Integrare Microsoft Entra ID con NetWeaver

  • 13 minuti

L'integrazione di SAP NetWeaver con Microsoft Entra ID offre i vantaggi seguenti:

  • È possibile controllare in Microsoft Entra ID chi può accedere a SAP NetWeaver.
  • È possibile consentire agli utenti l'accesso automatico a SAP NetWeaver (Single Sign-On) con i rispettivi account Microsoft Entra.
  • È possibile gestire gli account in un'unica posizione centrale: il portale di Azure.

Per configurare l'integrazione di Microsoft Entra con SAP NetWeaver, sono necessari gli elementi seguenti:

  • Una sottoscrizione di Microsoft Entra
  • Sottoscrizione di SAP NetWeaver abilitata per l'accesso Single Sign-On
  • Almeno SAP NetWeaver V7.20

SAP NetWeaver supporta l'accesso SSO avviato da provider di servizi.

Per configurare l'integrazione di SAP NetWeaver in Microsoft Entra ID, aggiungere prima SAP NetWeaver dalla raccolta all'elenco delle app SaaS gestite.

Configurare e testare l'accesso Single Sign-On di Microsoft Entra

Per configurare l'accesso Single Sign-On di Microsoft Entra con SAP NetWeaver, seguire questa procedura:

  1. Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare questa funzionalità.
  2. Configurare l'accesso Single Sign-On di SAP NetWeaver: per configurare le impostazioni di Single Sign-On sul lato applicazione.
  3. Assegnare l'utente di test di Microsoft Entra ID all'applicazione Microsoft Entra.
  4. Creare utenti SAP NetWeaver collegati agli account degli utenti Microsoft Entra.

Configurare l'accesso Single Sign-On di Microsoft Entra

Per configurare l'accesso Single Sign-On di Microsoft Entra con SAP NetWeaver, seguire questa procedura:

  1. Aprire una nuova finestra del Web browser e accedere al sito aziendale di SAP NetWeaver come amministratore.

  2. Assicurarsi che i servizi http e https siano attivi e che le porte appropriate siano assegnate nel codice di transazione SMICM.

  3. Accedere al client aziendale del sistema SAP (T01) in cui è richiesto l'accesso SSO e attivare la gestione della sessione di sicurezza HTTP.

  4. Passare al codice di transazione SICF_SESSIONS. Esaminare tutti i parametri del profilo. Modificare i requisiti dell'organizzazione e riavviare il sistema SAP.

  5. Fare doppio clic sul client appropriato per abilitare la sessione di sicurezza HTTP.

  6. Attivare i servizi SICF seguenti:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  7. Passare al codice di transazione SAML2 nel client aziendale del sistema SAP [T01/122]. Viene aperta un'interfaccia utente in un browser.

  8. Specificare il nome utente e la password da immettere nell'interfaccia utente e selezionare Edit (Modifica).

  9. Modificare Provider Name (Nome provider) da T01122 a <http://T01122> e selezionare Save (Salva).

  10. Per impostazione predefinita, il nome del provider viene formattato con il formato [sid][client], ma per Microsoft Entra ID è necessario il nome nel formato protocol://[sid][client]. È consigliabile mantenere il nome del provider come https://[sid][client] per consentire la configurazione di più motori ABAP SAP NetWeaver in Microsoft Entra ID.

  11. Generare i metadati del provider di servizi: dopo aver completato la configurazione delle impostazioni di Local Provider (Provider locale) e Trusted Providers (Provider attendibili) nell'interfaccia utente di SAML 2.0, il passaggio successivo consiste nel generare il file di metadati del provider di servizi, che contiene tutte le impostazioni, i contesti di autenticazione e altre configurazioni di SAP.

  12. Nella scheda Local Provider (Provider locale) selezionare Metadata.

  13. Salvare il file XML di metadati generato nel computer e caricarlo nella sezione Configurazione SAML di base per popolare automaticamente i valori di Identificatore e URL di risposta nel portale di Azure.

  14. Nella pagina di integrazione dell'applicazione SAP NetWeaver del portale di Azure selezionare Single Sign-On.

  15. Nella finestra di dialogo Selezionare un metodo di accesso Single Sign-On selezionare la modalità SAML/WS-Fed per abilitare l'accesso Single Sign-On.

  16. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona Modifica per aprire la finestra di dialogo Configurazione SAML di base.

