Freigeben über

Konfigurieren von SAP Cloud Identity Services für einmaliges Anmelden mit Microsoft Entra-ID

In diesem Artikel erfahren Sie, wie Sie SAP Cloud Identity Services in Microsoft Entra ID integrieren. Die Integration von SAP Cloud Identity Services mit Microsoft Entra ID ermöglicht Folgendes:

  • Sie können in Microsoft Entra ID steuern, wer Zugriff auf SAP Cloud Identity Services haben soll.
  • Ermöglichen Sie Es Ihren Benutzern, automatisch bei SAP Cloud Identity Services und nachgeschalteten SAP-Anwendungen mit ihren Microsoft Entra-Konten angemeldet zu sein.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Tipp

Folgen Sie dem Leitfaden für Empfehlungen und bewährte Methoden „Verwenden von Microsoft Entra ID zum Sichern des Zugriffs auf SAP-Plattformen und -Anwendungen“, um das Setup zu operationalisieren.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

Wenn Sie noch keine Benutzer in Microsoft Entra ID haben, beginnen Sie mit dem Artikel Planen der Bereitstellung von Microsoft Entra für die Benutzerbereitstellung mit SAP-Quell- und Ziel-Apps. In diesem Artikel wird veranschaulicht, wie Sie Microsoft Entra mit autorisierenden Quellen für die Liste der Mitarbeiter in einer Organisation verbinden, z. B. SAP SuccessFactors. Außerdem wird gezeigt, wie Sie Microsoft Entra zum Einrichten von Identitäten für diese Beschäftigten verwenden, damit sie sich bei einer oder mehreren SAP-Anwendungen wie SAP ECC oder SAP S/4HANA anmelden können.

Wenn Sie die einmalige Anmeldung bei SAP Cloud Identity Services in einer Produktionsumgebung konfigurieren, in der Sie den Zugriff auf SAP-Workloads mit Microsoft Entra ID Governance verwalten, überprüfen Sie die Voraussetzungen, bevor Sie Microsoft Entra ID für Identitätsgovernance konfigurieren , bevor Sie fortfahren.

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • SAP Cloud Identity Services unterstützt vom Dienstanbieter (SP) und Identitätsanbieter (IDP) initiierte SSO.
  • SAP Cloud Identity Services unterstützt automatisierte Benutzerbereitstellung.

Bevor Sie sich mit den technischen Details beschäftigen, müssen Sie die Konzepte verstehen, die hier behandelt werden. Mit SAP Cloud Identity Services können Sie SSO über SAP-Anwendungen und -Dienste hinweg implementieren, mit der gleichen SSO-Erfahrung wie nicht-SAP-Anwendungen, die direkt mit Microsoft Entra ID als Identitätsanbieter integriert sind.

SAP Cloud Identity Services fungiert als Proxyidentitätsanbieter für andere SAP-Anwendungen als Zielsysteme. Microsoft Entra ID dient in diesem Setup als führender Identitätsanbieter.

Das folgende Diagramm veranschaulicht die Vertrauensstellung:

Diagramm der Architektur von Vertrauensstellungen zwischen SAP-Anwendungen, SAP Cloud Identity Services und Microsoft Entra.

Mit diesem Setup wird Ihre SAP Cloud Identity Services als eine oder mehrere Anwendungen in Microsoft Entra ID konfiguriert. Microsoft Entra ist als Unternehmensidentitätsanbieter in Ihren SAP Cloud Identity Services konfiguriert.

Alle SAP-Anwendungen und -Dienste, für die Sie ein einmaliges Anmelden ermöglichen möchten, werden anschließend als Anwendungen in SAP Cloud Identity Services konfiguriert.

Diagramm der Architektur von SSO und Bereitstellungsfluss zwischen SAP-Anwendungen, SAP Cloud Identity Services und Microsoft Entra.

