Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con SAP NetWeaver

  • Artículo

En este tutorial, obtendrá información sobre cómo integrar SAP NetWeaver con Microsoft Entra ID. Al integrar SAP NetWeaver con Microsoft Entra ID, puede:

  • Controlar en Microsoft Entra ID quién tiene acceso a SAP NetWeaver.
  • Permitir que los usuarios inicien sesión automáticamente en SAP NetWeaver con sus cuentas de Microsoft Entra.
  • Administre sus cuentas en una ubicación central.

Requisitos previos

Para empezar, necesita los siguientes elementos:

  • Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
  • Suscripción habilitada para el inicio de sesión único (SSO) en SAP NetWeaver
  • Se requiere SAP NetWeaver V7.20 como mínimo

Descripción del escenario

  • SAP NetWeaver admite tanto SAML (SSO iniciado por el SP) como OAuth. En este tutorial va a configurar y probar el inicio de sesión único de Microsoft Entra en un entorno de prueba.

Nota:

El identificador de esta aplicación es un valor de cadena fijo, por lo que solo se puede configurar una instancia en un inquilino.

Nota:

Configure la aplicación en SAML o en OAuth, según el requisito de la organización.

Para configurar la integración de SAP NetWeaver con Microsoft Entra ID, debe agregar SAP NetWeaver desde la galería a la lista de aplicaciones SaaS administradas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
  3. En la sección Agregar desde la galería, escriba SAP NetWeaver en el cuadro de búsqueda.
  4. Seleccione SAP NetWeaver en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Si lo desea, puede usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para SAP NetWeaver

Configure y pruebe el inicio de sesión único de Microsoft Entra con SAP NetWeaver mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vinculación entre un usuario de Microsoft Entra y el usuario relacionado de SAP NetWeaver.

Para configurar y probar el inicio de sesión único de Microsoft Entra con SAP NetWeaver, complete los siguientes pasos:

  1. Configure el inicio de sesión único de Microsoft Entra, para que los usuarios puedan utilizar esta característica.
    1. Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
    2. Asigne el usuario de prueba de Microsoft Entra para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
  2. Configuración de SAP NetWeaver con SAML , para configurar los valores de inicio de sesión único en la aplicación.
    1. Cree un usuario de prueba de SAP NetWeaver, para tener un homólogo de B.Simon en SAP NetWeaver vinculado a su representación en Microsoft Entra.
  3. Comprobación del inicio de sesión único , para verificar que la configuración funciona correctamente.
  4. Configuración de SAP NetWeaver para OAuth, para configurar las opciones de OAuth en la aplicación.

Configuración del inicio de sesión único de Microsoft Entra

En esta sección va a habilitar el inicio de sesión único de Microsoft Entra.

Para configurar y probar el inicio de sesión único de Microsoft Entra con SAP NetWeaver, complete los siguientes pasos:

  1. Abra una ventana del explorador web e inicie sesión en el sitio de la compañía SAP NetWeaver como administrador.

  2. Asegúrese de que los servicios http y https están activos y de que se asignan los puertos adecuados en el código de transacción SMICM.

  3. Inicie sesión en el cliente empresarial del sistema de SAP (T01) donde se requiere el inicio de sesión único y active la administración de sesiones de seguridad HTTP.

    1. Vaya al código de transacción SICF_SESSIONS. Se muestran todos los parámetros de perfil correspondientes con sus valores actuales. Se ven como se muestra a continuación:

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0 
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Nota:

      Ajuste los parámetros anteriores según las necesidades de la organización. Los parámetros anteriores se proporcionan solo como indicación.

    2. De ser necesario, ajuste los parámetros en el perfil de instancia o predeterminado del sistema SAP y reinicie el sistema SAP.

    3. Haga doble clic en el cliente pertinente para habilitar la sesión de seguridad HTTP.

      The HTTP Security session

    4. Active los siguientes servicios SICF:

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Vaya al código de transacción SAML2 en el cliente empresarial del sistema SAP [T01/122]. Se abrirá una interfaz de usuario en el explorador. En este ejemplo, se supone a 122 como el cliente empresarial SAP.

    Transaction code

  5. Indique su nombre de usuario y contraseña para ingresar a la interfaz de usuario y haga clic en Editar.

    username and password

  6. Reemplace el nombre del proveedor de T01122 por http://T01122 y haga clic en Guardar.

    Nota:

    De forma predeterminada, el nombre de proveedor tiene el formato <sid><client>, pero Microsoft Entra ID espera que el nombre tenga el formato <protocol>://<name>. Se recomienda que el nombre del proveedor se mantenga como https://<sid><client> para permitir la configuración de varios motores ABAP de SAP NetWeaver en Microsoft Entra ID.

