Freigeben über

Konfigurieren von SAP Cloud Identity Services für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie SAP Cloud Identity Services in Microsoft Entra ID für einmaliges Anmelden integrieren. Wenn Sie SAP Cloud Identity Services in Microsoft Entra ID integrieren, können Sie:

  • Steuern sie in Microsoft Entra ID, wie Benutzer sich bei SAP Cloud Identity Services authentifizieren können.
  • Ermöglichen Sie Es Ihren Benutzern, mit ihren Microsoft Entra-Konten automatisch bei SAP Cloud Identity Services und nachgeschalteten SAP-Anwendungen angemeldet zu sein.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Tipp

Befolgen Sie die Empfehlungen und Best-Practice-Anleitungen "Using Microsoft Entra ID, um den Zugriff auf SAP-Plattformen und -Anwendungen zu sichern", um das Setup zu operationalisieren.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

Wenn Sie noch keine Benutzer in Microsoft Entra ID haben, beginnen Sie mit dem Artikel plan der Bereitstellung von Microsoft Entra für die Benutzerbereitstellung mit SAP-Quell- und Ziel-Apps. In diesem Artikel wird veranschaulicht, wie Sie Microsoft Entra mit autorisierenden Quellen für die Liste der Mitarbeiter in einer Organisation verbinden, z. B. SAP SuccessFactors. Außerdem wird gezeigt, wie Sie mithilfe von Microsoft Entra Identitäten für diese Mitarbeiter einrichten können, damit sie sich bei einer oder mehreren SAP-Anwendungen wie SAP ECC oder SAP S/4HANA anmelden können.

Wenn Sie die einmalige Anmeldung bei SAP Cloud Identity Services in einer Produktionsumgebung konfigurieren, in der Sie den Zugriff auf SAP-Workloads mithilfe von Microsoft Entra ID Governance verwalten, überprüfen Sie die prerequisites, bevor Sie Microsoft Entra ID für Identitätsgovernance konfigurieren bevor Sie fortfahren.

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra Single Sign-On für SAP Cloud Identity Services.

  • SAP Cloud Identity Services unterstützt Dienstanbieter (SP) und Identitätsanbieter (IDP), die SSO mithilfe von SAML initiiert haben. SAP Cloud Identity Services unterstützt auch OpenID Connect, aber diese Option wird in diesem Artikel nicht behandelt.
  • SAP Cloud Identity Services unterstützt auch die Bereitstellung von Benutzern und Gruppen aus Microsoft Entra ID. Weitere Informationen finden Sie unter automatisierte Benutzerbereitstellung.

Bevor Sie sich mit den technischen Details beschäftigen, müssen Sie die Konzepte verstehen, die hier behandelt werden. Mit SAP Cloud Identity Services können Sie SSO über SAP-Anwendungen und -Dienste hinweg implementieren, mit der gleichen SSO-Erfahrung wie nicht-SAP-Anwendungen, die direkt in Microsoft Entra ID als Identitätsanbieter integriert sind.

SAP Cloud Identity Services fungiert als Proxyidentitätsanbieter für andere SAP-Anwendungen als Zielsysteme. Microsoft Entra ID fungiert wiederum als führender Identitätsanbieter in diesem Setup.

Das folgende Diagramm veranschaulicht die Vertrauensstellung:

Diagramm der Architektur von Vertrauensstellungen zwischen SAP-Anwendungen, SAP Cloud Identity Services und Microsoft Entra.

Mit diesem Setup wird Ihre SAP Cloud Identity Services als eine oder mehrere Anwendungen in Microsoft Entra ID konfiguriert. Microsoft Entra ist als Corporate Identity Provider in Ihren SAP Cloud Identity Services konfiguriert.

Alle SAP-Anwendungen und -Dienste, für die Sie ein einmaliges Anmelden ermöglichen möchten, werden anschließend als Anwendungen in SAP Cloud Identity Services konfiguriert.

Diagramm der Architektur von SSO und Bereitstellungsfluss zwischen SAP-Anwendungen, SAP Cloud Identity Services und Microsoft Entra.

Die Benutzerzuweisung zu einer SAP Cloud Identity Services-Anwendungsrolle in Microsoft Entra reguliert die Microsoft Entra Tokenausstellung für die SAP Cloud Identity Services. Die Autorisierung für die Gewährung des Zugriffs auf bestimmte SAP-Anwendungen und -Dienste sowie Rollenzuweisungen für diese SAP-Anwendungen erfolgt in SAP Cloud Identity Services und den Anwendungen selbst. Diese Autorisierung kann auf Benutzer- und Gruppen basieren, die von Microsoft Entra ID bereitgestellt werden.

