Configurar o SAP Business Technology Platform para logon único com a ID do Microsoft Entra

Neste artigo, você aprenderá a integrar a SAP Business Technology Platform à ID do Microsoft Entra. Ao integrar a SAP Business Technology Platform à ID do Microsoft Entra, você pode:

• Controle no Microsoft Entra ID quem tem acesso à Plataforma de Tecnologia Empresarial da SAP.
• Permitir que os usuários sejam conectados automaticamente ao SAP Business Technology Platform com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.
• Atribua usuários no Microsoft Entra às funções da SAP Business Technology Platform.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tiver uma, poderá criar uma conta gratuitamente.
• Uma das seguintes funções:
  • Administrador de Aplicativos
  • Administrador de Aplicativos na Nuvem
  • Proprietário do aplicativo.

• Assinatura habilitada para SSO (logon único) da SAP Business Technology Platform.

Descrição do cenário

Neste artigo, você configurará e testará o logon único do Microsoft Entra em um ambiente de teste.

• A SAP Business Technology Platform dá suporte ao SSO iniciado por SP .

Adicionar o SAP Business Technology Platform por meio da galeria

Para configurar a integração da SAP Business Technology Platform à ID do Microsoft Entra, você precisa adicionar o SAP Business Technology Platform por meio da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
3. Na seção Adicionar por meio da galeria , digite SAP Business Technology Platform na caixa de pesquisa.
4. Selecione SAP Business Technology Platform no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Empresariais. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para SAP Business Technology Platform

Configure e teste o SSO do Microsoft Entra com a SAP Business Technology Platform usando um usuário de teste chamado B.Simon. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado da SAP Business Technology Platform.

Para configurar e testar o SSO do Microsoft Entra com a SAP Business Technology Platform, execute as seguintes etapas:

1. Configure o SSO do Microsoft Entra para permitir que os usuários usem esse recurso.
   1. Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com Britta Simon.
   2. Atribua o usuário de teste do Microsoft Entra para permitir que Britta Simon use o logon único do Microsoft Entra.
2. Configure o SSO na SAP Business Technology Platform para definir as configurações do Single Sign-On no aplicativo.
   1. Crie um usuário de teste da SAP Business Technology Platform para ter um equivalente de Britta Simon na SAP Business Technology Platform que esteja vinculado à representação do usuário do Microsoft Entra.
3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

2. Acesse Entra ID>Aplicativos empresariais>SAP Business Technology Platform>Autenticação única.

3. Na página Selecionar um método de logon único , selecione SAML.

4. Na página Configurar logon único com SAML, selecione o ícone de lápis para Configuração Básica de SAML para editar as configurações.

   

5. Na seção Configuração Básica do SAML , insira os valores dos seguintes campos:

   um. Na caixa de texto Identificador , você fornece ao tipo da SAP Business Technology Platform uma URL usando um dos seguintes padrões:

   Identificador
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. Na caixa de texto URL de Resposta , digite uma URL usando um dos seguintes padrões:

   URL de resposta
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. Na caixa de texto URL de Logon , digite a URL usada pelos usuários para entrar no aplicativo SAP Business Technology Platform . Essa é a URL específica da conta de um recurso protegido em seu aplicativo SAP Business Technology Platform. A URL se baseia no seguinte padrão: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Nota

   Essa é a URL em seu aplicativo SAP Business Technology Platform que exige que o usuário se autentique.

   URL de Logon
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Nota

   Esses valores não são reais. Atualize esses valores com o Identificador real, a URL de Resposta e a URL de Logon. Entre em contato com a equipe de suporte ao cliente da SAP Business Technology Platform para obter Sign-On URL e identificador. URL de resposta que você pode obter da seção de gerenciamento de confiança, que é explicada posteriormente no artigo.

6. Na página Configurar Sign-On Único com SAML, na seção Certificado de Assinatura SAML, selecione Baixar para baixar o XML de Metadados de Federação pelas opções fornecidas de acordo com suas necessidades e salvá-lo em seu computador.

   

Criar e atribuir um usuário de teste do Microsoft Entra

Siga as diretrizes no início rápido criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o SSO da SAP Business Technology Platform

1. Em outra janela do navegador da Web, entre no Cockpit da SAP Business Technology Platform em https://account.<landscape host>.ondemand.com/cockpit(por exemplo: https://account.hanatrial.ondemand.com/cockpit).

2. Selecione a guia Confiança .

   

3. Na seção Gerenciamento de Confiança, em Provedor de Serviços Local, execute as seguintes etapas:

   

   um. Selecione Editar.

   b. Como Tipo de Configuração, selecione Personalizado.

   c. Como Nome do Provedor Local, deixe o valor padrão. Copie esse valor e cole-o no campo Identificador na configuração do Microsoft Entra para SAP Business Technology Platform.

   d. Para gerar uma chave de assinatura e um par de chaves de certificado de assinatura, selecione Gerar Par de Chaves.

   e. Como Propagação principal, selecione Desabilitado.

   f. Em Forçar Autenticação, selecione Desabilitado.

   g. Selecione Salvar.