Die Benutzerzuweisung zu einer SAP Cloud Identity Services-Anwendungsrolle in Microsoft Entra steuert, wie Microsoft Entra-Token an SAP Cloud Identity Services ausgegeben werden. Die Autorisierung für die Gewährung des Zugriffs auf bestimmte SAP-Anwendungen und -Dienste sowie Rollenzuweisungen für diese SAP-Anwendungen erfolgt in SAP Cloud Identity Services und den Anwendungen selbst. Diese Autorisierung kann auf Benutzer- und Gruppen basieren, die von der Microsoft Entra-ID bereitgestellt werden.

Hinweis

Bisher wurde nur Web-SSO von beiden Parteien getestet. Die Datenflüsse, die für die Kommunikation zwischen Apps und APIs oder zwischen APIs benötigt werden, sollten funktionieren, wurden aber noch nicht getestet. Sie werden während nachfolgender Aktivitäten getestet.

Zum Konfigurieren der Integration von SAP Cloud Identity Services in Microsoft Entra ID müssen Sie SAP Cloud Identity Services aus dem Katalog der Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff SAP Cloud Identity Services in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich SAP Cloud Identity Services aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für SAP Cloud Identity Services

Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit SAP Cloud Identity Services mithilfe eines Testbenutzers namens B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in SAP Cloud Identity Services eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit SAP Cloud Identity Services die folgenden Schritte aus:

  1. Konfigurieren des einmaligen Anmeldens von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
    2. Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
  2. Konfigurieren des einmaligen Anmeldens für SAP Cloud Identity Services, um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren.
    1. Erstellen Sie sap Cloud Identity Services-Testbenutzer – um ein Gegenstück von B.Simon in SAP Cloud Identity Services zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
  3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Abrufen der METADATEN des SAP Cloud Identity Services-Verbunds

  1. Melden Sie sich bei ihrer SAP Cloud Identity Services-Verwaltungskonsole an. Die URL weist das folgende Muster auf: https://<tenant-id>.accounts.ondemand.com/admin oder https://<tenant-id>.trial-accounts.ondemand.com/admin.

  2. Wählen Sie unter "Anwendungen und Ressourcen" die Option "Mandanteneinstellungen" aus.

    Screenshot mit Mandanteneinstellungen.

  3. Wählen Sie auf der Registerkarte "Einmaliges Anmelden " die Option "SAML 2.0-Konfiguration" aus. Wählen Sie dann " Metadatendatei herunterladen" aus, um die Verbundmetadaten von SAP Cloud Identity Services herunterzuladen.

    Screenshot mit der Schaltfläche „Metadaten herunterladen“.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps. Geben Sie den Namen Ihrer Anwendung ein, z. B. SAP Cloud Identity Services. Wählen Sie die Anwendung und dann einmaliges Anmelden aus.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Führen Sie im Abschnitt "Grundlegende SAML-Konfiguration " die Folgenden Schritte aus, wenn Sie über die Metadatendatei des Dienstanbieters aus SAP Cloud Identity Services verfügen:

    a) Wählen Sie " Metadatendatei hochladen" aus.

    b. Wählen Sie das Ordnerlogo aus, um die Metadatendatei auszuwählen, die Sie aus SAP heruntergeladen haben, und wählen Sie "Hochladen" aus.

    Screenshot der Auswahl der Metadatendatei

    Abschnitt c. Nach dem erfolgreichen Upload der Metadatendatei werden die Werte unter Bezeichner und Antwort-URL im Abschnitt „Grundlegende SAML-Konfiguration“ automatisch eingefügt.

    Screenshot mir URLs.

    Hinweis

    Wenn die Id- und Antwort-URL-Werte nicht automatisch ausgefüllt werden, füllen Sie die Werte entsprechend Ihrer Anforderung manuell aus.

  5. Wenn Sie weitere Konfigurationen vornehmen möchten, wählen Sie auf der Seite "Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Bearbeiten der SAML-Basiskonfiguration

    Geben Sie im Textfeld Anmelde-URL (Optional) Ihre spezifische Anmeldeanwendungs-URL ein.

