Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come integrare SAP Cloud Identity Services con Microsoft Entra ID per l'accesso Single Sign-On. Integrando SAP Cloud Identity Services con Microsoft Entra ID, è possibile:
- Controllare in Microsoft Entra ID come gli utenti possono eseguire l'autenticazione in SAP Cloud Identity Services.
- Abilitare gli utenti per l'accesso automatico ad SAP Cloud Identity Services e alle applicazioni SAP downstream con gli account Microsoft Entra personali.
- Gestire gli account in un'unica posizione centrale.
Suggerimento
Seguire le indicazioni e la guida alle procedure consigliate "Uso di Microsoft Entra ID per proteggere l'accesso alle piattaforme e alle applicazioni SAP" per rendere operativa la configurazione.
Prerequisiti
Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:
- Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non è già disponibile, è possibile creare gratuitamente un account.
- Uno dei ruoli seguenti:
- Un tenant di SAP Cloud Identity Services
- Un account utente in SAP Cloud Identity Services con autorizzazioni di amministratore.
Se non si hanno ancora utenti in Microsoft Entra ID, iniziare con l'articolo sul piano di distribuzione di Microsoft Entra per il provisioning degli utenti con le app di origine e di destinazione SAP. Questo articolo illustra come connettere Microsoft Entra a origini autorevoli per l'elenco dei lavoratori in un'organizzazione, ad esempio SAP SuccessFactors. Illustra anche come usare Microsoft Entra per configurare le identità per tali ruoli di lavoro, in modo che possano accedere a una o più applicazioni SAP, ad esempio SAP ECC o SAP S/4HANA.
Se si configura l'accesso Single Sign-On in SAP Cloud Identity Services in un ambiente di produzione, in cui si governerà l'accesso ai carichi di lavoro SAP usando Microsoft Entra ID Governance, esaminare i prerequisiti prima di configurare Microsoft Entra ID per la governance delle identità prima di procedere.
Descrizione dello scenario
In questo articolo viene configurato e testato l'accesso Single Sign-On di Microsoft Entra a SAP Cloud Identity Services.
- SAP Cloud Identity Services supporta l'accesso SSO avviato dal provider di servizi (SP) e dal provider di identità (IDP) tramite SAML. SAP Cloud Identity Services supporta anche OpenID Connect, ma questa opzione non è descritta in questo articolo.
- SAP Cloud Identity Services supporta anche il provisioning di utenti e gruppi da Microsoft Entra ID. Per altre informazioni, vedere Provisioning utenti automatizzato.
Prima di approfondire i dettagli tecnici, è fondamentale comprendere i concetti che si desidera esaminare. SAP Cloud Identity Services consente di implementare l'accesso SSO tra applicazioni e servizi SAP, con la stessa esperienza SSO delle applicazioni non SAP integrate direttamente con Microsoft Entra ID come provider di identità.
SAP Cloud Identity Services funge da provider di identità proxy per altre applicazioni SAP quali sistemi di destinazione . Microsoft Entra ID a sua volta funge da provider di identità principale in questa configurazione.
Il diagramma seguente illustra la relazione di trust:
Con questa configurazione, SAP Cloud Identity Services è configurato come una o più applicazioni in Microsoft Entra ID. Microsoft Entra è configurato come provider di identità aziendale in SAP Cloud Identity Services.
Tutte le applicazioni e i servizi SAP che si desidera fornire l'accesso Single Sign-On per questo modo vengono successivamente configurati come applicazioni in SAP Cloud Identity Services.
L'assegnazione dell'utente a un ruolo di applicazione SAP Cloud Identity Services in Microsoft Entra controlla il rilascio del token da Microsoft Entra a SAP Cloud Identity Services. L'autorizzazione per concedere l'accesso a applicazioni e servizi SAP specifici e le assegnazioni di ruolo per tali applicazioni SAP avviene in SAP Cloud Identity Services e nelle applicazioni stesse. Questa autorizzazione può essere basata su utenti e gruppi provisionati tramite Microsoft Entra ID.
Nota
Attualmente solo Web SSO è stato testato da entrambe le parti. I flussi necessari per la comunicazione da app ad API o da API ad API dovrebbero funzionare ma non sono ancora stati testati. Vengono testati durante le attività successive.
Aggiunta di SAP Cloud Identity Services dalla raccolta
Per configurare l'integrazione SAML di SAP Cloud Identity Services in Microsoft Entra ID, è necessario aggiungere SAP Cloud Identity Services dalla raccolta all'elenco di app SaaS gestite.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud.
- Passare a Entra ID>App aziendali>Nuova applicazione.
- Nella sezione Aggiungi dalla raccolta digitare SAP Cloud Identity Services nella casella di ricerca.
- Selezionare SAP Cloud Identity Services nel pannello dei risultati e quindi aggiungere l'app. Attendere qualche secondo mentre l'app viene aggiunta al tenant.
In alternativa, è anche possibile usare il Configuratore guidato di app aziendali. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare i ruoli e procedere alla configurazione dell'accesso SSO. Scopri di più sulle procedure guidate di Microsoft 365.