4. Depois de salvar as configurações do Provedor de Serviço Local , execute o seguinte para obter a URL de Resposta:

   

   um. Baixe o arquivo de metadados da SAP Business Technology Platform selecionando Obter Metadados.

   b. Abra o arquivo XML de metadados da SAP Business Technology Platform baixado e localize a marca ns3:AssertionConsumerService .

   c. Copie o valor do atributo Location e cole-o no campo URL de Resposta na configuração do Microsoft Entra para SAP Business Technology Platform.

5. Selecione a guia Provedor de Identidade Confiável e, em seguida, selecione Adicionar Provedor de Identidade Confiável.

   

   Nota

   Para gerenciar a lista de provedores de identidade confiáveis, você precisa ter escolhido o tipo de configuração personalizado na seção Provedor de Serviços Local. Para o tipo de configuração padrão, você tem uma confiança não editável e implícita no Serviço de ID SAP. Para Nenhum, você não tem nenhuma configuração de confiança.

6. Selecione a guia Geral e selecione Procurar para carregar o arquivo de metadados baixado.

   

   Nota

   Depois de carregar o arquivo de metadados, os valores para URL de Single Sign-on, URL de Single Logout e Certificado de Assinatura são preenchidos automaticamente.

7. Selecione a guia Atributos .

8. Na guia Atributos , execute a seguinte etapa:

   

   um. Selecione Adicionar Assertion-Based Atributo e adicione os seguintes atributos baseados em asserção:

   Atributo de Afirmação	Atributo Principal
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	primeiro nome
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	sobrenome
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	email

   Nota

   A configuração dos Atributos depende de como os aplicativos no SCP são desenvolvidos, ou seja, quais atributos eles esperam na resposta SAML e sob qual nome (Atributo Principal) eles acessam esse atributo no código.

   b. O atributo padrão na captura de tela é apenas para fins ilustrativos. Não é necessário fazer o cenário funcionar.

   c. Os nomes e valores do Atributo Principal mostrados na captura de tela dependem de como o aplicativo é desenvolvido. É possível que seu aplicativo exija mapeamentos diferentes.

Grupos baseados em asserção

Como uma etapa opcional, você pode configurar grupos baseados em declaração para o provedor de identidade do Microsoft Entra.

O uso de grupos na SAP Business Technology Platform permite atribuir dinamicamente um ou mais usuários a uma ou mais funções em seus aplicativos sap business technology platform, determinados por valores de atributos na declaração SAML 2.0.

Por exemplo, se a asserção contiver o atributo "contract=temporary", talvez você queira que todos os usuários afetados sejam adicionados ao grupo "TEMPORARY". O grupo "TEMPORARY" pode conter uma ou mais funções de um ou mais aplicativos implantados em sua conta da SAP Business Technology Platform.

Use grupos baseados em asserção quando quiser atribuir simultaneamente muitos usuários a uma ou mais funções de aplicativos em sua conta da SAP Business Technology Platform. Se você quiser atribuir apenas um único ou pequeno número de usuários a funções específicas, recomendamos atribuí-los diretamente na guia "Autorizações" do cockpit da SAP Business Technology Platform.

Criar um usuário de teste da SAP Business Technology Platform

Para permitir que os usuários do Microsoft Entra façam logon no SAP Business Technology Platform, você deve atribuir funções na SAP Business Technology Platform a eles.

Para atribuir uma função a um usuário, execute as seguintes etapas:

1. Faça login no cockpit da SAP Business Technology Platform.

2. Execute o seguinte:

   

   um. Selecione Autorização.

   b. Selecione a guia Usuários .

   c. Na caixa de texto Usuário , digite o endereço de email do usuário.

   d. Selecione Atribuir para atribuir o usuário a uma função.

   e. Selecione Salvar.

Testar o SSO

Nesta seção, você testará sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Selecione Testar este aplicativo, essa opção redireciona para a URL de Logon da SAP Business Technology Platform, na qual você pode iniciar o fluxo de logon.

• Acesse diretamente a URL de Logon da SAP Business Technology Platform e inicie o fluxo de logon nela.

• Você pode usar o Microsoft My Apps. Ao selecionar o bloco da SAP Business Technology Platform em Meus Aplicativos, você deverá ser conectado automaticamente à SAP Business Technology Platform, para a qual configurou o SSO. Para obter mais informações sobre meus aplicativos, consulte Introdução aos Meus Aplicativos.

Criar grupos para papéis de aplicativo da SAP Business Technology Platform e atribuir grupos à coleção de papéis da Business Technology Platform.

Você pode criar grupos de segurança do Microsoft Entra e mapear essas IDs de grupo para as funções de aplicativo. Para obter mais informações, consulte Gerenciando o acesso ao SAP BTP.

Conteúdo relacionado

• Depois de configurar o SAP Business Technology Platform, você poderá impor o controle de sessão, que protege contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.