概述

当今世界，组织需要集成多个应用程序。为了降低身份验证要求的复杂性，应用程序之间必须进行单点登录。开放标准协议，比如OAuth，SAML成为许多集成的事实上的标准。

这篇博文讨论了如何通过使用OAuth与AAD集成，高防服务器租用，为SAP NetWeaver系统（SAP SID:T01）的Web API（Web服务）配置单点登录。

SSO环境

T01用户正在访问SAP T01系统，并且需要对Web API接口进行SSO。SAP T01系统将充当服务提供商，OAuth将使用Microsoft的Azure Active Directory（AAD）作为身份提供商进行配置。

将SAP NetWeaver与Azure AD集成提供以下好处：

可以访问SAP NetWeaver基于web的API的用户可以在AAD中进行控制。用户可以使用其Azure AD帐户自动登录到SAP NetWeaver（单点登录）在一个中心位置管理帐户–Azure门户

SAP系统配置–1

确保http和https服务处于活动状态，并在SMICM T代码中分配适当的端口。

登录到SAP系统的业务客户端（T01），大数据趋势，如果需要SSO，则激活HTTP安全会话管理。

转到事务代码SICF\ U会话。它用当前值显示所有相关的外形参数。它们如下所示：–

如果需要，在SAP系统的实例/默认配置文件中调整参数并重新启动SAP系统。

双击相关客户端以启用HTTP安全会话

激活下面的SICF服务：

/SAP/public/bc/sec/saml2/sap/public/bc/sec/cdc\扩展服务/sap/bc/webdynpro/sap/saml2/sap/bc/webdynpro/sap/sec\u diag\u tool（仅用于启用/禁用跟踪）

转到sap系统业务客户端中的事务代码SAML2[T01/122]。它将在浏览器中打开用户界面。在本例中，我们假设122是SAP业务客户端。

提供您的用户名和密码以进入用户界面。

单击编辑

将提供者名称从T01122替换为。

注意：默认情况下，提供商名称为格式，但AAD希望名称的格式为：//，建议维护提供商名称命名为https://以允许在AAD中配置多个SAP NetWeaver ABAP引擎。

单击Save

Generating Service Provider Metadata

在SAML 2.0用户界面上配置本地提供程序和受信任的提供程序设置后，下一步将是生成服务提供程序的元数据文件（如下所示）将包含SAP中的所有设置、身份验证上下文和其他配置）。生成此文件后，我们需要在AAD中上载此文件。

转到本地提供商选项卡

Azure AD配置-1

使用您的凭据登录Azure AD租户。

在Azure门户的左侧导航面板上，单击Azure Active Directory图标。

导航到企业应用程序。然后转到"所有应用程序"。

要添加新应用程序，请单击搜索框

对话框顶部的"新建应用程序"按钮，键入SAP NetWeaver.

在"结果"面板中，选择SAP NetWeaver，然后单击"添加"按钮添加应用程序。

提供名称。我们建议使用命名约定SAP-，这将允许为多个SAP系统/客户端配置SSO。

在Azure门户中的应用程序名称SAP-（例如：SAP-T01122）应用程序集成页上，点击单点登录

选择SAML作为单点登录方式，如下图所示，在设置SAML单点登录界面双击

，点击铅笔按钮编辑SAML基本配置

点击上传元数据文件。注：为避免人为错误，建议上传元数据文件

根据"SAP系统配置"一节的规定，选择从SAP下载的元数据文件

注意Sing on URL、Identifier（实体ID）、reply URL自动填写。标识符名称与sapsaml2配置中的提供者名称完全相同。如果不匹配，SSO将不工作，企业大数据分析，建议验证SAP中的配置并重新上载元数据文件。

要使单点登录工作，Azure AD需要知道SAP NetWeaver中的对应用户与Azure AD中的用户是什么，反之亦然。换句话说，需要在Azure AD用户和SAP NetWeaver中的相关用户之间建立链接关系。

此链接关系是通过将Azure AD中用户名的值指定为SAP NetWeaver中用户名的值来建立的。此链接应基于SAP SAML2事务代码中的SAML声明和属性以及相应的映射过程建立。

根据需要调整用户属性和声明。默认用户属性和声明可能不满足SAP SSO场景。一般来说，下面的用户属性和声明就足够了。请注意，应手动添加唯一的用户标识符。

从SAML签名证书部分下载应用程序联盟元数据和证书（建议SAP使用basis64）以上载到SAP。

SAP系统配置–2

登录到SAP系统并转到事务代码SAML2。它将打开带有SAML配置屏幕的新浏览器窗口。

要配置受信任标识的端点

ity provider（AAD），请转到"受信任的提供程序"选项卡。

在"受信任的提供程序列表"中选择OAuth 2.0标识提供

按Add并从上下文菜单中选择上载元数据文件。

上载元数据文件，从Azure AD下载的。

按"下一步"继续。

选择从Azure门户下载的证书，然后按"下一步"

按"下一步"继续。

单击"完成"按钮。

单击"编辑"

转到选项卡"身份联盟"->"支持的NameID格式"。

单击"添加"

选择未指定项，然后按"确定"按钮