настраиваются в качестве приложений в облачных службах идентификации SAP.

Диаграмма архитектуры SSO (Единого входа) и процесса предоставления между приложениями SAP, службами облачной идентификации SAP и Microsoft Entra.

Назначение пользователей на роль в приложении SAP Cloud Identity Services в Microsoft Entra управляет выдачей токенов Microsoft Entra для SAP Cloud Identity Services. Авторизация для предоставления доступа к определенным приложениям и службам SAP и назначениям ролей для этих приложений SAP выполняется в облачных службах идентификации SAP и самих приложениях. Эта авторизация может быть основана на пользователях и группах, предоставляемых из Microsoft Entra ID.

Примечание.

В настоящее время обе стороны протестировали только веб-SSO. Потоки, необходимые для взаимодействия "приложение — API" или "API — API", должны работать, но пока не тестировались. Они тестируются во время последующих мероприятий.

Чтобы настроить интеграцию SAP Cloud Identity Services с Microsoft Entra ID, необходимо добавить SAP Cloud Identity Services из галереи в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.
  2. Перейдите к Entra ID>корпоративные приложения>новое приложение.
  3. В разделе "Добавление из коллекции" в поле поиска введите SAP Cloud Identity Services .
  4. Выберите sap Cloud Identity Services на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в ваш тенант.

Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Узнайте больше о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для облачных служб удостоверений SAP

Настройте и проверьте единый вход Microsoft Entra в SAP Cloud Identity Services с помощью тестового пользователя B.Simon. Для функционирования единого входа необходимо установить связку между пользователем Microsoft Entra и соответствующим пользователем в SAP Cloud Identity Services.

Чтобы настроить и проверить единый вход Microsoft Entra в SAP Cloud Identity Services, выполните следующие действия.

  1. Настройка единого входа Microsoft Entra SSO — чтобы пользователи могли использовать эту функцию.
    1. Создать тестового пользователя Microsoft Entra — для тестирования единого входа Microsoft Entra с B.Simon.
    2. Assign тестового пользователя Microsoft Entra — чтобы B.Simon мог использовать Microsoft Entra как одну систему входа.
  2. Настройка SSO в SAP Cloud Identity Services , чтобы настроить параметры единого входа на стороне приложения.
    1. Создать тестового пользователя в SAP Cloud Identity Services - чтобы создать аналог пользователя B.Simon в SAP Cloud Identity Services, связанного с представлением пользователя в Microsoft Entra.
  3. Тест SSO - чтобы проверить, работает ли конфигурация.

Получите метаданные федерации облачных служб удостоверений SAP

  1. Войдите в консоль администрирования sap Cloud Identity Services. URL-адрес имеет следующий шаблон: https://<tenant-id>.accounts.ondemand.com/admin или https://<tenant-id>.trial-accounts.ondemand.com/admin.

  2. В разделе "Приложения и ресурсы" выберите "Параметры клиента".

    Скриншот, показывающий настройки арендатора.

  3. На вкладке "Единый вход" выберите SAML 2.0 Configuration. Затем выберите "Скачать файл метаданных" , чтобы скачать метаданные федерации облачных служб удостоверений SAP.

    Снимок экрана: кнопка скачивания метаданных.

Настройка единого входа Microsoft Entra

Выполните следующие шаги, чтобы включить функцию единого входа (SSO) Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.

  2. Перейдите на Entra ID>Enterprise apps. Введите имя приложения, например облачные службы удостоверений SAP. Выберите приложение, а затем выберите единый вход.

  3. На странице "Выбор метода единого входа" выберите SAML.

  4. В разделе "Базовая конфигурация SAML", если у вас есть файл метаданных поставщика услуг от SAP Cloud Identity Services, выполните следующие действия.

    a. Выберите "Отправить файл метаданных".

    б. Выберите логотип папки , чтобы выбрать файл метаданных, скачанный из SAP, и нажмите кнопку "Отправить".

    Снимок экрана: выбор файла метаданных

    с. После успешной отправки файла метаданных значения идентификатора и URL-адреса ответа автоматически заполняются в разделе "Базовая конфигурация SAML".

    Снимок экрана: URL-адреса.