    Hinweis

    Ersetzen Sie diesen Wert durch die tatsächliche Anmelde-URL. Weitere Informationen finden Sie im SAP Knowledge Base-Artikel 3128585. Wenden Sie sich an das SAP Cloud Identity Services Client-Supportteam , wenn Sie Fragen haben.

  6. Ihre SAP Cloud Identity Services-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

    Screenshot mit Attributen.

  7. Darüber hinaus wird von der SAP Cloud Identity Services-Anwendung erwartet, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen.

    Name Quellattribut
    Vorname Benutzer.vorname

  8. Wählen Sie auf der Seite Set up Single Sign-On with SAML im Abschnitt SAML Signing Certificate die Option Herunterladen aus, um das Metadata XML herunterzuladen, und speichern Sie es auf Ihrem Computer.

    Downloadlink für das Zertifikat

  9. Kopieren Sie im Abschnitt Einrichten von SAP Cloud Identity Services die entsprechenden URLs gemäß Ihren Anforderungen.

    Kopieren der Konfiguration-URLs

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens für SAP Cloud Identity Services

In diesem Abschnitt erstellen Sie einen Corporate Identity Provider in der Verwaltungskonsole SAP Cloud Identity Services. Weitere Informationen finden Sie unter Erstellen von Unternehmens-IDP in der Verwaltungskonsole.

  1. Melden Sie sich bei ihrer SAP Cloud Identity Services-Verwaltungskonsole an. Die URL weist das folgende Muster auf: https://<tenant-id>.accounts.ondemand.com/admin oder https://<tenant-id>.trial-accounts.ondemand.com/admin.

  2. Wählen Sie unter Identitätsanbieter die Kachel Unternehmensidentitätsanbieter aus.

  3. Wählen Sie +Erstellen aus, um einen Identitätsanbieter zu erstellen.

    Screenshot mit dem Identitätsanbieter.

  4. Führen Sie die folgenden Schritte im Dialogfeld Identitätsanbieter erstellen aus.

    Screenshot mit dem Dialogfeld „Identitätsanbieter erstellen“.

    a) Geben Sie unter Anzeigename einen gültigen Namen ein.

    b. Wählen Sie Microsoft ADFS/Entra ID (SAML 2.0) aus der Dropdownliste aus.

    Abschnitt c. Klicken Sie auf Erstellen.

  5. Wechseln Sie zu Vertrauen –> SAML 2.0-Konfiguration. Wählen Sie im Feld für die Metadatendatei " Durchsuchen" aus, um die Metadaten-XML-Datei hochzuladen, die Sie aus der Microsoft Entra SSO-Konfiguration heruntergeladen haben.

    Screenshot mit der Konfiguration des Identitätsanbieters.

  6. Wählen Sie Speichern aus.

  7. Führen Sie die folgenden Schritte nur aus, wenn Sie SSO für eine weitere SAP-Anwendung hinzufügen und aktivieren möchten. Wiederholen Sie die Schritte aus dem Abschnitt Hinzufügen von SAP Cloud Platform Identity Services aus dem Katalog.

  8. Wählen Sie auf der Entra-Seite auf der Anwendungsintegrationsseite für SAP Cloud Identity Services die Option Anmeldung über Link aus.

    Screenshot des Fensters „Anmeldung über Link konfigurieren“

  9. Speichern Sie die Konfiguration.

  10. Weitere Informationen finden Sie in der Dokumentation zu SAP Cloud Identity Services unter Integration in Microsoft Entra ID.

Hinweis

Die neue Anwendung nutzt die „Einmaliges Anmelden“-Konfiguration der vorherigen SAP-Anwendung. Achten Sie darauf, dass Sie in der SAP Cloud Identity Services-Verwaltungskonsole dieselben Unternehmensidentitätsanbieter verwenden.

Erstellen des SAP Cloud Identity Services-Testbenutzers

Sie müssen keinen Benutzer in SAP Cloud Identity Services erstellen. Benutzer im Microsoft Entra-Benutzerspeicher können die Funktionalität für einmaliges Anmelden (SSO) verwenden.

