Integrare Microsoft Entra ID con SAP Fiori

  • 11 minuti

L'integrazione di SAP Fiori con Microsoft Entra ID offre i vantaggi seguenti:

  • È possibile usare Microsoft Entra ID per controllare chi può accedere a SAP Fiori.
  • Gli utenti possono accedere automaticamente a SAP Fiori con gli account Microsoft Entra (Single Sign-On).
  • È possibile gestire gli account da una posizione centrale, il portale di Azure.

Per configurare l'integrazione di Microsoft Entra con SAP Fiori, sono necessari gli elementi seguenti:

  • Una sottoscrizione di Microsoft Entra.
  • Una sottoscrizione a SAP Fiori con accesso Single Sign-On abilitato.
  • È necessario SAP Fiori 7.20 o versioni successive.

Per integrare SAP Fiori con Microsoft Entra ID, prima è necessario aggiungerlo dalla raccolta dell’applicazione SaaS all'elenco delle app SaaS gestite.

Configurare l'accesso Single Sign-On di Microsoft Entra con SAP Fiori

Per il corretto funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione collegata tra un utente di Microsoft Entra e l'utente correlato in SAP Fiori. Completare le seguenti attività:

  1. Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare questa funzionalità.
  2. Configurare l'accesso Single Sign-On di SAP Fiori.
  3. Assegnare gli utenti di Microsoft Entra all'applicazione SAP Fiori.
  4. Creare utenti SAP Fiori collegati agli account degli utenti Microsoft Entra.

Configurare l'accesso Single Sign-On di Microsoft Entra

  1. Aprire una nuova finestra del Web browser e accedere al sito SAP Fiori aziendale come amministratore. Assicurarsi che i servizi http e https siano attivi e che le relative porte siano assegnate al codice di transazione SMICM.

  2. Accedere al client SAP aziendale per il sistema SAP T01, in cui è obbligatorio l’accesso Single Sign-On. Attivare quindi la gestione della sessione di sicurezza HTTP. Passare al codice transazione SICF_SESSIONS ed esaminare i parametri del profilo. Modificare i parametri in base ai requisiti dell'organizzazione e riavviare il sistema SAP.

  3. Attivare i servizi SICF seguenti:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Selezionare il codice di transazione SAML2 nel client aziendale del sistema SAP [T01/122]. L’interfaccia utente di configurazione viene aperta in una nuova finestra del browser. Immettere nome utente e password, quindi selezionare Accedi.

  5. Nella casella Nome del provider, sostituire T01122 con <http://T01122>, quindi selezionare Salva.

    Nota

    Per impostazione predefinita, il nome del provider è nel formato _sid-client_. Microsoft Entra ID prevede che il nome sia nel formato protocol://name. È consigliabile specificare il nome del provider nel formato https:// _sid-client_ in modo da poter configurare più motori ABAP SAP Fiori in Microsoft Entra ID.

  6. Selezionare scheda Provider locale / Metadati. Nella finestra di dialogo Metadati SAML 2.0, scaricare il file XML con i metadati generati e salvarlo nel computer.

  7. Nel riquadro per l’integrazione delle applicazioni SAP Fiori del portale di Azure, selezionare Single Sign-On.

  8. Nel riquadro Selezionare un metodo di accesso Single Sign-On, selezionare la modalità SAML o SAML/WS-Fed per abilitare il Single Sign-On.

  9. Nel riquadro Configura l'accesso Single Sign-On con SAML, selezionare Modifica (l'icona a forma di matita) per aprire il riquadro Configurazione SAML di base.

  10. Nella sezione Configurazione SAML di base selezionare Carica file di metadati e usare l'opzione Carica file di metadati per caricare il file di metadati scaricato in precedenza.

  11. Dopo il caricamento del file di metadati, i valori di Identificatore e URL di risposta vengono inseriti automaticamente nel riquadro Configurazione SAML di base. Nella casella URL di accesso, immettere un URL con il modello seguente: https://[istanza aziendale di SAP Fiori].

  12. L'applicazione SAP Fiori prevede un formato specifico per le asserzioni SAML. Le attestazioni che includono nome, cognome, indirizzo di posta elettronica, nome e ID utente univoco. Per gestire questi valori, nel riquadro Configura l'accesso Single Sign-On con SAML, selezionare Modifica.

  13. Nel riquadro Attributi utente e attestazioni, configurare gli attributi token SAML. Quindi, completare i passaggi seguenti:

    • Selezionare Modifica per aprire il riquadro Gestisci attestazioni utente.
    • Nell'elenco Trasformazione, selezionare ExtractMailPrefix().
    • Nell’elenco Parametro 1, selezionare utente.nomeprincipaleutente.

  14. Nel riquadro Configura l'accesso Single Sign-On con SAML, nella sezione Certificato di firma SAML, selezionare Scarica accanto a XML metadati federazione.

  15. Selezionare un'opzione di download in base alle esigenze. Salvare il certificato nel computer.

  16. Nella sezione Configura SAP Fiori, copiare gli URL seguenti in base alle esigenze:

    • URL di accesso
    • Identificatore Microsoft Entra
    • URL di chiusura sessione

Configurare l'accesso Single Sign-On di SAP Fiori

  1. Accedere al sistema SAP e selezionare il codice di transazione SAML2. Verrà aperta una nuova finestra del browser con la pagina di configurazione SAML.

  2. Per configurare gli endpoint per un provider di identità attendibile (Microsoft Entra ID), selezionare la scheda Provider attendibili.

  3. Selezionare Aggiungi e scegliere Carica file di metadati dal menu di scelta rapida.

  4. Caricare il file di metadati scaricato dal portale di Azure.

  5. Nella pagina successiva, nella casella Alias, immettere un nome alias arbitrario.

  6. Assicurarsi che il valore della casella Algoritmo con classificazione sia SHA-256.

  7. In Endpoint Single Sign-On, selezionare HTTP POST.

  8. In Single Logout Endpoints, selezionare Reindirizzamento HTTP.

  9. Accettare le impostazioni predefinite di Endpoint degli artefatti e requisiti di autenticazione.

  10. Selezionare Provider attendibile / Federazione dell’identità e formati supportati NameID non specificati.

  11. I valori per Origine ID utente e Modalità mapping ID utente determinano il collegamento tra l'utente SAP e l'attestazione Microsoft Entra. Sono supportati due scenari:

    • Scenario 1: Mapping utente SAP a utente Microsoft Entra
    • Scenario 2: Selezionare l'ID utente SAP in base all'indirizzo e-mail configurato in SU01. In questo caso l'ID posta elettronica deve essere configurato in SU01 per ogni utente che richiede l'accesso SSO.

Assegnare gli utenti di Microsoft Entra

  1. Nel portale di Azure selezionare Applicazioni aziendali, quindi Tutte le applicazioni e infine SAP Fiori.

  2. Nell'elenco delle applicazioni selezionare SAP Fiori.

  3. Per verificare il risultato, dopo aver attivato l’istanza Microsoft Entra ID del provider di identità in SAP Fiori, accedere a uno degli URL seguenti per testare l'accesso Single Sign-On come utente assegnato (non dovrebbero essere richiesti nome utente e password):