    Примечание.

    Если значения идентификатора и URL-адреса ответа не заполняются автоматически, заполните их вручную в соответствии с вашими требованиями.

  5. Если вы хотите настроить дополнительные конфигурации, на странице "Настройка единого входа" на странице SAML выберите значок карандаша для базовой конфигурации SAML , чтобы изменить параметры.

    Изменение базовой конфигурации SAML

    В текстовом поле URL-адрес входа (необязательно) введите URL-адрес для входа в конкретное бизнес-приложение.

    Примечание.

    Обновите это значение, указав фактический URL-адрес входа. Дополнительные сведения см. в статье о базе знаний SAP 3128585. Обратитесь в службу поддержки клиентов служб облачных удостоверений SAP , если у вас возникли вопросы.

  6. Приложение SAP Cloud Identity Services ожидает утверждения SAML в определенном формате, что требует добавления настраиваемых сопоставлений атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.

    Снимок экрана: атрибуты.

  7. В дополнение к описанному выше приложение SAP Cloud Identity Services ожидает несколько дополнительных атрибутов в ответе SAML, как показано ниже. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.

    Имя. Атрибут источника
    Имя имя_пользователя.givenname
  8. На странице "Настройка Single Sign-On с помощью SAML" в разделе "Сертификат подписи SAML" выберите "Скачать", чтобы скачать XML-файл метаданных из предложенных вариантов в зависимости от ваших потребностей и сохранить его на компьютере.

    Ссылка на скачивание сертификата

  9. В разделе "Настройка облачных удостоверений SAP " скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

    Копирование URL-адресов конфигурации

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя, чтобы создать тестовую учетную запись пользователя B.Simon.

Настройка единого входа для SAP Cloud Identity Services

В этом разделе описано, как создать поставщика корпоративных удостоверений в консоли администрирования sap Cloud Identity Services. Дополнительные сведения см. в разделе "Создание корпоративного поставщика удостоверений" в консоли администрирования.

  1. Войдите в консоль администрирования sap Cloud Identity Services. URL-адрес имеет следующий шаблон: https://<tenant-id>.accounts.ondemand.com/admin или https://<tenant-id>.trial-accounts.ondemand.com/admin.

  2. В разделе "Поставщики удостоверений" выберите плитку "Поставщики корпоративных удостоверений".

  3. Нажмите кнопку +Создать , чтобы создать поставщика удостоверений.

    Снимок экрана: поставщик удостоверений.

  4. Выполните следующие действия на диалоговом окне Создание поставщика удостоверений.

    Снимок экрана: создание поставщика удостоверений.

    a. Укажите правильное имя в поле Имя для отображения.

    б. Выберите Майкрософт ADFS/Entra ID (SAML 2.0) в раскрывающемся списке.

    с. Нажмите кнопку "Создать".

  5. Перейдите в раздел "Доверие" —> конфигурация SAML 2.0. В поле для файла Metadata File нажмите Обзор, чтобы загрузить файл Metadata XML, скачанный из конфигурации единого входа Microsoft Entra.

    Снимок экрана: конфигурация поставщика удостоверений.

  6. Нажмите кнопку "Сохранить".

  7. Следующие действия нужно выполнять только в том случае, если вы хотите добавить и включить единый вход для другого приложения SAP. Повторите шаги, указанные в разделе «Добавление SAP Cloud Identity Services из галереи».

  8. На стороне Entra на странице интеграции с приложением SAP Cloud Identity Services выберите Связанный вход.

    Снимок экрана, показывающий настройку связанного входа в систему

  9. Сохраните конфигурацию.

  10. Для получения дополнительной информации, пожалуйста, ознакомьтесь с документацией по SAP Cloud Identity Services в разделе Интеграция с Microsoft Entra ID.

Примечание.

Новое приложение применит ту же конфигурацию единого входа, которая настроена для первого приложения SAP. Убедитесь, что в консоли администрирования SAP Cloud Identity Services указаны те же поставщики корпоративных удостоверений.

Создание тестового пользователя SAP Cloud Identity Services

Вам не нужно создавать пользователя в SAP Cloud Identity Services. Пользователи, которые находятся в хранилище пользователей Microsoft Entra, могут использовать функцию SSO.