Hinweis

Bisher wurde nur Web-SSO von beiden Parteien getestet. Die Datenflüsse, die für die Kommunikation zwischen Apps und APIs oder zwischen APIs benötigt werden, sollten funktionieren, wurden aber noch nicht getestet. Sie werden während nachfolgender Aktivitäten getestet.

Um die SAML-Integration von SAP Cloud Identity Services in Microsoft Entra ID zu konfigurieren, müssen Sie SAP Cloud Identity Services aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.
  2. Navigieren Sie zu Entra ID>Enterprise apps>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff SAP Cloud Identity Services in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich SAP Cloud Identity Services aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Weitere Informationen zu Microsoft 365 wizards.

Konfigurieren und Testen Microsoft Entra SSO für SAP Cloud Identity Services

Konfigurieren und testen Sie Microsoft Entra SSO mit SAP Cloud Identity Services mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, müssen Sie eine Verknüpfungsbeziehung zwischen einem Microsoft Entra Benutzer und dem zugehörigen Benutzer in SAP Cloud Identity Services einrichten.

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO mit SAP Cloud Identity Services zu konfigurieren und zu testen:

  1. Configure Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um das Microsoft Entra-Single-Sign-On mit B.Simon zu testen.
    2. Weisen Sie den Microsoft Entra-Testbenutzer zu, damit B.Simon die Microsoft Entra-Einmalanmeldung verwenden kann.
  2. Einmaliges Anmelden für SAP Cloud Identity Services konfigurieren, um die SSO-Einstellungen auf der Anwendungsseite zu konfigurieren.
    1. Erstellen Sie einen SAP Cloud Identity Services Testbenutzer – um ein Pendant zu B.Simon in den SAP Cloud Identity Services zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
  3. SSO testen, um die Funktionsfähigkeit der Konfiguration zu überprüfen.

Abrufen der METADATEN des SAP Cloud Identity Services-Verbunds

  1. Melden Sie sich bei ihrer SAP Cloud Identity Services-Verwaltungskonsole an. Die URL weist das folgende Muster auf: https://<tenant-id>.accounts.ondemand.com/admin oder https://<tenant-id>.trial-accounts.ondemand.com/admin.

  2. Wählen Sie unter "Anwendungen und Ressourcen" die Option "Mandanteneinstellungen" aus.

    Screenshot zeigt Mandanteneinstellungen.

  3. Wählen Sie auf der Registerkarte "Einmaliges Anmelden " die Option "SAML 2.0-Konfiguration" aus. Wählen Sie dann " Metadatendatei herunterladen" aus, um die Verbundmetadaten von SAP Cloud Identity Services herunterzuladen.

    Screenshot mit der Schaltfläche „Metadaten herunterladen“.

Konfigurieren Microsoft Entra SSO

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.

  2. Navigieren Sie zu Entra ID>Enterprise apps. Geben Sie den Namen Ihrer Anwendung ein, z. B. SAP Cloud Identity Services. Wählen Sie die Anwendung und dann einmaliges Anmelden aus.

  3. Auf der Seite Wählen Sie eine SSO-Methode aus, wählen Sie SAML aus.

  4. Führen Sie im Abschnitt "Grundlegende SAML-Konfiguration " die Folgenden Schritte aus, wenn Sie über die Metadatendatei des Dienstanbieters aus SAP Cloud Identity Services verfügen:

    a) Wählen Sie " Metadatendatei hochladen" aus.

    b. Wählen Sie das Ordnerlogo aus, um die Metadatendatei auszuwählen, die Sie aus SAP heruntergeladen haben, und wählen Sie "Hochladen" aus.

    Screenshot der Auswahl der Metadatendatei

    Abschnitt c. Nach dem erfolgreichen Upload der Metadatendatei werden die Werte unter ID und Antwort-URL im Abschnitt 'Grundlegende SAML-Konfiguration' automatisch ausgefüllt.

    Screenshot mit URLs.

    Hinweis

    Wenn die Id- und Antwort-URL-Werte nicht automatisch ausgefüllt werden, füllen Sie die Werte entsprechend Ihrer Anforderung manuell aus.

  5. Wenn Sie weitere Konfigurationen vornehmen möchten, wählen Sie auf der Seite "Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Bearbeiten der SAML-Basiskonfiguration

    Geben Sie im Textfeld Anmelde-URL (Optional) Ihre spezifische Anmeldeanwendungs-URL ein.