Configurare e testare l'accesso SSO di Microsoft Entra per SAP Cloud Identity Services
Configurare e testare l'accesso SSO di Microsoft Entra con SAP Cloud Identity Services usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in SAP Cloud Identity Services.
Per configurare e testare l'accesso SSO di Microsoft Entra con SAP Cloud Identity Services, seguire questa procedura:
-
Configurare l'accesso Single Sign-On di Microsoft Entra : per consentire agli utenti di usare questa funzionalità.
- Creare un utente di prova di Microsoft Entra - per testare il Single Sign-On di Microsoft Entra utilizzando B.Simon.
- Assegnare l'utente di test di Microsoft Entra - così B.Simon può utilizzare l'accesso Single Sign-On di Microsoft Entra.
-
Configurare l'accesso Single Sign-On di SAP Cloud Identity Services: per configurare le impostazioni di Single Sign-On sul lato applicazione.
- Creare l'utente di test di SAP Cloud Identity Services : per avere una controparte di B.Simon in SAP Cloud Identity Services collegata alla rappresentazione dell'utente in Microsoft Entra.
- Testare l'accesso SSO : per verificare se la configurazione funziona.
Ottenere i metadati della federazione di SAP Cloud Identity Services
Accedere alla console di amministrazione di SAP Cloud Identity Services. L'URL ha il modello seguente:
https://<tenant-id>.accounts.ondemand.com/adminohttps://<tenant-id>.trial-accounts.ondemand.com/admin.In Applicazioni e risorse selezionare Impostazioni tenant.
Nella scheda Single Sign-On selezionare SAML 2.0 Configuration (Configurazione SAML 2.0). Selezionare quindi Scarica file di metadati per scaricare i metadati della federazione di SAP Cloud Identity Services.
Configurare l'SSO (Single Sign-On) di Microsoft Entra
Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud.
Vai a Entra ID>App aziendali. Digitare il nome dell'applicazione, ad esempio SAP Cloud Identity Services. Selezionare l'applicazione, quindi selezionare Single sign-on.
Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
Nella sezione Configurazione SAML di base , se si dispone di un file di metadati del provider di servizi da SAP Cloud Identity Services, seguire questa procedura:
a) Selezionare Carica file di metadati.
b. Selezionare il logo della cartella per selezionare il file di metadati scaricato da SAP e selezionare Carica.
c. Dopo il caricamento del file di metadati, i valori identificatore e URL di risposta vengono popolati automaticamente nella sezione Configurazione SAML di base.
Nota
Se i valori identificatore e URL di risposta non vengono popolati automaticamente, compilare manualmente i valori in base alle esigenze.
Per eseguire altre configurazioni, nella pagina Configura accesso Single Sign-On con SAML selezionare l'icona a forma di matita per Configurazione SAML di base per modificare le impostazioni.
Nella casella di testo URL di accesso (facoltativo) digitare l'URL di accesso dell'applicazione aziendale specifica.
Nota
è necessario aggiornare questo valore con l'URL di accesso effettivo. Per altre informazioni, vedere l'articolo della Knowledge Base SAP 3128585. Per eventuali domande, contattare il team di supporto clienti di SAP Cloud Identity Services .
L'applicazione SAP Cloud Identity Services prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione degli attributi del token SAML. Lo screenshot seguente mostra l'elenco degli attributi predefiniti.
Oltre a quanto sopra, l'applicazione SAP Cloud Identity Services prevede il passaggio di altri attributi nella risposta SAML, come illustrato di seguito. Anche questi attributi vengono precompilati, ma è possibile esaminarli in base ai requisiti.
Nome Attributo di origine nome utente.nome Nella sezione Certificato di firma SAML della pagina Configura single Sign-On con SAML selezionare Scarica per scaricare il file XML dei metadati dalle opzioni specificate in base alle esigenze e salvarlo nel computer.
Nella sezione Configura SAP Cloud Identity Services copiare gli URL appropriati in base alle esigenze.
Creare e assegnare un utente di test di Microsoft Entra
Seguire le linee guida nella guida introduttiva creare e assegnare un account utente per creare un account utente di test di nome B.Simon.
Configurare l'accesso Single Sign-On di SAP Cloud Identity Services
In questa sezione viene creato un provider di identità aziendale nella console di amministrazione di SAP Cloud Identity Services. Per altre informazioni, vedere Creare un IdP aziendale nella console di amministrazione.
Accedere alla console di amministrazione di SAP Cloud Identity Services. L'URL ha il modello seguente:
https://<tenant-id>.accounts.ondemand.com/adminohttps://<tenant-id>.trial-accounts.ondemand.com/admin.In Provider di identità, seleziona il riquadro Provider di identità aziendali.
Selezionare + Crea per creare un provider di identità.
Eseguire i seguenti passaggi nella finestra di dialogo Crea provider di identità.
