Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье вы узнаете, как интегрировать sap Cloud Identity Services с Microsoft Entra ID для единого входа. Интеграция служб облачных удостоверений SAP с Microsoft Entra ID позволяет:
- Контролируйте в Microsoft Entra ID, какие методы аутентификации пользователи могут использовать в облачных службах удостоверений SAP.
- Включите автоматический вход пользователей в sap Cloud Identity Services и подчиненные приложения SAP с помощью учетных записей Microsoft Entra.
- Управляйте своими учетными записями в одном центральном месте.
Совет
Следуйте рекомендациям и руководству по передовым методам "Using Microsoft Entra ID to secure access to SAP platforms and applications", чтобы выполнить настройку.
Требования
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:
- Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете бесплатно создать учетную запись.
- Одна из следующих ролей:
- Клиент служб облачных удостоверений SAP
- Учетная запись пользователя в sap Cloud Identity Services с разрешениями администратора.
Если у вас еще нет пользователей в Microsoft Entra ID, начните с статьи план развертывания Microsoft Entra для подготовки пользователей с помощью источника SAP и целевых приложений. В этой статье показано, как подключить Microsoft Entra и авторитетные источники, такие как SAP SuccessFactors, для получения списка работников в организации. В нем также показано, как использовать Microsoft Entra для настройки удостоверений для этих работников, чтобы они могли войти в одно или несколько приложений SAP, таких как SAP ECC или SAP S/4HANA.
Если вы настраиваете одноэтапную аутентификацию в SAP Cloud Identity Services в рабочей среде, где вы будете управлять доступом к рабочим нагрузкам SAP с помощью Управление Microsoft Entra ID, ознакомьтесь с предварительными требованиями перед настройкой Microsoft Entra ID для управления удостоверениями перед продолжением.
Описание сценария
В этой статье описана настройка и проверка единого входа Microsoft Entra в SAP Cloud Identity Services.
- Службы облачных удостоверений SAP поддерживают единый вход (SSO), инициированный как поставщиком услуг (SP), так и поставщиком удостоверений (IDP) с использованием SAML. Облачные службы удостоверений SAP также поддерживают OpenID Connect, но этот параметр не рассматривается в этой статье.
- Облачные службы удостоверений SAP также поддерживают управление пользователями и группами в Microsoft Entra ID. Дополнительные сведения см. в статье об автоматической подготовке пользователей.
Прежде чем углубиться в технические подробности, очень важно разобраться в основных понятиях этого процесса. Облачные службы удостоверений SAP позволяют реализовать единый вход в приложениях и службах SAP с тем же опытом единого входа, что и в приложениях, отличных от SAP, напрямую интегрированных с Microsoft Entra ID в качестве идентификационного провайдера.
Облачные службы удостоверений SAP действует как поставщик удостоверений, выполняющий роль прокси для других приложений SAP в качестве целевых систем. Microsoft Entra ID, в свою очередь, выступает в качестве ведущего поставщика идентификации в данной конфигурации.
На следующей схеме показана связь доверия:
При этой настройке службы SAP Cloud Identity Services настроены как одно или несколько приложений в Microsoft Entra ID. Microsoft Entra настроен как поставщик удостоверений Corporate Identity Provider в облачных службах удостоверений SAP.
Все приложения и службы SAP, которые вы хотите предоставить единый вход таким образом, впоследствии настраиваются в качестве приложений в облачных службах идентификации SAP.
Назначение пользователей на роль в приложении SAP Cloud Identity Services в Microsoft Entra управляет выдачей токенов Microsoft Entra для SAP Cloud Identity Services. Авторизация для предоставления доступа к определенным приложениям и службам SAP и назначениям ролей для этих приложений SAP выполняется в облачных службах идентификации SAP и самих приложениях. Эта авторизация может быть основана на пользователях и группах, предоставляемых из Microsoft Entra ID.
Примечание.
В настоящее время обе стороны протестировали только веб-SSO. Потоки, необходимые для взаимодействия "приложение — API" или "API — API", должны работать, но пока не тестировались. Они тестируются во время последующих мероприятий.
Добавление SAP Cloud Identity Services из коллекции
Чтобы настроить интеграцию SAP Cloud Identity Services с Microsoft Entra ID, необходимо добавить SAP Cloud Identity Services из галереи в список управляемых приложений SaaS.
- Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.
- Перейдите к Entra ID>корпоративные приложения>новое приложение.
- В разделе "Добавление из коллекции" в поле поиска введите SAP Cloud Identity Services .
- Выберите sap Cloud Identity Services на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в ваш тенант.
Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Узнайте больше о мастерах Microsoft 365.
Настройка и проверка единого входа Microsoft Entra для облачных служб удостоверений SAP
Настройте и проверьте единый вход Microsoft Entra в SAP Cloud Identity Services с помощью тестового пользователя B.Simon. Для функционирования единого входа необходимо установить связку между пользователем Microsoft Entra и соответствующим пользователем в SAP Cloud Identity Services.
