Руководство по интеграции единого входа Microsoft Entra с SAP Cloud Identity Services
В этом руководстве описано, как интегрировать облачные службы удостоверений SAP с идентификатором Microsoft Entra. Интеграция служб облачных удостоверений SAP с идентификатором Microsoft Entra можно:
- Контроль доступа к облачным службам удостоверений SAP с помощью идентификатора Microsoft Entra.
- Включите автоматический вход пользователей в sap Cloud Identity Services с помощью учетных записей Microsoft Entra.
- Управление учетными записями в одном центральном расположении.
Совет
Следуйте рекомендациям и рекомендациям по использованию идентификатора Microsoft Entra для защиты доступа к платформам и приложениям SAP для эксплуатации установки.
Необходимые компоненты
Чтобы приступить к работе, потребуется следующее.
- Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
- Подписка SAP Cloud Identity Services с поддержкой единого входа.
Описание сценария
В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.
- SAP Cloud Identity Services поддерживает единый вход, инициированный поставщиком услуг и поставщиком удостоверений.
- SAP Cloud Identity Services поддерживает автоматическую подготовку пользователей.
Прежде чем углубиться в технические подробности, очень важно разобраться в основных понятиях этого процесса. Облачные службы удостоверений SAP и службы федерации Active Directory (AD FS) позволяют реализовать единый вход в приложениях или службах, защищенных идентификатором Microsoft Entra ID (в качестве поставщика удостоверений) с приложениями и службами SAP, защищенными облачными службами удостоверений SAP.
Сейчас SAP Cloud Identity Services выполняет роль промежуточного поставщика удостоверений для приложений SAP. Идентификатор Microsoft Entra, в свою очередь, выступает в качестве ведущего поставщика удостоверений в этой настройке.
Этот пример представлен на схеме ниже.
С помощью этой настройки клиент SAP Cloud Identity Services настраивается как доверенное приложение в идентификаторе Microsoft Entra.
Все приложения и службы SAP, которые вы намерены защитить, настраиваются в консоли управления SAP Cloud Identity Services.
Таким образом, авторизация для предоставления доступа к приложениям и службам SAP должна проходить в облачных службах идентификации SAP (в отличие от идентификатора Microsoft Entra).
Настраивая облачные службы удостоверений SAP в качестве приложения через Microsoft Entra Marketplace, вам не нужно настраивать отдельные утверждения или утверждения SAML.
Примечание.
В настоящее время обе стороны проверили только единый вход через веб-интерфейс. Потоки взаимодействия "приложение — API" и "API — API" готовы и работают, но пока не тестировались. Выполнение таких тестов входит в программу дальнейших действий.
Добавление SAP Cloud Identity Services из коллекции
Чтобы настроить интеграцию sap Cloud Identity Services с идентификатором Microsoft Entra ID, необходимо добавить sap Cloud Identity Services из коллекции в список управляемых приложений SaaS.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
- В разделе Добавление из коллекции в поле поиска введите SAP Cloud Identity Services.
- Выберите SAP Cloud Identity Services на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.
Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.
Настройка и проверка единого входа Microsoft Entra для облачных удостоверений SAP
Настройте и проверьте единый вход Microsoft Entra в SAP Cloud Identity Services с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в sap Cloud Identity Services.
Чтобы настроить и проверить единый вход Microsoft Entra в SAP Cloud Identity Services, выполните следующие действия.
- Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
- Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
- Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
- Настройка единого входа в SAP Cloud Identity Services необходима, чтобы настроить параметры единого входа на стороне приложения.
- Создание тестового пользователя SAP Cloud Identity Services требуется для того, чтобы в SAP Cloud Identity Services был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
- Проверка единого входа позволяет убедиться в правильности конфигурации.
Настройка единого входа Microsoft Entra
Выполните следующие действия, чтобы включить единый вход Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям>Identity>Applications>Enterprise sap Cloud Identity Services>с единым входом.
На странице Выбрать метод единого входа выберите SAML.
На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.
Если вам нужно настроить единый вход, инициируемый поставщиком удостоверений, и у вас есть файл метаданных поставщика услуг, выполните следующие действия в разделе Базовая конфигурация SAML:
a. Щелкните Отправить файл метаданных.
b. Щелкните логотип папки, чтобы выбрать файл метаданных, скачанный из SAP, и нажмите кнопку "Отправить".
c. После успешной передачи файла метаданных значения Идентификатор и URL-адрес ответа в разделе "Базовая конфигурация SAML" заполнятся автоматически.
Примечание.
Если поля Идентификатор и URL-адрес ответа автоматически не заполняются, введите эти значения вручную в соответствии с поставленной задачей.
если хотите настроить приложение для работы в режиме, инициируемом поставщиком услуг.
В текстовом поле URL-адрес входа (необязательно) введите URL-адрес, используя следующий шаблон:
{YOUR BUSINESS APPLICATION URL}
Примечание.
Это значение приведено для справки. Вместо него необходимо указать фактический URL-адрес входа. Используйте свой URL-адрес входа для бизнес-приложения. Если у вас возникнут сомнения, обратитесь в службу поддержки клиентов SAP Cloud Identity Services.
Приложение SAP Cloud Identity Services ожидает проверочные утверждения SAML в определенном формате, для которого требуется добавить сопоставления настраиваемых атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.