Screenshot che mostra la creazione del provider di identità.
a) Dare un nome valido per Nome visualizzato.
b. Selezionare Microsoft ADFS/Entra ID (SAML 2.0) nell'elenco a discesa.
c. Selezionare Crea.
Passare a Trust -> Configurazione SAML 2.0. Nel campo File di metadati selezionare Sfoglia per caricare il file XML dei metadati scaricato dalla configurazione di Microsoft Entra SSO.
Selezionare Salva.
Continuare la procedura seguente solo se si vuole aggiungere e abilitare l'accesso SSO per un'altra applicazione SAP. Ripetere i passaggi nella sezione Aggiunta di SAP Cloud Identity Services dalla raccolta.
Nella sezione Entra, nella pagina di integrazione dell'applicazione SAP Cloud Identity Services, selezionare Accesso collegato.
Salvare la configurazione.
Per altre informazioni, leggere la documentazione su SAP Cloud Identity Services in Integration with Microsoft Entra ID (Integrazione con Microsoft Entra ID).
Nota
La nuova applicazione sfrutterà la configurazione del processo SSO dell'applicazione SAP precedente. Assicurarsi di usare gli stessi provider di identità aziendali nella console di amministrazione di SAP Cloud Identity Services.
Creare l'utente di test di SAP Cloud Identity Services
Non è necessario creare un utente in SAP Cloud Identity Services. Gli utenti che si trovano nell'archivio degli utenti di Microsoft Entra possono usare la funzionalità di accesso Single Sign-On.
SAP Cloud Identity Services supporta l'opzione Identity Federation. Questa opzione consente all'applicazione di controllare se gli utenti autenticati dal provider di identità aziendale esistono nell'archivio utenti di SAP Cloud Identity Services.
Per impostazione predefinita l'opzione di federazione delle identità è disabilitata. Se la federazione delle identità è abilitata, solo gli utenti importati in SAP Cloud Identity Services possono accedere all'applicazione.
Per altre informazioni su come abilitare o disabilitare la federazione delle identità con SAP Cloud Identity Services, vedere "Abilitare la federazione delle identità con SAP Cloud Identity Services" in Configurare la federazione delle identità con l'archivio utenti di SAP Cloud Identity Services.
Nota
SAP Cloud Identity Services supporta anche il provisioning utenti automatico e puoi trovare qui maggiori dettagli su come configurarlo.
Testare la funzionalità SSO
In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti, avviato da SP e avviato da IDP.
Se si verificano errori durante l'accesso a SAP Cloud Identity Services, con un ID di correlazione, nella console di amministrazione di SAP Cloud Identity Services è possibile cercare l'ID di correlazione nei log di risoluzione dei problemi . Per altre informazioni, vedere l'articolo della Knowledge Base SAP 2698571 e l'articolo della Knowledge Base SAP 3201824.
Avviato da SP:
Selezionare Test this application (Testa questa applicazione), questa opzione reindirizza all'URL di accesso di SAP Cloud Identity Services in cui è possibile avviare il flusso di accesso.
Passare direttamente all'URL di accesso di SAP Cloud Identity Services e avviare il flusso di accesso da questa posizione.
Avviato da IDP:
- Selezionare Testa questa applicazione e sarete automaticamente collegati ai SAP Cloud Identity Services per cui avete configurato l'SSO.
È anche possibile usare App personali Microsoft per testare l'applicazione in qualsiasi modalità. Quando si seleziona il riquadro di SAP Cloud Identity Services in App personali, se configurato in modalità SP, si dovrebbe essere reindirizzati alla pagina di accesso dell'applicazione per avviare il flusso di accesso e, se configurato in modalità IDP, si dovrebbe accedere automaticamente all'istanza di SAP Cloud Identity Services per cui si è configurato l'accesso SSO. Per altre informazioni sulle app personali, vedere Introduzione alle app personali.
Contenuto correlato
Per sincronizzare gli utenti in Microsoft Entra con i servizi di identità cloud di SAP, abilitare il provisioning utenti automatizzato.
Dopo aver configurato l'accesso Single Sign-On a SAP Cloud Identity Services, è anche possibile configurare SAP Cloud Identity Services per inoltrare tutte le richieste SSO a Microsoft Entra. Quando questa opzione è abilitata in SAP Cloud Identity Services, ogni volta che un utente tenta di accedere a un'applicazione connessa a SAP Cloud Identity Services per la prima volta, SAP Cloud Identity Services inoltra una richiesta di autenticazione a Microsoft Entra, anche quando l'utente ha una sessione attiva in SAP Cloud Identity Services.
È anche possibile applicare controlli sessione che consentono di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. I controlli sessione costituiscono un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.
È anche possibile gestire l'accesso alle applicazioni SAP BTP, usando Microsoft Entra ID Governance per popolare i gruppi associati ai ruoli nella raccolta di ruoli BTP. Per altre informazioni, vedere Gestione dell'accesso a SAP BTP.
Consultare le raccomandazioni e la guida alle procedure consigliate per rendere operativa la configurazione.