    The multiple SAP NetWeaver ABAP engines

  7. Generación de metadatos del proveedor de servicio: una vez que hemos terminado con la configuración del proveedor local y de los proveedores de confianza en la interfaz de usuario de SAML 2.0, el siguiente paso sería generar el archivo de metadatos del proveedor de servicios (que contendrá todas las configuraciones, contextos de autenticación y otras configuraciones de SAP). Una vez que se genera este archivo, es necesario cargarlo en Microsoft Entra ID.

    Generating Service Provider Metadata

    1. Vaya a la pestaña Proveedor local.

    2. Haga clic en Metadatos.

    3. Guarde el archivo de metadatos XML generado en el equipo y cárguelo en la sección Configuración básica de SAML para rellenar de forma automática los valores Identificador y URL de respuesta en Azure Portal.

Siga estos pasos para habilitar el SSO de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Página de integración de la aplicación SAP NetWeaver, busque la sección Administrar y seleccione Inicio de sesión único.

  3. En la página Seleccione un método de inicio de sesión único, seleccione SAML.

  4. En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.

    Edit Basic SAML Configuration

  5. En la sección Configuración básica de SAML, si desea configurar la aplicación en modo iniciado por IDP, realice el siguiente paso:

    1. Haga clic en Cargar archivo de metadatos para cargar el archivo de metadatos del proveedor de servicios que obtuvo anteriormente.

    2. Haga clic en el logotipo de la carpeta para seleccionar el archivo de metadatos y luego en Cargar.

    3. Una vez que se haya cargado correctamente el archivo de metadatos, los valores Identificador y Dirección URL de respuesta se rellenan automáticamente en el cuadro de texto de la sección Configuración básica de SAML, como se muestra a continuación:

    4. En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón: https://<your company instance of SAP NetWeaver>

    Nota:

    Algunos clientes han encontrado un error de una dirección URL de respuesta incorrecta configurada para su instancia. Si recibe este error, use estos comandos de PowerShell. En primer lugar, actualice las direcciones URL de respuesta en el objeto de aplicación con la dirección URL de respuesta y, a continuación, actualice la entidad de servicio. Use Get-MgServicePrincipal para obtener el valor del identificador de entidad de servicio.

    $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  6. La aplicación SAP NetWeaver espera las aserciones de SAML en un formato específico, lo que requiere que se agreguen asignaciones de atributo personalizadas a la configuración de los atributos del token SAML. La siguiente captura de muestra la lista de atributos predeterminados. Haga clic en el icono Editar para abrir el cuadro de diálogo Atributos de usuario.

    edit attribute

  7. En la sección Notificaciones del usuario del cuadro de diálogo Atributos de usuario, configure el atributo Token SAML como muestra la imagen anterior y realice los siguientes pasos:

    1. Haga clic en el icono Editar para abrir el cuadro de diálogo Administrar las notificaciones del usuario.

      edit icon

      image

    2. En la lista Transformación, seleccione ExtractMailPrefix() .

    3. En la lista Parámetro 1, seleccione user.userprincipalname.

    4. Haga clic en Save(Guardar).

  8. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque XML de metadatos de federación y seleccione Descargar para descargar el certificado y guardarlo en su equipo.

    The Certificate download link

  9. En la sección Set up SAP NetWeaver (Configurar SAP NetWeaver), copie las direcciones URL adecuadas según sus necesidades.

    Copy configuration URLs

Cree un usuario de prueba de Microsoft Entra

En esta sección, se crea un usuario llamado B.Simon.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
  2. Vaya aIdentidad>Usuarios>Todos los usuarios.
  3. Seleccione Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
  4. En las propiedades del usuario, siga estos pasos:
    1. En el campo Nombre para mostrar, escriba B.Simon.
    2. En el campo Nombre principal de usuario, escriba username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.
    3. Active la casilla Show password (Mostrar contraseña) y, después, anote el valor que se muestra en el cuadro Contraseña.
    4. Seleccione Revisar + crear.
  5. Seleccione Crear.