В дополнение к описанному выше приложение SAP Cloud Identity Services ожидает несколько дополнительных атрибутов в ответе SAML, как показано ниже. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.
Имя. Атрибут источника firstName user.givenname На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML щелкните Скачать, чтобы скачать нужный вам XML метаданных, и сохраните его на компьютере.
Требуемые URL-адреса вы можете скопировать из раздела Настройка SAP Cloud Identity Services.
Создание тестового пользователя Microsoft Entra
В этом разделе описано, как создать тестового пользователя B.Simon.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
- Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
- Выберите "Создать пользователя>" в верхней части экрана.
- В свойствах пользователя выполните следующие действия.
- В поле "Отображаемое имя" введите
B.Simon
. - В поле имени участника-пользователя введите [email protected]имя пользователя. Например,
[email protected]
. - Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
- Выберите Review + create (Просмотреть и создать).
- В поле "Отображаемое имя" введите
- Нажмите кнопку создания.
Назначение тестового пользователя Microsoft Entra
В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к sap Cloud Identity Services.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к >приложениям>Identity Application>Enterprise SAP Cloud Identity Services.
На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.
Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.
В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
В диалоговом окне Добавление назначения нажмите кнопку Назначить.
Настройка единого входа для SAP Cloud Identity Services
Войдите в консоль администрирования sap Cloud Identity Services. URL-адрес имеет следующий формат:
https://<tenant-id>.accounts.ondemand.com/admin
.В разделе "Приложения и ресурсы" выберите плитку "Параметры клиента".
На вкладке "Единый вход" перейдите в конфигурацию SAML 2.0, нажмите кнопку "Скачать файл метаданных", чтобы скачать метаданные и использовать его позже в конфигурации на стороне Записи.
В разделе "Поставщики удостоверений" выберите плитку "Поставщики корпоративных удостоверений".
Нажмите кнопку + Создать , чтобы создать поставщика удостоверений.
Выполните следующие действия в диалоговом окне "Создание поставщика удостоверений".
a. Укажите допустимое имя в отображаемом имени.
b. Выберите идентификатор Microsoft ADFS/Entra (SAML 2.0) в раскрывающемся списке.
c. Нажмите кнопку Создать.
Перейдите в раздел "Доверие—> конфигурация SAML 2.0" и нажмите кнопку "Обзор ", чтобы отправить XML-файл метаданных, скачанный из конфигурации Entra.
Нажмите кнопку Сохранить.
Следующие действия нужно выполнять только в том случае, если вы хотите добавить и включить единый вход для другого приложения SAP. Повторите весь процесс, описанный в разделе Добавление SAP Cloud Identity Services из коллекции.
На стороне Элемента на странице интеграции с приложением SAP Cloud Identity Services выберите связанный вход.
Сохраните конфигурацию.
Дополнительные сведения см. в документации по SAP Cloud Identity Services в integration with Microsoft Entra ID.
Примечание.
Новое приложение применит ту же конфигурацию единого входа, которая настроена для первого приложения SAP. Убедитесь, что в консоли администрирования SAP Cloud Identity Services указаны те же поставщики корпоративных удостоверений.
Создание тестового пользователя SAP Cloud Identity Services
Вам не нужно создавать пользователя в SAP Cloud Identity Services. Пользователи, которые находятся в магазине пользователей Microsoft Entra, могут использовать функции единого входа.
Приложение SAP Cloud Identity Services поддерживает федерацию удостоверений. Это позволяет приложению проверять, существуют ли пользователи, прошедшие аутентификацию через корпоративного поставщика удостоверений, в хранилище пользователей SAP Cloud Identity Services.
Параметр федерации удостоверений по умолчанию отключен. Если вы включите этот параметр, доступ к приложению смогут получить только те пользователи, которые были ранее импортированы в SAP Cloud Identity Services.
Дополнительные сведения о том, как включить или отключить параметр федерации удостоверений для SAP Cloud Identity Services см. в разделе "Включение федерации удостоверений с SAP Cloud Identity Services" статьи Настройка федерации удостоверений с использованием хранилища пользователей SAP Cloud Identity Services.
Примечание.
SAP Cloud Identity Services также поддерживает автоматическую подготовку пользователей. Дополнительные сведения о настройке автоматической подготовки пользователей можно найти здесь.
Проверка единого входа
В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.
Инициация поставщиком услуг:
Щелкните "Тестировать это приложение", вы будете перенаправлены по URL-адресу для входа в sap Cloud Identity Services, где можно инициировать поток входа.
Перейдите по URL-адресу для входа в облачные службы удостоверений SAP и инициируйте поток входа.
Вход, инициированный поставщиком удостоверений
- Щелкните "Тестировать это приложение", и вы автоматически войдете в sap Cloud Identity Services, для которого настроили единый вход.
Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. Щелкнув плитку SAP Cloud Identity Services в Мои приложения, вы будете перенаправлены на страницу входа в приложение для инициации потока входа и при настройке в режиме поставщика удостоверений, вы автоматически войдете в sap Cloud Identity Services, для которого настроили единый вход. Дополнительные сведения о портале "Мои приложения" см. в этой статье.
Следующие шаги
После настройки SAP Cloud Identity Services вы сможете применять элементы управления сеансами, которые в реальном времени защищают конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Элементы управления сеансом являются расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.
Ознакомьтесь с рекомендациями и рекомендациями по эксплуатации установки.