Konfigurieren der SAP Business Technology Platform für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie die SAP Business Technology Platform mit Microsoft Entra ID integrieren. Die Integration von SAP Business Technology Platform und Microsoft Entra ID bietet folgende Möglichkeiten:

• Steuern Sie in Microsoft Entra ID, wer Zugriff auf SAP Business Technology Platform hat.
• Sie können Ihren Benutzern die automatische Anmeldung bei SAP Business Technology Platform mit ihren Microsoft Entra-Konten ermöglichen.
• Verwalten Sie Ihre Konten an einem zentralen Ort.
• Weisen Sie Benutzern in Microsoft Entra SAP Business Technology Platform-Rollen zu.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Ein SAP Business Technology Platform-Abonnement mit aktiviertem einmaligen Anmelden (Single Sign-On, SSO).

Von Bedeutung

Sie müssen eine eigene Anwendung bereitstellen oder eine Anwendung unter Ihrem SAP Business Technology Platform-Konto abonnieren, um das einmalige Anmelden zu testen. In diesem Artikel wird eine Anwendung im Konto bereitgestellt.

Szenariobeschreibung

In diesem Artikel konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

• SAP Business Technology Platform unterstützt das SP-initiierte einmalige Anmelden.

Hinzufügen von SAP Business Technology Platform aus dem Katalog

Zum Konfigurieren der Integration von SAP Business Technology Platform und Microsoft Entra ID müssen Sie SAP Business Technology Platform aus dem Katalog der Liste der verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Begriff SAP Business Technology Platform in das Suchfeld ein.
4. Wählen Sie im Ergebnisbereich SAP Business Technology Platform aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra für SAP Business Technology Platform

Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit SAP Business Technology Platform mithilfe eines Testbenutzers namens B. Simon. Damit das einmalige Anmelden funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in SAP Business Technology Platform eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit SAP Business Technology Platform die folgenden Schritte aus:

1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
   1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit Britta Simon zu testen.
   2. Weisen Sie den Microsoft Entra-Testbenutzer zu – damit Britta Simon microsoft Entra Single Sign-On verwenden kann.
2. Konfigurieren des einmaligen Anmeldens für SAP Business Technology Platform, um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren.
   1. Erstellen Sie einen TESTbenutzer der SAP Business Technology Platform – um ein Gegenstück von Britta Simon in der SAP Business Technology Platform zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Microsoft Entra SSO konfigurieren

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>SAP Business Technology Platform>Single Sign-On.

3. Auf der Seite Eine Single Sign-On-Methode auswählen wählen Sie SAML aus.

4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Geben Sie im Abschnitt Basic SAML Configuration die Werte für die folgenden Felder ein:

   a) Im Textfeld "Bezeichner" geben Sie den Typ Ihrer SAP Business Technology Platform an, indem Sie eine URL nach einem der folgenden Muster verwenden:

   Bezeichner
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. Geben Sie im Textfeld "Antwort-URL " eine URL mit einem der folgenden Muster ein:

   Antwort-URL
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   Abschnitt c. Geben Sie im Textfeld Anmelde-URL die URL ein, die von den Benutzern zur Anmeldung bei der SAP Business Technology Platform-Anwendung verwendet wird. Dies ist die kontospezifische URL einer geschützten Ressource in der SAP Business Technology Platform-Anwendung. Die URL basiert auf dem folgenden Muster: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Hinweis

   Dies ist die URL in Ihrer SAP Business Technology Platform-Anwendung, die eine Benutzerauthentifizierung erfordert.

   Anmelde-URL
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Hinweis

   Diese Werte sind nicht real. Aktualisieren Sie diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL. Die Anmelde-URL und den Bezeichner erhalten Sie vom Supportteam für den SAP Business Technology Platform-Client. Antwort-URL, die Sie aus dem Abschnitt "Vertrauensverwaltung" abrufen können, der weiter unten im Artikel erläutert wird.

6. Wählen Sie auf der Seite "Einzelne Sign-On mit SAML einrichten" im Abschnitt "SAML-Signaturzertifikat" die Option "Herunterladen" aus, um das Federation Metadata XML aus den angegebenen Optionen gemäß Ihren Anforderungen herunterzuladen und auf Ihrem Computer zu speichern.

   

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens für SAP Business Technology Platform

1. Melden Sie sich in einem anderen Webbrowserfenster unter https://account.<landscape host>.ondemand.com/cockpit (beispielsweise https://account.hanatrial.ondemand.com/cockpit) beim SAP Business Technology Platform-Cockpit an.

2. Wählen Sie die Registerkarte " Vertrauen" aus.

   

3. Führen Sie im Abschnitt für die Verwaltung der Vertrauensstellung unter Local Service Provider (Lokaler Dienstanbieter) die folgenden Schritte aus:

   

   a) Wählen Sie Bearbeiten aus.

   b. Wählen Sie als Konfigurationstyp die Option Benutzerdefiniert.