Чтобы настроить и проверить единый вход Microsoft Entra в SAP Cloud Identity Services, выполните следующие действия.
-
Настройка единого входа Microsoft Entra SSO — чтобы пользователи могли использовать эту функцию.
- Создать тестового пользователя Microsoft Entra — для тестирования единого входа Microsoft Entra с B.Simon.
- Assign тестового пользователя Microsoft Entra — чтобы B.Simon мог использовать Microsoft Entra как одну систему входа.
-
Настройка SSO в SAP Cloud Identity Services , чтобы настроить параметры единого входа на стороне приложения.
- Создать тестового пользователя в SAP Cloud Identity Services - чтобы создать аналог пользователя B.Simon в SAP Cloud Identity Services, связанного с представлением пользователя в Microsoft Entra.
- Тест SSO - чтобы проверить, работает ли конфигурация.
Получите метаданные федерации облачных служб удостоверений SAP
Войдите в консоль администрирования sap Cloud Identity Services. URL-адрес имеет следующий шаблон:
https://<tenant-id>.accounts.ondemand.com/adminилиhttps://<tenant-id>.trial-accounts.ondemand.com/admin.В разделе "Приложения и ресурсы" выберите "Параметры клиента".
На вкладке "Единый вход" выберите SAML 2.0 Configuration. Затем выберите "Скачать файл метаданных" , чтобы скачать метаданные федерации облачных служб удостоверений SAP.
Настройка единого входа Microsoft Entra
Выполните следующие шаги, чтобы включить функцию единого входа (SSO) Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.
Перейдите на Entra ID>Enterprise apps. Введите имя приложения, например облачные службы удостоверений SAP. Выберите приложение, а затем выберите единый вход.
На странице "Выбор метода единого входа" выберите SAML.
В разделе "Базовая конфигурация SAML", если у вас есть файл метаданных поставщика услуг от SAP Cloud Identity Services, выполните следующие действия.
a. Выберите "Отправить файл метаданных".
б. Выберите логотип папки , чтобы выбрать файл метаданных, скачанный из SAP, и нажмите кнопку "Отправить".
с. После успешной отправки файла метаданных значения идентификатора и URL-адреса ответа автоматически заполняются в разделе "Базовая конфигурация SAML".
Примечание.
Если значения идентификатора и URL-адреса ответа не заполняются автоматически, заполните их вручную в соответствии с вашими требованиями.
Если вы хотите настроить дополнительные конфигурации, на странице "Настройка единого входа" на странице SAML выберите значок карандаша для базовой конфигурации SAML , чтобы изменить параметры.
В текстовом поле URL-адрес входа (необязательно) введите URL-адрес для входа в конкретное бизнес-приложение.
Примечание.
Обновите это значение, указав фактический URL-адрес входа. Дополнительные сведения см. в статье о базе знаний SAP 3128585. Обратитесь в службу поддержки клиентов служб облачных удостоверений SAP , если у вас возникли вопросы.
Приложение SAP Cloud Identity Services ожидает утверждения SAML в определенном формате, что требует добавления настраиваемых сопоставлений атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.
В дополнение к описанному выше приложение SAP Cloud Identity Services ожидает несколько дополнительных атрибутов в ответе SAML, как показано ниже. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.
Имя. Атрибут источника Имя имя_пользователя.givenname На странице "Настройка Single Sign-On с помощью SAML" в разделе "Сертификат подписи SAML" выберите "Скачать", чтобы скачать XML-файл метаданных из предложенных вариантов в зависимости от ваших потребностей и сохранить его на компьютере.
В разделе "Настройка облачных удостоверений SAP " скопируйте соответствующие URL-адреса в соответствии с вашим требованием.
Создание и назначение тестового пользователя Microsoft Entra
Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя, чтобы создать тестовую учетную запись пользователя B.Simon.
Настройка единого входа для SAP Cloud Identity Services
В этом разделе описано, как создать поставщика корпоративных удостоверений в консоли администрирования sap Cloud Identity Services. Дополнительные сведения см. в разделе "Создание корпоративного поставщика удостоверений" в консоли администрирования.
Войдите в консоль администрирования sap Cloud Identity Services. URL-адрес имеет следующий шаблон:
https://<tenant-id>.accounts.ondemand.com/adminилиhttps://<tenant-id>.trial-accounts.ondemand.com/admin.В разделе "Поставщики удостоверений" выберите плитку "Поставщики корпоративных удостоверений".
Нажмите кнопку +Создать , чтобы создать поставщика удостоверений.
Выполните следующие действия на диалоговом окне Создание поставщика удостоверений.
a. Укажите правильное имя в поле Имя для отображения.
б. Выберите Майкрософт ADFS/Entra ID (SAML 2.0) в раскрывающемся списке.
с. Нажмите кнопку "Создать".
Перейдите в раздел "Доверие" —> конфигурация SAML 2.0. В поле для файла Metadata File нажмите Обзор, чтобы загрузить файл Metadata XML, скачанный из конфигурации единого входа Microsoft Entra.
Нажмите кнопку "Сохранить".
