Интеграция Microsoft Entra SSO с платформой SAP Business Technology

Из этой статьи вы узнаете, как интегрировать SAP Business Technology Platform с идентификатором Microsoft Entra. Интеграция SAP Business Technology Platform с идентификатором Microsoft Entra позволяет:

• Определение, кто имеет доступ к платформе SAP Business Technology Platform, с помощью Microsoft Entra ID.
• Включите автоматический вход пользователей в SAP Business Technology Platform с помощью учетных записей Microsoft Entra.
• Управляйте учетными записями в одном месте.

Необходимые условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • администратор облачных приложений
  • Владелец приложения.

• Подписка SAP Business Technology Platform с функцией единого входа.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• SAP Business Technology Platform поддерживает SSO, инициированный .

Добавьте SAP Business Technology Platform из галереи

Чтобы настроить интеграцию SAP Business Technology Platform с идентификатором Microsoft Entra ID, необходимо добавить SAP Business Technology Platform из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.
2. Перейдите к Identity и Enterprise приложениям>>>Новое приложение.
3. В разделе Добавление из коллекции в поле поиска введите SAP Business Technology Platform.
4. Выберите платформу SAP Business Technology Platform на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в ваш тенант.

Кроме того, можно использовать мастер настройки корпоративных приложений . В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для SAP Business Technology Platform

Настройте и проверьте конфигурацию единого входа Microsoft Entra в SAP Business Technology Platform, используя тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Платформе бизнес-технологий SAP.

Чтобы настроить и проверить единый вход Microsoft Entra в SAP Business Technology Platform, выполните следующие действия.

1. Настроить Microsoft Entra SSO, чтобы пользователи могли использовать эту функцию.
   1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью Britta Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить пользователю Britta Simon использовать единый вход Microsoft Entra.
2. Настроить единую аутентификацию (SSO) на платформе SAP Business Technology Platform для настройки параметров Single Sign-On на стороне приложения.
   1. Создайте тестового пользователя SAP Business Technology Platform — чтобы иметь аналог Britta Simon в SAP Business Technology Platform, связанный с представлением пользователя в Microsoft Entra.
3. Тестирование SSO - для проверки, работает ли конфигурация.

Настроить SSO Microsoft Entra

Выполните следующие действия, чтобы настроить SSO для Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.

2. Перейдите к приложениям Identity>>Корпоративные приложения>SAP Business Technology Platform>единый вход.

3. На странице выбора метода единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

   

5. В разделе Базовая конфигурация SAML введите значения для следующих полей:

   a. В текстовом поле идентификатора введите URL-адрес платформы SAP Business Technology Platform, используя один из следующих шаблонов:

   Идентификатор
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. В текстовом поле URL-адрес ответа введите адрес, используя один из следующих шаблонов:

   URL-адрес ответа
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   с. В текстовом поле URL-адрес входа введите URL-адрес, используемый пользователями для входа в приложение SAP Business Technology Platform. Это URL-адрес ресурса, защищенного для конкретной учетной записи, в приложении SAP Business Technology Platform. URL-адрес основан на следующем шаблоне: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Заметка

   Это URL-адрес приложения SAP Business Technology Platform, который требует проверки подлинности пользователя.

   URL-адрес входа
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Заметка

   Эти значения не являются реальными. Обновите эти значения фактическим идентификатором, URL-адресом ответа и URL-адресом входа. Чтобы получить URL-адрес и идентификатор Sign-On, обратитесь в службу поддержки клиентов SAP Business Technology Platform. URL-адрес ответа вы можете получить из раздела управления доверием, который описан далее в статье.

6. На странице Настройка Sign-On с SAML в разделе Сертификат подписи SAML выберите Скачать, чтобы загрузить XML-файл метаданных федерации из доступных вариантов по вашим требованиям и сохраните его на вашем компьютере.

   

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям из краткого руководства «Создание и назначение учетной записи пользователя», чтобы создать тестовую учетную запись пользователя с именем B.Simon.

Настройка единого входа для SAP Business Technology Platform

1. В другом окне веб-браузера войдите в SAP Business Technology Platform Cockpit на https://account.<landscape host>.ondemand.com/cockpit(например: https://account.hanatrial.ondemand.com/cockpit).

2. Выберите вкладку "Доверие ".

   

3. В разделе "Управление доверием", под Локальный поставщик услуг, выполните следующие действия:

   

   a. Выберите Изменить.

   b. Как тип конфигурации, выберите Пользовательский.

   с. В поле Имя локального поставщикаоставьте значение по умолчанию. Скопируйте это значение и вставьте его в поле Идентификатор в конфигурации Microsoft Entra для платформы SAP Business Technology Platform.

   д. Чтобы создать ключ подписывания и пару ключей сертификата подписи , выберите "Создать пару ключей".

   e. Как основную передачу полномочийвыберите Отключено.

   f. В качестве принудительной аутентификации выберите Отключено.

   g. Выберите Сохранить.

