Configurar o SAP Business Technology Platform para logon único com o Microsoft Entra ID

Neste artigo, você aprenderá a integrar o SAP Business Technology Platform ao Microsoft Entra ID. Ao integrar o SAP Business Technology Platform com o Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso ao SAP Business Technology Platform.
• Permita que seus usuários façam login automaticamente no SAP Business Technology Platform com suas contas Microsoft Entra.
• Gerencie suas contas em um local central.
• Atribua usuários no Microsoft Entra a funções da plataforma de tecnologia SAP Business.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode criar uma conta gratuitamente.
• Uma das seguintes funções:
  • Administrador de Aplicações
  • Administrador de aplicativos na nuvem
  • Proprietário da Aplicação.

• Assinatura habilitada para logon único (SSO) do SAP Business Technology Platform.

Descrição do cenário

Neste artigo, você configura e testa o logon único do Microsoft Entra em um ambiente de teste.

• O SAP Business Technology Platform suporta SSO iniciado pelo SP.

Adicionar SAP Business Technology Platform da galeria

Para configurar a integração do SAP Business Technology Platform no Microsoft Entra ID, você precisa adicionar o SAP Business Technology Platform da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de Aplicações na Nuvem .
2. Navegue até Entra ID>Enterprise apps>Novo aplicativo.
3. Na secção Adicionar da galeria, digite SAP Business Technology Platform na caixa de pesquisa.
4. Selecione SAP Business Technology Platform no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração do Enterprise App. Neste assistente de configuração, pode adicionar uma aplicação ao seu tenant, adicionar utilizadores/grupos à aplicação, atribuir funções e também configurar o SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO for SAP Business Technology Platform

Configure e teste o Microsoft Entra SSO com SAP Business Technology Platform usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no SAP Business Technology Platform.

Para configurar e testar o Microsoft Entra SSO com o SAP Business Technology Platform, execute as seguintes etapas:

1. Configurar o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
   1. Criar um utilizador de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com Britta Simon.
   2. Atribua o usuário de teste do Microsoft Entra - para permitir que Britta Simon use a autenticação única do Microsoft Entra.
2. Configurar o SSO da Plataforma de Tecnologia Empresarial da SAP - para configurar as definições de início de sessão único no lado da aplicação.
   1. Criar usuário de teste do SAP Business Technology Platform - para ter um homólogo de Britta Simon no SAP Business Technology Platform que esteja vinculado à representação do usuário do Microsoft Entra.
3. Teste SSO - para verificar se a configuração funciona.

Configurar Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de Aplicações na Nuvem .

2. Navegue até Entra ID>Enterprise apps>SAP Business Technology Platform>Single sign-on.

3. Na página Selecione um método de início de sessão único, selecione SAML.

4. Na página Configurar autenticação única com SAML, clique no ícone de lápis em Configuração Básica de SAML para editar as definições.

   

5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

   a) Na caixa de texto Identificador , você fornece ao tipo de URL da SAP Business Technology Platform usando um dos seguintes padrões:

   Identificador
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b) Na caixa de texto URL de resposta, digite uma URL usando um dos seguintes padrões:

   URL de resposta
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. Na caixa de texto URL de Logon, digite a URL usada pelos seus utilizadores para iniciar sessão na sua aplicação SAP Business Technology Platform. Este é o URL específico da conta de um recurso protegido em seu aplicativo SAP Business Technology Platform. O URL baseia-se no seguinte padrão: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Observação

   Este é o URL em seu aplicativo SAP Business Technology Platform que requer a autenticação do usuário.

   URL de início de sessão
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Observação

   Esses valores não são reais. Atualize esses valores com o identificador real, URL de resposta e URL de logon. Entre em contato com a equipe de suporte ao cliente do SAP Business Technology Platform para obter o URL e Identificador Sign-On. URL de resposta que você pode obter na seção de gerenciamento de confiança, que é explicada mais adiante no artigo.

6. Na página Configuração Única Sign-On com SAML, na seção Certificado de Assinatura SAML, selecione Descarregar para baixar o XML de Metadados de Federação das opções fornecidas de acordo com as suas necessidades e salve-o no seu computador.

   

Criar e atribuir usuário de teste do Microsoft Entra

Siga as orientações do guia rápido para criar e atribuir uma conta de utilizador e crie uma conta de usuário de teste chamada B.Simon.

Configurar o SSO do SAP Business Technology Platform

1. Em uma janela diferente do navegador da Web, faça logon no SAP Business Technology Platform Cockpit em https://account.<landscape host>.ondemand.com/cockpit(por exemplo: https://account.hanatrial.ondemand.com/cockpit).

2. Selecione a guia Confiança .

   

3. Na seção Gerenciamento de Confiança, em Provedor de Serviços Local, execute as seguintes etapas:

   pt-PT:

   a) Selecione Editar.

   b) Como Tipo de configuração, selecione Custom.

   c. Como Nome do Provedor Local, deixe o valor padrão. Copie esse valor e cole-o no campo Identificador na configuração do Microsoft Entra para a SAP Business Technology Platform.

   d. Para gerar uma chave de assinatura e um par de chaves de certificado de assinatura , selecione Gerar par de chaves.

   e. Como Propagação Principal, selecione Desativado.

   f. Como Force Authentication, selecione Disabled.

   g. Selecione Guardar.