    Hinweis

    Ersetzen Sie diesen Wert durch die tatsächliche Anmelde-URL. Weitere Informationen finden Sie im SAP Knowledge Base-Artikel 3128585. Wenden Sie sich an das SAP Cloud Identity Services Client-Supportteam , wenn Sie Fragen haben.

  6. Ihre SAP Cloud Identity Services-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

    Screenshot mit Attributen.

  7. Darüber hinaus wird von der SAP Cloud Identity Services-Anwendung erwartet, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen.

    Name Quellattribut
    Vorname Benutzer.vorname

  8. Wählen Sie auf der Seite Set up Single Sign-On with SAML im Abschnitt SAML Signing Certificate die Option Herunterladen aus, um das Metadata XML herunterzuladen, und speichern Sie es auf Ihrem Computer.

    Downloadlink für das Zertifikat

  9. Kopieren Sie im Abschnitt Einrichten von SAP Cloud Identity Services die entsprechenden URLs gemäß Ihren Anforderungen.

    Kopieren der Konfiguration-URLs

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfiguration von SAP Cloud Identity Services SSO

In diesem Abschnitt erstellen Sie einen Corporate Identity Provider in der Verwaltungskonsole SAP Cloud Identity Services. Weitere Informationen finden Sie unter Erstellen von Unternehmens-IDP in der Verwaltungskonsole.

  1. Melden Sie sich bei ihrer SAP Cloud Identity Services-Verwaltungskonsole an. Die URL weist das folgende Muster auf: https://<tenant-id>.accounts.ondemand.com/admin oder https://<tenant-id>.trial-accounts.ondemand.com/admin.

  2. Wählen Sie unter Identitätsanbieter die Kachel Unternehmensidentitätsanbieter aus.

  3. Wählen Sie +Erstellen aus, um einen Identitätsanbieter zu erstellen.

    Screenshot, der den Identitätsanbieter zeigt.

  4. Führen Sie die folgenden Schritte im Dialogfeld Identitätsanbieter erstellen aus.

    Screenshot mit dem Dialogfeld „Identitätsanbieter erstellen“.

    a) Geben Sie unter Anzeigename einen gültigen Namen ein.

    b. Wählen Sie Microsoft ADFS/Entra ID (SAML 2.0) aus der Dropdownliste aus.

    Abschnitt c. Klicken Sie auf Erstellen.

  5. Wechseln Sie zu Vertrauen –> SAML 2.0-Konfiguration. Wählen Sie im Feld für Metadata-DateiBrowse aus, um die Metadata XML Datei hochzuladen, die Sie aus der Microsoft Entra SSO-Konfiguration heruntergeladen haben.

    Screenshot mit der Konfiguration des Identitätsanbieters.

  6. Wählen Sie Speichern aus.

  7. Führen Sie die folgenden Schritte nur aus, wenn Sie SSO für eine weitere SAP-Anwendung hinzufügen und aktivieren möchten. Wiederholen Sie die Schritte aus dem Abschnitt Hinzufügen von SAP Cloud Platform Identity Services aus dem Katalog.

  8. Wählen Sie auf der Entra-Seite auf der Anwendungsintegrationsseite für SAP Cloud Identity Services die Option Anmeldung über Link aus.

    Screenshot des Fensters „Anmeldung über Link konfigurieren“

  9. Speichern Sie die Konfiguration.

  10. Weitere Informationen finden Sie in der Dokumentation zu SAP Cloud Identity Services unter Integration mit Microsoft Entra ID.

Hinweis

Die neue Anwendung nutzt die „Einmaliges Anmelden“-Konfiguration der vorherigen SAP-Anwendung. Achten Sie darauf, dass Sie in der SAP Cloud Identity Services-Verwaltungskonsole dieselben Unternehmensidentitätsanbieter verwenden.

Erstellen des SAP Cloud Identity Services-Testbenutzers

Sie müssen keinen Benutzer in SAP Cloud Identity Services erstellen. Benutzer, die sich im Microsoft Entra Benutzerspeicher befinden, können die SSO-Funktionalität verwenden.

SAP Cloud Identity Services unterstützt die Identitätsverbundoption. Durch diese Option kann die Anwendung überprüfen, ob im Benutzerspeicher von SAP Cloud Identity Services Benutzer vorhanden sind, die vom Unternehmensidentitätsanbieter authentifiziert werden.

Die Option für Identitätsverbund ist standardmäßig deaktiviert. Ist „Identitätsverbund“ aktiviert, können auf die Anwendung nur Benutzer zugreifen, die in SAP Cloud Identity Services importiert wurden.

