概述
当今世界,组织需要集成多个应用程序。为了降低身份验证要求的复杂性,应用程序之间必须进行单点登录。开放标准协议,比如OAuth,SAML成为许多集成的事实上的标准。
这篇博文讨论了如何通过使用OAuth与AAD集成,高防服务器租用,为SAP NetWeaver系统(SAP SID:T01)的Web API(Web服务)配置单点登录。
SSO环境
T01用户正在访问SAP T01系统,并且需要对Web API接口进行SSO。SAP T01系统将充当服务提供商,OAuth将使用Microsoft的Azure Active Directory(AAD)作为身份提供商进行配置。
将SAP NetWeaver与Azure AD集成提供以下好处:
可以访问SAP NetWeaver基于web的API的用户可以在AAD中进行控制。用户可以使用其Azure AD帐户自动登录到SAP NetWeaver(单点登录)在一个中心位置管理帐户–Azure门户
SAP系统配置–1
确保http和https服务处于活动状态,并在SMICM T代码中分配适当的端口。
登录到SAP系统的业务客户端(T01),大数据趋势,如果需要SSO,则激活HTTP安全会话管理。
转到事务代码SICF\ U会话。它用当前值显示所有相关的外形参数。它们如下所示:–
如果需要,在SAP系统的实例/默认配置文件中调整参数并重新启动SAP系统。
双击相关客户端以启用HTTP安全会话
激活下面的SICF服务:
/SAP/public/bc/sec/saml2/sap/public/bc/sec/cdc\扩展服务/sap/bc/webdynpro/sap/saml2/sap/bc/webdynpro/sap/sec\u diag\u tool(仅用于启用/禁用跟踪)
转到sap系统业务客户端中的事务代码SAML2[T01/122]。它将在浏览器中打开用户界面。在本例中,我们假设122是SAP业务客户端。
提供您的用户名和密码以进入用户界面。
单击编辑
将提供者名称从T01122替换为。
注意:默认情况下,提供商名称为格式,但AAD希望名称的格式为://,建议维护提供商名称命名为https://以允许在AAD中配置多个SAP NetWeaver ABAP引擎。
单击Save
Generating Service Provider Metadata
在SAML 2.0用户界面上配置本地提供程序和受信任的提供程序设置后,下一步将是生成服务提供程序的元数据文件(如下所示)将包含SAP中的所有设置、身份验证上下文和其他配置)。生成此文件后,我们需要在AAD中上载此文件。
转到本地提供商选项卡
Azure AD配置-1
使用您的凭据登录Azure AD租户。
在Azure门户的左侧导航面板上,单击Azure Active Directory图标。
导航到企业应用程序。然后转到"所有应用程序"。
要添加新应用程序,请单击搜索框
对话框顶部的"新建应用程序"按钮,键入SAP NetWeaver.
在"结果"面板中,选择SAP NetWeaver,然后单击"添加"按钮添加应用程序。
提供名称。我们建议使用命名约定SAP-,这将允许为多个SAP系统/客户端配置SSO。
在Azure门户中的应用程序名称SAP-(例如:SAP-T01122)应用程序集成页上,点击单点登录
选择SAML作为单点登录方式,如下图所示,在设置SAML单点登录界面双击
,点击铅笔按钮编辑SAML基本配置
点击上传元数据文件。注:为避免人为错误,建议上传元数据文件
根据"SAP系统配置"一节的规定,选择从SAP下载的元数据文件
注意Sing on URL、Identifier(实体ID)、reply URL自动填写。标识符名称与sapsaml2配置中的提供者名称完全相同。如果不匹配,SSO将不工作,企业大数据分析,建议验证SAP中的配置并重新上载元数据文件。
要使单点登录工作,Azure AD需要知道SAP NetWeaver中的对应用户与Azure AD中的用户是什么,反之亦然。换句话说,需要在Azure AD用户和SAP NetWeaver中的相关用户之间建立链接关系。
此链接关系是通过将Azure AD中用户名的值指定为SAP NetWeaver中用户名的值来建立的。此链接应基于SAP SAML2事务代码中的SAML声明和属性以及相应的映射过程建立。
根据需要调整用户属性和声明。默认用户属性和声明可能不满足SAP SSO场景。一般来说,下面的用户属性和声明就足够了。请注意,应手动添加唯一的用户标识符。
从SAML签名证书部分下载应用程序联盟元数据和证书(建议SAP使用basis64)以上载到SAP。
SAP系统配置–2
登录到SAP系统并转到事务代码SAML2。它将打开带有SAML配置屏幕的新浏览器窗口。
要配置受信任标识的端点
ity provider(AAD),请转到"受信任的提供程序"选项卡。
在"受信任的提供程序列表"中选择OAuth 2.0标识提供
按Add并从上下文菜单中选择上载元数据文件。
上载元数据文件,从Azure AD下载的。
按"下一步"继续。
选择从Azure门户下载的证书,然后按"下一步"
按"下一步"继续。
单击"完成"按钮。
单击"编辑"
转到选项卡"身份联盟"->"支持的NameID格式"。
单击"添加"
选择未指定项,然后按"确定"按钮