В SAP Cloud Identity Services поддерживается опция федерации удостоверений. Это позволяет приложению проверять, существуют ли пользователи, прошедшие аутентификацию через корпоративного поставщика удостоверений, в хранилище пользователей SAP Cloud Identity Services.

Опция федерации удостоверений по умолчанию отключена. Если федерация идентичности включена, доступ к приложению смогут получить только те пользователи, которые были импортированы в SAP Cloud Identity Services.

Для получения дополнительных сведений о включении или отключении федерации удостоверений с облачными службами удостоверений SAP см. раздел "Включение федерации удостоверений с облачными службами удостоверений SAP" в Настройка федерации удостоверений с помощью хранилища удостоверений SAP Cloud Identity Services.

Примечание.

Облачные службы удостоверений SAP также поддерживают автоматическую подготовку пользователей, см. дополнительные сведения о настройке автоматической подготовки пользователей.

Тест единого входа

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с помощью следующих методов: инициированный системой SP и инициированный системой IDP.

При возникновении ошибок при входе в облачные службы удостоверений SAP с идентификатором корреляции в консоли администрирования облачных удостоверений SAP можно найти журналы устранения неполадок для этого идентификатора корреляции. Дополнительные сведения см. в статье базы знаний SAP 2698571 и статье базы знаний SAP 3201824 .

Инициация СП:

  • Выберите Тестировать это приложение, этот параметр перенаправляет на URL-адрес для входа в SAP Cloud Identity Services, где можно инициировать поток входа.

  • Перейдите напрямую по URL для входа в SAP Cloud Identity Services и начните процесс авторизации оттуда.

Инициировано поставщиком удостоверений

  • Выберите Тестировать это приложение, и вы автоматически войдете в SAP Cloud Identity Services, для которого настроили единый вход в систему.

Вы также можете использовать Майкрософт Мои приложения для тестирования приложения в любом режиме. При выборе плитки SAP Cloud Identity Services в Мои приложения, если она настроена в режиме SP, вы будете перенаправлены на страницу входа в приложение для начала процесса входа. Если настроена в режиме IDP, вы автоматически войдете в SAP Cloud Identity Services, для которого настроена единая аутентификация (SSO). Дополнительные сведения о Мои приложения см. в разделе Introduction to the Мои приложения.

Обнаружение существующих пользователей в облачных службах удостоверений SAP

До интеграции с Microsoft Entra ваша учетная запись SAP Cloud Identity Services уже может иметь одного или нескольких пользователей. Используя функцию обнаружения учетных записей, вы можете создать отчет всех пользователей в службах SAP Cloud Identity Services, определить, какие пользователи имеют соответствующие учетные записи в Entra, и какие пользователи являются локальными для sap Cloud Identity Services с одним щелчком мыши. Дополнительные сведения о функции обнаружения учетных записей см. здесь. Это позволяет упростить подключение к Entra, а также выполнять мониторинг несанкционированного доступа.

Чтобы синхронизировать пользователей из Microsoft Entra с облачными службами удостоверений SAP, включите автоматическое создание пользователей.

После настройки единого входа в SAP Cloud Identity Services можно также настроить SAP Cloud Identity Services для перенаправления всех запросов единого входа в Microsoft Entra. Если этот параметр включен в облачных службах удостоверений SAP, каждый раз, когда пользователь пытается получить доступ к приложению, подключенном к облачным службам удостоверений SAP в первый раз, sap Cloud Identity Services перенаправит запрос проверки подлинности в Microsoft Entra, даже если у пользователя есть активный сеанс в sap Cloud Identity Services.

Вы также можете применить элементы управления сеансами, которые защищают конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Элементы управления сеансом являются расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью Microsoft Defender for Cloud Apps.

Вы также можете управлять доступом к приложениям SAP BTP, используя Управление Microsoft Entra ID для заполнения групп, связанных с ролями в коллекции ролей BTP. Дополнительные сведения см. в разделе "Управление доступом к SAP BTP".

Ознакомьтесь с рекомендациями и руководством по передовой практике для внедрения установки.