Asignación del usuario de prueba de Microsoft Entra

En esta sección, va a permitir que B.Simon acceda a SAP NetWeaver mediante el inicio de sesión único.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>SAP NetWeaver.
  3. En la página de información general de la aplicación, busque la sección Administrar y seleccione Usuarios y grupos.
  4. Seleccione Agregar usuario. A continuación, en el cuadro de diálogo Agregar asignación, seleccione Usuarios y grupos.
  5. En el cuadro de diálogo Usuarios y grupos, seleccione B.Simon de la lista de usuarios y haga clic en el botón Seleccionar de la parte inferior de la pantalla. Si espera que se asigne un rol a los usuarios, puede seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verá seleccionado el rol "Acceso predeterminado".
  6. En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.

Configuración de SAP NetWeaver con SAML

  1. Inicie sesión en el sistema SAP y vaya al código de transacción SAML2. Se abre una nueva ventana del explorador con la pantalla de configuración de SAML.

  2. Para configurar puntos de conexión para el proveedor de identidades de confianza (Microsoft Entra ID), vaya a la pestaña Proveedores de confianza.

    Configure Single Sign-On Trusted Providers

  3. Presione Agregar y seleccione Cargar archivo de metadatos en el menú contextual.

    Configure Single Sign-On 2

  4. Cargue el archivo de metadatos que ha descargado.

    Configure Single Sign-On 3

  5. En la siguiente pantalla, escriba el nombre de alias. Por ejemplo, aadsts, y presione Siguiente para continuar.

    Configure Single Sign-On 4

  6. Asegúrese de que su algoritmo de síntesis sea SHA-256 y no requiera de ningún cambio y presione Siguiente.

    Configure Single Sign-On 5

  7. En Single Sign-On Endpoints (Puntos de conexión de inicio de sesión único), utilice HTTP POST y haga clic en Siguiente para continuar.

    Configure Single Sign-On 6

  8. En Single Logout Endpoints (Puntos de conexión de cierre de sesión único), seleccione HTTPRedirect y haga clic en Siguiente para continuar.

    Configure Single Sign-On 7

  9. En Artifact Endpoints (Puntos de conexión de artefacto), presione Siguiente para continuar.

    Configure Single Sign-On 8

  10. En Requisitos de autenticación, haga clic en Finalizar.

    Configure Single Sign-On 9

  11. Vaya a la pestaña Proveedor de confianza>Federación de identidades (desde la parte inferior de la pantalla). Haga clic en Editar.

    Configure Single Sign-On 10

  12. Haga clic en Agregar bajo la pestaña Federación de identidades (ventana de la parte inferior).

    Configure Single Sign-On 11

  13. En la ventana emergente, seleccione Sin especificar en Formatos de NameID admitidos y haga clic en Aceptar.

    Configure Single Sign-On 12

  14. Proporcione el valor de User ID Source (Origen del identificador de usuario) como Assertion Attribute (Atributo de aserción), el valor de User ID mapping mode (Modo de asignación del identificador de usuario) como Email (Correo electrónico) y Assertion Attribute Name (Nombre del atributo de aserción) como http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    Configure Single Sign-On

  15. Tenga en cuenta que los valores de Origen del identificador de usuario y Modo de asignación del identificador de usuario determinan el vínculo entre el usuario de SAP y la notificación de Microsoft Entra.

Escenario: Asignación de usuario SAP a usuario de Microsoft Entra.

  1. Captura de pantalla de los detalles de NameID de SAP.

    Configure Single Sign-On 13

  2. Captura de pantalla que menciona las notificaciones requeridas de Microsoft Entra ID.

    Configure Single Sign-On 14

    Escenario: Seleccione el identificador de usuario SAP según la dirección de correo electrónico configurada en SU01. En este caso, el identificador de correo electrónico debe configurarse en su01 para cada usuario que requiera del inicio de sesión único.

    1. Captura de pantalla de los detalles de NameID de SAP.

      Configure Single Sign-On 15

    2. Captura de pantalla que menciona las notificaciones requeridas de Microsoft Entra ID.

    Configure Single Sign-On 16

  3. Haga clic en Guardar y, a continuación, haga clic en Habilitar para habilitar el proveedor de identidades.

    Configure Single Sign-On 17

  4. Haga clic en Aceptar cuando se le solicite.

    Configure Single Sign-On 18

Creación de un usuario de prueba de SAP NetWeaver

En esta sección, va a crear un usuario llamado B.Simon en SAP NetWeaver. Colabore con su equipo experto en SAP interno o con el asociado SAP de su organización para agregar usuarios en la plataforma de SAP NetWeaver.

Prueba de SSO

  1. Una vez que active el proveedor de identidades de Microsoft Entra ID, intente acceder a la siguiente dirección URL para comprobar el inicio de sesión único (no se solicitará su nombre de usuario y contraseña)

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    (o) use la siguiente dirección URL

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    Nota:

    Reemplace sapurl por el nombre de host real de SAP.