  17. Nella sezione Configurazione SAML di base seguire questa procedura:

    1. Selezionare Carica file di metadati per caricare il file di metadati del provider di servizi ottenuto in precedenza.
    2. Per selezionare il file di metadati, selezionare l'icona della cartella, quindi selezionare Carica.
    3. Al termine del caricamento del file di metadati, i valori di Identificatore e URL di risposta vengono inseriti automaticamente nella casella di testo della sezione Configurazione SAML di base, come illustrato di seguito:
    4. Nella casella di testo URL di accesso digitare un URL nel formato seguente: https://[istanza aziendale di SAP NetWeaver]

  18. L'applicazione SAP NetWeaver richiede che le asserzioni SAML abbiano un formato specifico. Le attestazioni che includono nome, cognome, indirizzo di posta elettronica, nome e ID utente univoco. È possibile gestire i relativi attributi dalla sezione Attributi utente nella pagina di integrazione dell'applicazione.

  19. Nella pagina Configura l'accesso Single Sign-On con SAML selezionare il pulsante Modifica per aprire la finestra di dialogo Attributi utente.

  20. Nella sezione Attestazioni utente della finestra di dialogo Attributi utente configurare l'attributo del token SAML e seguire questa procedura:

    1. Selezionare l'icona Modifica per aprire la finestra di dialogo Gestisci attestazioni utente.
    2. Nell'elenco Trasformazione selezionare ExtractMailPrefix().
    3. Nell'elenco Parametro 1 selezionare user.userprinicipalname.
    4. Seleziona Salva.

  21. Nella pagina Configura l'accesso Single Sign-On con SAML, nella sezione Certificato di firma SAML selezionare Scarica per scaricare il file XML dei metadati della federazione dalle opzioni specificate in base alle esigenze e salvarlo nel computer.

  22. Nella sezione Configura SAP NetWeaver copiare gli URL appropriati in base alle proprie esigenze.

    • URL di accesso
    • Identificatore Microsoft Entra
    • URL di chiusura sessione

Configurare l'accesso Single Sign-On di SAP NetWeaver

  1. Accedere al sistema SAP e selezionare il codice di transazione SAML2. Verrà visualizzata una nuova finestra del browser con la schermata di configurazione SAML.

  2. Per la configurazione degli endpoint per i provider di identità attendibili (Microsoft Entra ID), passare alla scheda Trusted Providers (Provider attendibili).

  3. Premere Add (Aggiungi) e scegliere Upload Metadata File (Carica file di metadati) dal menu di scelta rapida.

  4. Caricare il file di metadati scaricato dal portale di Azure.

  5. Nella schermata successiva digitare il nome dell'Alias. Assicurarsi che il valore di Digest Algorithm (Algoritmo digest) sia SHA-256 e che non siano necessarie modifiche e premere Next (Avanti).

  6. In Single Sign-On Endpoints (Endpoint Single Sign-On) selezionare HTTP POST, quindi Next (Avanti) per continuare.

  7. In Single Logout Endpoints (Endpoint punto di disconnessione singolo) selezionare HTTPRedirect e selezionare Next (Avanti) per continuare.

  8. In Artifact Endpoints (Endpoint artefatto) premere Next (Avanti) per continuare.

  9. In Authentication Requirements (Requisiti di autenticazione) accettare le impostazioni predefinite e selezionare Finish (Fine).

  10. Passare alla scheda Trusted Provider (Provider attendibile), quindi Identity Federation (Federazione identità).

  11. Seleziona Modifica

  12. Fare clic su Add (Aggiungi) nella scheda Identity Federation (Federazione identità).

  13. Nella finestra popup selezionare Unspecified (Non specificato) in Supported NameID formats (Formati NameID supportati) e selezionare OK. I valori User ID Source (Origine ID utente) e User ID mapping mode (Modalità di mapping ID utente) determinano il collegamento tra l'utente SAP e l'attestazione di Microsoft Entra.

  14. Esistono due possibili scenari:

    • Scenario: Mapping utente SAP a utente Microsoft Entra.
    • Scenario: Selezionare l'ID utente SAP in base all'indirizzo e-mail configurato in SU01. In questo caso l'ID posta elettronica deve essere configurato in SU01 per ogni utente che richiede l'accesso SSO.

  15. Selezionare Save (Salva), quindi Enable (Abilita) per abilitare il provider di identità.

Assegnare gli utenti di Microsoft Entra

Nel portale di Azure selezionare Applicazioni aziendali, quindi Tutte le applicazioni e infine SAP NetWeaver. Nell'elenco delle applicazioni selezionare SAP NetWeaver.

Creare utenti SAP NetWeaver

  1. Per consentire agli utenti di Microsoft Entra di accedere a SAP NetWeaver, è necessario effettuarne il provisioning in SAP NetWeaver. Collaborare con il team di esperti SAP interno o con il partner SAP dell'organizzazione per aggiungere gli utenti alla piattaforma NetWeaver.
  2. Per verificare il risultato, dopo l'attivazione di Microsoft Entra ID come provider di identità, accedere a <https://sapurl/sap/bc/bsp/sap/it00/default.htm> (sostituire sapurl con il nome host SAP effettivo) per controllare l'accesso SSO. Nome utente e password non saranno richiesti.