4. Depois de salvar as configurações do Provedor de Serviços Local , execute o seguinte procedimento para obter a URL de resposta:

   

   a) Faça download do arquivo de metadados do SAP Business Technology Platform selecionando Obter metadados.

   b) Abra o arquivo XML de metadados do SAP Business Technology Platform baixado e localize a tag ns3:AssertionConsumerService.

   c. Copie o valor do atributo Location e cole-o no campo URL de resposta na configuração do Microsoft Entra para SAP Business Technology Platform.

5. Selecione a guia Provedor de Identidade Confiável e, em seguida, selecione Adicionar Provedor de Identidade Confiável.

   

   Observação

   Para gerenciar a lista de provedores de identidade confiáveis, você precisa ter escolhido o tipo de configuração Personalizada na seção Provedor de Serviços Local. Para o tipo de configuração Default, você tem uma confiança implícita e não editável para o SAP ID Service. Para Nenhum, você não tem nenhuma configuração de confiança.

6. Selecione a guia Geral e, em seguida, selecione Procurar para carregar o arquivo de metadados baixado.

   

   Observação

   Depois de carregar o ficheiro de metadados, os valores de URL de Logon Único, URL de Logout Únicoe Certificado de Assinatura são preenchidos automaticamente.

7. Selecione o separador Atributos.

8. Na guia Atributos, execute a seguinte etapa:

   

   a) Selecione Adicionar Assertion-Based Atributo e, em seguida, adicione os seguintes atributos baseados em asserção:

   Atributo de asserção	Atributo principal
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	Primeiro nome
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	Apelido
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	e-mail

   Observação

   A configuração dos Atributos depende de como o(s) aplicativo(s) no SCP são desenvolvidos, ou seja, quais atributos eles esperam na resposta SAML e sob qual nome (Atributo Principal) eles acessam esse atributo no código.

   b) O Atributo Padrão na captura de tela é apenas para fins de ilustração. Não é necessário fazer o cenário funcionar.

   c. Os nomes e valores para Atributo Principal mostrados na captura de tela dependem de como o aplicativo é desenvolvido. É possível que seu aplicativo exija mapeamentos diferentes.

Grupos baseados em asserções

Como etapa opcional, você pode configurar grupos baseados em asserção para seu provedor de identidade do Microsoft Entra.

O uso de grupos no SAP Business Technology Platform permite atribuir dinamicamente um ou mais usuários a uma ou mais funções em seus aplicativos SAP Business Technology Platform, determinados por valores de atributos na afirmação SAML 2.0.

Por exemplo, se a asserção contiver o atributo "contract=temporary", você pode desejar que todos os usuários afetados sejam adicionados ao grupo "TEMPORARY". O grupo "TEMPORARY" pode conter uma ou mais funções de um ou mais aplicativos implantados em sua conta do SAP Business Technology Platform.

Use grupos baseados em asserção quando quiser atribuir simultaneamente muitos usuários a uma ou mais funções de aplicativos em sua conta do SAP Business Technology Platform. Se você quiser atribuir apenas um ou um pequeno número de usuários a funções específicas, recomendamos atribuí-los diretamente na guia "Authorizations" do cockpit do SAP Business Technology Platform.

Criar usuário de teste do SAP Business Technology Platform

Para permitir que os usuários do Microsoft Entra façam login no SAP Business Technology Platform, você deve atribuir funções na SAP Business Technology Platform a eles.

Para atribuir uma função a um usuário, execute as seguintes etapas:

1. Faça login no cockpit da sua SAP Business Technology Platform.

2. Execute o seguinte:

   

   a) Selecione Autorização.

   b) Selecione a guia Usuários.

   c. Na caixa de texto User, digite o endereço de e-mail do usuário.

   d. Selecione Atribuir para atribuir o usuário a uma função.

   e. Selecione Guardar.

Teste de SSO

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Selecione Testar este aplicativo, esta opção redireciona para o URL de logon do SAP Business Technology Platform onde você pode iniciar o fluxo de login.

• Vá diretamente para o URL de logon do SAP Business Technology Platform e inicie o fluxo de login a partir daí.

• Você pode usar o Microsoft My Apps. Ao selecionar o bloco SAP Business Technology Platform em Meus aplicativos, você deve estar automaticamente conectado à SAP Business Technology Platform para a qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aoMeus Aplicativos .

Crie grupos para funções de aplicativo do SAP Business Technology Platform e atribua grupos à coleção de funções do Business Technology Platform

Você pode criar grupos de segurança do Microsoft Entra e mapear essas IDs de grupo para as funções do aplicativo. Para obter mais informações, consulte Gerenciando o acesso ao SAP BTP.

Conteúdo relacionado

• Depois de configurar o SAP Business Technology Platform, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.