  2. La dirección URL anterior debería dirigirlo a la pantalla que se menciona a continuación. Si puede acceder a la página a continuación, la configuración de SSO de Microsoft Entra se realizó correctamente.

    test Single Sign-On

  3. Si se le solicita el nombre de usuario y contraseña, diagnostique el problema al habilitar el seguimiento mediante la siguiente dirección URL

    https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Configuración de SAP NetWeaver para OAuth

  1. El proceso documentado de SAP está disponible en la ubicación: NetWeaver Gateway Service Enabling and OAuth 2.0 Scope Creation (Habilitación de un servicio de NetWeaver Gateway y creación del ámbito de OAuth 2.0).

  2. Vaya a SPRO y busque Activate and Maintain Services (Activar y mantener servicios).

    Activate and Maintain services

  3. En este ejemplo, queremos conectar el servicio de OData: DAAG_MNGGRP con OAuth para el inicio de sesión único de Microsoft Entra. Use la búsqueda de nombre de servicio técnico para localizar el servicio DAAG_MNGGRP y actívelo si no lo está ya (busque el estado green en la pestaña ICF Nodes [Nodos de ICF]). Asegúrese de que el alias del sistema (el sistema back-end conectado en el que se ejecuta realmente el servicio) es correcto.

    OData service

    • Después, haga clic en el botón OAuth en la barra de botones superior y asigne el valor de scope (mantenga el nombre predeterminado tal como se ofrece).

  4. En nuestro ejemplo, el ámbito es DAAG_MNGGRP_001, se genera a partir del nombre del servicio agregando automáticamente un número. Se puede usar el informe /IWFND/R_OAUTH_SCOPES para cambiar el nombre del ámbito o crearlo manualmente.

    Configure OAuth

    Nota:

    El mensaje soft state status is not supported se puede pasar por alto, no supone ningún problema.

Creación de un usuario de servicio para el cliente de OAuth 2.0

  1. OAuth2 usa un valor de service ID para obtener el token de acceso para el usuario final en su nombre. Existe una restricción importante que impone el diseño de OAuth: el valor de OAuth 2.0 Client ID debe ser idéntico al valor de username que utiliza el cliente de OAuth 2.0 para iniciar sesión cuando se solicita un token de acceso. Por lo tanto, en nuestro ejemplo vamos a registrar un cliente de OAuth 2.0 con el nombre CLIENT1; como requisito previo, en el sistema SAP deberá existir un usuario con el mismo nombre (CLIENT1). Este usuario se configurará para su uso en la aplicación a la que se hace referencia.

  2. Al registrar un cliente de OAuth, se usa el valor de SAML Bearer Grant type.

    Nota:

    Para más información, consulte el artículo sobre el registro de cliente de OAuth 2.0 para el tipo de concesión de portador de SAML aquí.

  3. En el código de transacción SU01, cree el usuario CLIENT1 como System type y asígnele una contraseña; guárdela como sea necesario para proporcionar la credencial al programador de la API, que debe grabarla con el nombre de usuario en el código de llamada. No se debe asignar ningún perfil ni rol.

Registro del nuevo identificador de cliente de OAuth 2.0 con el asistente para creación

  1. Para registrar un nuevo cliente de OAuth 2.0, inicie la transacción SOAUTH2. La transacción mostrará información general acerca de los clientes de OAuth 2.0 que ya se han registrado. Elija Create (Crear) para iniciar el asistente para el nuevo cliente de OAuth, denominado CLIENT1 en este ejemplo.

  2. Vaya al código de transacción SOAUTH2 y proporcione la descripción; después, haga clic en Next (Siguiente).

    SOAUTH2

    OAuth 2.0 Client ID

  3. En la lista desplegable, seleccione el proveedor de identidades SAML2 IdP – Microsoft Entra ID ya agregado y guarde.

    SAML2 IdP – Microsoft Entra ID 1

    SAML2 IdP – Microsoft Entra ID 2

    SAML2 IdP – Microsoft Entra ID 3

  4. Haga clic en Add (Agregar) en la asignación de ámbito para agregar el ámbito creado anteriormente: DAAG_MNGGRP_001.

    Scope

    scope assignment

  5. Haga clic en Finish (Finalizar).

Pasos siguientes

Una vez que haya configurado Microsoft Entra SAP NetWeaver, puede aplicar el control de sesión, que protege su organización en tiempo real frente a la filtración e infiltración de información confidencial. El control de sesión procede del acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.