SAP Cloud Identity Services unterstützt die Identitätsverbundoption. Durch diese Option kann die Anwendung überprüfen, ob im Benutzerspeicher von SAP Cloud Identity Services Benutzer vorhanden sind, die vom Unternehmensidentitätsanbieter authentifiziert werden.

Die Option für Identitätsverbund ist standardmäßig deaktiviert. Ist „Identitätsverbund“ aktiviert, können auf die Anwendung nur Benutzer zugreifen, die in SAP Cloud Identity Services importiert wurden.

Weitere Informationen zum Aktivieren oder Deaktivieren des Identitätsverbunds in SAP Cloud Identity Services finden Sie in Configure Identity Federation with the User Store of SAP Cloud Identity Services (Konfigurieren des Identitätsverbunds mit dem Benutzerspeicher von SAP Cloud Identity Services) unter „Enable Identity Federation with SAP Cloud Identity Services“ (Aktivieren des Identitätsverbunds in SAP Cloud Identity Services).

Hinweis

Außerdem unterstützt SAP Cloud Identity Services automatische Benutzerbereitstellung. Weitere Informationen zum Konfigurieren der automatischen Benutzerbereitstellung finden Sie hier.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie Ihre Microsoft Entra Single Sign-On-Konfiguration mit folgenden Optionen, sp initiiert und IDP initiiert.

Wenn bei der Anmeldung bei SAP Cloud Identity Services Fehler auftreten, können Sie in der Verwaltungskonsole von SAP Cloud Identity Services die Problembehandlungsprotokolle nach dieser Korrelations-ID durchsuchen. Weitere Informationen finden Sie im SAP Knowledge Base-Artikel 2698571 und SAP Knowledge Base-Artikel 3201824.

SP-initiiert:

  • Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur SAP Cloud Identity Services-Anmelde-URL um, unter der Sie den Anmeldefluss initiieren können.

  • Wechseln Sie direkt zur Anmelde-URL von SAP Cloud Identity Services, und initiieren Sie den Anmeldeflow von dort aus.

IDP-initiiert:

  • Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch bei den SAP Cloud Identity Services angemeldet sein, für die Sie das SSO einrichten.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Wenn Sie die Kachel "SAP Cloud Identity Services" in den "Meine Apps" auswählen, werden Sie, wenn sie im SP-Modus konfiguriert sind, zur Anmeldeseite umgeleitet, um den Anmeldefluss zu initiieren, und wenn sie im IDP-Modus konfiguriert sind, sollten Sie automatisch bei den SAP Cloud Identity Services angemeldet sein, für die Sie das SSO einrichten. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Verwandte Inhalte

Um Benutzer von Microsoft Entra mit SAP Cloud Identity Services zu synchronisieren, aktivieren Sie die automatisierte Benutzerbereitstellung.

Nachdem Sie einmaliges Anmelden bei SAP Cloud Identity Services konfiguriert haben, können Sie auch SAP Cloud Identity Services so konfigurieren, dass alle SSO-Anforderungen an Microsoft Entra weitergeleitet werden. Wenn diese Option in SAP Cloud Identity Services aktiviert ist, leitet SAP Cloud Identity Services jedes Mal, wenn ein Benutzer versucht, auf eine Anwendung zuzugreifen, die mit SAP Cloud Identity Services verbunden ist, eine Authentifizierungsanforderung an Microsoft Entra weiter, auch wenn der Benutzer über eine aktive Sitzung in SAP Cloud Identity Services verfügt.

Sie können auch Sitzungssteuerungen erzwingen, die die Exfiltration und Infiltration von vertraulichen Daten Ihrer Organisation in Echtzeit verhindern. Sitzungssteuerungen basieren auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.

Sie können auch den Zugriff auf SAP BTP-Anwendungen verwalten, indem Sie Microsoft Entra ID Governance verwenden, um Gruppen aufzufüllen, die Rollen in der BTP-Rollensammlung zugeordnet sind. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf SAP BTP.

Lesen Sie den Leitfaden für Empfehlungen und bewährte Methoden, um das Setup zu operationalisieren.