4. После сохранения параметров локального поставщика услуг выполните следующие действия, чтобы получить URL-адрес ответа:

   

   a. Скачайте файл метаданных платформы SAP Business Technology Platform, выбрав "Получить метаданные".

   b. Откройте скачанный XML-файл метаданных платформы SAP Business Technology Platform и найдите тег ns3:AssertConsumerService.

   с. Скопируйте значение атрибута Location, а затем вставьте его в поле URL-адрес ответа в конфигурации Microsoft Entra для платформы SAP Business Technology Platform.

5. Перейдите на вкладку "Надежный поставщик удостоверений ", а затем выберите "Добавить доверенного поставщика удостоверений".

   

   Заметка

   Чтобы управлять списком доверенных поставщиков удостоверений, необходимо выбрать тип настраиваемой конфигурации в разделе "Локальный поставщик услуг". Для типа конфигурации по умолчанию у вас есть неизменяемое и неявное доверие к службе идентификаторов SAP. Для None у вас нет параметров доверия.

6. Перейдите на вкладку "Общие " и нажмите кнопку "Обзор ", чтобы отправить скачанный файл метаданных.

   

   Заметка

   После загрузки файла метаданных значения для URL-адреса единого входа, URL-адреса единого выходаи сертификата подписи заполняются автоматически.

7. Выберите вкладку "Атрибуты ".

8. На вкладке атрибутов выполните следующий шаг:

   

   a. Выберите "Добавить атрибут Assertion-Based", а затем добавьте следующие атрибуты на основе утверждения:

   Атрибут утверждения	Основной атрибут
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	имя
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	фамилия
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	электронная почта

   Заметка

   Конфигурация атрибутов зависит от того, как разрабатываются приложения на SCP, то есть атрибуты, которые они ожидают в ответе SAML и под каким именем (основной атрибут) они получают доступ к этому атрибуту в коде.

   b. Атрибут по умолчанию на снимке экрана показан только в качестве примера. Для работы сценария ничего не требуется.

   с. Имена и значения для основного атрибута, показанные на снимке экрана, зависят от того, как разрабатывается приложение. Возможно, вашему приложению требуются другие сопоставления.

Группы, сформированные на основе утверждений

В качестве дополнительного шага можно настроить группы на основе утверждений для поставщика удостоверений Microsoft Entra.

Использование групп на платформе SAP Business Technology Platform позволяет динамически назначать одного или нескольких пользователей одной или нескольким ролям в приложениях платформы SAP Business Technology Platform, определяемыми значениями атрибутов в утверждении SAML 2.0.

Например, если утверждение содержит атрибут "contract=временный", может потребоваться добавить всех затронутых пользователей в группу "ВРЕМЕННЫЙ". Группа "ВРЕМЕННЫЙ" может содержать одну или несколько ролей из одного или нескольких приложений, развернутых в учетной записи платформы SAP Business Technology Platform.

Используйте группы на основе утверждений, если вы хотите одновременно назначить многих пользователей одной или нескольким ролям приложений в учетной записи ПЛАТФОРМы SAP Business Technology Platform. Если вы хотите назначить только одного или небольшое количество пользователей определённым ролям, рекомендуется назначать их непосредственно на вкладке "Авторизации" в интерфейсе SAP Business Technology Platform.

Создание тестового пользователя SAP Business Technology Platform

Чтобы пользователи Microsoft Entra могли войти в SAP Business Technology Platform, необходимо назначить им роли в платформе SAP Business Technology Platform.

Чтобы назначить роль пользователю, выполните следующие действия:

1. Войдите в платформу SAP Business Technology Platform, консоль.

2. Выполните следующее:

   

   a. Выберите "Авторизация".

   b. Откройте вкладку Пользователи.

   с. В текстовом поле user введите адрес электронной почты пользователя.

   д. Выберите Назначить, чтобы назначить пользователя на роль.

   e. Выберите Сохранить.

Проверка единого входа

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с использованием следующих параметров.

• Выберите "Тестировать это приложение", этот параметр перенаправляется по URL-адресу входа в SAP Business Technology Platform, где можно инициировать поток входа.

• Перейдите напрямую по URL-адресу страницы входа на платформу SAP Business Technology Platform и инициируйте процесс авторизации.

• Вы можете использовать Microsoft My Apps. При выборе плитки SAP Business Technology Platform в разделе "Мои приложения" вы автоматически войдете в приложение SAP Business Technology Platform, для которого настроили единый вход. Дополнительные сведения о My Apps см. в разделе Введение в "Мои приложения".

Связанное содержимое

• После настройки SAP Business Technology Platform вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Контроль сеанса является продолжением условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.
• Управление доступом к приложениям SAP BTP с помощью групп