Следующие действия нужно выполнять только в том случае, если вы хотите добавить и включить единый вход для другого приложения SAP. Повторите шаги, указанные в разделе «Добавление SAP Cloud Identity Services из галереи».
На стороне Entra на странице интеграции с приложением SAP Cloud Identity Services выберите Связанный вход.
Сохраните конфигурацию.
Для получения дополнительной информации, пожалуйста, ознакомьтесь с документацией по SAP Cloud Identity Services в разделе Интеграция с Microsoft Entra ID.
Примечание.
Новое приложение применит ту же конфигурацию единого входа, которая настроена для первого приложения SAP. Убедитесь, что в консоли администрирования SAP Cloud Identity Services указаны те же поставщики корпоративных удостоверений.
Создание тестового пользователя SAP Cloud Identity Services
Вам не нужно создавать пользователя в SAP Cloud Identity Services. Пользователи, которые находятся в хранилище пользователей Microsoft Entra, могут использовать функцию SSO.
В SAP Cloud Identity Services поддерживается опция федерации удостоверений. Это позволяет приложению проверять, существуют ли пользователи, прошедшие аутентификацию через корпоративного поставщика удостоверений, в хранилище пользователей SAP Cloud Identity Services.
Опция федерации удостоверений по умолчанию отключена. Если федерация идентичности включена, доступ к приложению смогут получить только те пользователи, которые были импортированы в SAP Cloud Identity Services.
Для получения дополнительных сведений о включении или отключении федерации удостоверений с облачными службами удостоверений SAP см. раздел "Включение федерации удостоверений с облачными службами удостоверений SAP" в Настройка федерации удостоверений с помощью хранилища удостоверений SAP Cloud Identity Services.
Примечание.
Облачные службы удостоверений SAP также поддерживают автоматическую подготовку пользователей, см. дополнительные сведения о настройке автоматической подготовки пользователей.
Тест единого входа
В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с помощью следующих методов: инициированный системой SP и инициированный системой IDP.
При возникновении ошибок при входе в облачные службы удостоверений SAP с идентификатором корреляции в консоли администрирования облачных удостоверений SAP можно найти журналы устранения неполадок для этого идентификатора корреляции. Дополнительные сведения см. в статье базы знаний SAP 2698571 и статье базы знаний SAP 3201824 .
Инициация СП:
Выберите Тестировать это приложение, этот параметр перенаправляет на URL-адрес для входа в SAP Cloud Identity Services, где можно инициировать поток входа.
Перейдите напрямую по URL для входа в SAP Cloud Identity Services и начните процесс авторизации оттуда.
Инициировано поставщиком удостоверений
- Выберите Тестировать это приложение, и вы автоматически войдете в SAP Cloud Identity Services, для которого настроили единый вход в систему.
Вы также можете использовать Майкрософт Мои приложения для тестирования приложения в любом режиме. При выборе плитки SAP Cloud Identity Services в Мои приложения, если она настроена в режиме SP, вы будете перенаправлены на страницу входа в приложение для начала процесса входа. Если настроена в режиме IDP, вы автоматически войдете в SAP Cloud Identity Services, для которого настроена единая аутентификация (SSO). Дополнительные сведения о Мои приложения см. в разделе Introduction to the Мои приложения.
Обнаружение существующих пользователей в облачных службах удостоверений SAP
До интеграции с Microsoft Entra ваша учетная запись SAP Cloud Identity Services уже может иметь одного или нескольких пользователей. Используя функцию обнаружения учетных записей, вы можете создать отчет всех пользователей в службах SAP Cloud Identity Services, определить, какие пользователи имеют соответствующие учетные записи в Entra, и какие пользователи являются локальными для sap Cloud Identity Services с одним щелчком мыши. Дополнительные сведения о функции обнаружения учетных записей см. здесь. Это позволяет упростить подключение к Entra, а также выполнять мониторинг несанкционированного доступа.
Связанное содержимое
Чтобы синхронизировать пользователей из Microsoft Entra с облачными службами удостоверений SAP, включите автоматическое создание пользователей.
После настройки единого входа в SAP Cloud Identity Services можно также настроить SAP Cloud Identity Services для перенаправления всех запросов единого входа в Microsoft Entra. Если этот параметр включен в облачных службах удостоверений SAP, каждый раз, когда пользователь пытается получить доступ к приложению, подключенном к облачным службам удостоверений SAP в первый раз, sap Cloud Identity Services перенаправит запрос проверки подлинности в Microsoft Entra, даже если у пользователя есть активный сеанс в sap Cloud Identity Services.
Вы также можете применить элементы управления сеансами, которые защищают конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Элементы управления сеансом являются расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью Microsoft Defender for Cloud Apps.
Вы также можете управлять доступом к приложениям SAP BTP, используя Управление Microsoft Entra ID для заполнения групп, связанных с ролями в коллекции ролей BTP. Дополнительные сведения см. в разделе "Управление доступом к SAP BTP".
Ознакомьтесь с рекомендациями и руководством по передовой практике для внедрения установки.