Weitere Informationen zum Aktivieren oder Deaktivieren des Identitätsverbunds in SAP Cloud Identity Services finden Sie in Configure Identity Federation with the User Store of SAP Cloud Identity Services (Konfigurieren des Identitätsverbunds mit dem Benutzerspeicher von SAP Cloud Identity Services) unter „Enable Identity Federation with SAP Cloud Identity Services“ (Aktivieren des Identitätsverbunds in SAP Cloud Identity Services).

Hinweis

Außerdem unterstützt SAP Cloud Identity Services automatische Benutzerbereitstellung. Weitere Informationen zum Konfigurieren der automatischen Benutzerbereitstellung finden Sie hier.

SSO testen

In diesem Abschnitt testen Sie Ihre Microsoft Entra Konfiguration für einmaliges Anmelden mit den folgenden Optionen, SP initiiert und IDP initiiert.

Wenn bei der Anmeldung bei SAP Cloud Identity Services Fehler auftreten, können Sie in der Verwaltungskonsole von SAP Cloud Identity Services die Problembehandlungsprotokolle nach dieser Korrelations-ID durchsuchen. Weitere Informationen finden Sie im SAP Knowledge Base-Artikel 2698571 und SAP Knowledge Base-Artikel 3201824.

SP-initiiert:

  • Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur SAP Cloud Identity Services-Anmelde-URL um, unter der Sie den Anmeldefluss initiieren können.

  • Wechseln Sie direkt zur Anmelde-URL von SAP Cloud Identity Services, und initiieren Sie den Anmeldeflow von dort aus.

IDP gestartet:

  • Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch bei den SAP Cloud Identity Services angemeldet sein, für die Sie das SSO einrichten.

Sie können auch Microsoft Meine Apps verwenden, um die Anwendung in jedem Modus zu testen. Wenn Sie die Kachel "SAP Cloud Identity Services" im Meine Apps auswählen, werden Sie, wenn sie im SP-Modus konfiguriert sind, zur Anmeldeseite umgeleitet, um den Anmeldefluss zu initiieren, und wenn sie im IDP-Modus konfiguriert sind, sollten Sie automatisch bei den SAP Cloud Identity Services angemeldet sein, für die Sie das SSO einrichten. Weitere Informationen zum Meine Apps finden Sie unter Introduction to the Meine Apps.

Entdecken vorhandener Benutzer in SAP Cloud Identity Services

Vor der Integration mit Microsoft Entra verfügt Ihr SAP Cloud Identity Services-Konto möglicherweise bereits über einen oder mehrere Benutzer. Mit der Kontoermittlungsfunktion können Sie einen Bericht aller Benutzer in SAP Cloud Identity Services generieren, ermitteln, welche Benutzer übereinstimmende Konten in Entra haben und welche Benutzer mit nur einem Klick lokal bei SAP Cloud Identity Services sind. Erfahren Sie hier mehr über die Kontoermittlungsfunktionalität. Auf diese Weise können Sie das Onboarding in Entra vereinfachen und gleichzeitig pereodisch auf unbefugten Zugriff überwachen.

Verwandte Inhalte

Um Benutzer von Microsoft Entra mit SAP Cloud Identity Services zu synchronisieren, aktivieren Sie automatisierte Benutzerbereitstellung.

Nachdem Sie Single Sign-On bei SAP Cloud Identity Services konfiguriert haben, können Sie SAP Cloud Identity Services auch so einstellen, dass alle SSO-Anforderungen an Microsoft Entra weitergeleitet werden. Wenn diese Option in SAP Cloud Identity Services aktiviert ist, leitet SAP Cloud Identity Services jedes Mal, wenn ein Benutzer versucht, auf eine Anwendung zuzugreifen, die mit SAP Cloud Identity Services verbunden ist, eine Authentifizierungsanforderung an Microsoft Entra weiter, auch wenn der Benutzer über eine aktive Sitzung in SAP Cloud Identity Services verfügt.

Sie können auch Sitzungssteuerungen erzwingen, die die Exfiltration und Infiltration von vertraulichen Daten Ihrer Organisation in Echtzeit verhindern. Sitzungssteuerungen sind eine Erweiterung des Conditional Access. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.

Sie können auch den Zugriff auf SAP BTP-Anwendungen verwalten, indem Sie Microsoft Entra ID Governance verwenden, um Gruppen aufzufüllen, die Rollen in der BTP-Rollensammlung zugeordnet sind. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf SAP BTP.

Lesen Sie den Leitfaden für Empfehlungen und bewährte Methoden, um das Setup zu operationalisieren.

  • Last updated on