   Abschnitt c. Belassen Sie als Name des lokalen Dienstanbietersden Standardwert. Kopieren Sie diesen Wert, und fügen Sie ihn in der Microsoft Entra-Konfiguration für SAP Business Technology Plattform in das Feld Bezeichner ein.

   d. Um einen Signaturschlüssel und ein Signaturschlüsselpaar zu generieren, wählen Sie "Schlüsselpaar generieren" aus.

   e. Wählen Sie als Prinzipalweitergabe die Option Deaktiviert.

   f. Wählen Sie unter Zwangsauthentifizierung die Option Deaktiviert.

   g. Wählen Sie Speichern aus.

4. Führen Sie nach dem Speichern der Einstellungen für Local Service Provider (Lokaler Dienstanbieter) die folgenden Schritte aus, um die Antwort-URL zu erhalten:

   

   a) Laden Sie die METADATENdatei SAP Business Technology Platform herunter, indem Sie "Metadaten abrufen" auswählen.

   b. Öffnen Sie die heruntergeladene SAP Business Technology Platform-Metadatendatei (XML-Datei), und navigieren Sie zum ns3:AssertionConsumerService-Tag.

   Abschnitt c. Kopieren Sie den Wert des Location-Attributs, und fügen Sie ihn in der Microsoft Entra-Konfiguration für SAP Business Technology Plattform in das Textfeld Antwort-URL ein.

5. Wählen Sie die Registerkarte "Vertrauenswürdiger Identitätsanbieter " und dann " Vertrauenswürdigen Identitätsanbieter hinzufügen" aus.

   

   Hinweis

   Um die Liste der vertrauenswürdigen Identitätsanbieter verwalten zu können, müssen Sie den Konfigurationstyp „Benutzerdefinierte“ im Abschnitt „Lokale Dienstanbieter“ ausgewählt haben. Beim Standard-Konfigurationstyp haben Sie ein nicht-bearbeitbares und implizites Vertrauen gegenüber dem SAP ID-Dienst. Bei der Option „Keine“ haben Sie keine Vertrauenseinstellungen.

6. Wählen Sie die Registerkarte " Allgemein " und dann " Durchsuchen" aus, um die heruntergeladene Metadatendatei hochzuladen.

   

   Hinweis

   Nach dem Hochladen der Metadatendatei werden die Werte für URL für einmaliges Anmelden, URL für einmaliges Abmelden und Signaturzertifikat automatisch ausgefüllt.

7. Die Attribute-Registerkarte auswählen.

8. Führen Sie auf der Registerkarte Attribute die folgenden Schritte aus:

   

   a) Wählen Sie Assertion-Based "Attribut hinzufügen" aus, und fügen Sie dann die folgenden assertionsbasierten Attribute hinzu:

   Assertion-Attribut	Prinzipal-Attribut
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	Vorname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	Nachname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	E-Mail

   Hinweis

   Die Konfiguration der Attribute hängt davon ab, wie die Anwendung(en) für SPC entwickelt wurden – also welche Attribute sie in der SAML-Antwort erwarten und unter welchem Namen (Prinzipal-Attribut) sie auf dieses Attribut im Code zugreifen.

   b. Das Standard-Attribut im Screenshot dient nur der Veranschaulichung. Es ist nicht erforderlich, das Szenario funktionsfähig zu machen.

   Abschnitt c. Die Namen und Werte für das im Screenshot gezeigte Prinzipal Attribut ist abhängig davon, wie die Anwendung entwickelt wird. Es ist möglich, dass Ihre Anwendung unterschiedliche Zuordnungen erfordert.

Assertion-Gruppen

Als optionalen Schritt können Sie Assertion-Gruppen für Ihren Microsoft Entra-Identitätsanbieter konfigurieren.

Mithilfe von Gruppen für SAP Business Technology Platform können Sie einzelne oder mehrere Benutzer dynamisch einzelnen oder mehreren Rollen in Ihren SAP Business Technology Platform-Anwendungen zuweisen – definiert durch Werte von Attributen in der SAML 2.0-Assertion.

Beispiel: Wenn die Assertion das Attribut „contract=temporary“ enthält, kann es sein, dass Sie alle betroffenen Benutzer der Gruppe „TEMPORÄR“ hinzufügen möchten. Die Gruppe „TEMPORÄR“ enthält u. U. Rollen aus mindestens einer Anwendung, die unter Ihrem SAP Business Technology Platform-Konto bereitgestellt wurde.

Verwenden Sie assertionsbasierte Gruppen, wenn Sie Anwendungsrollen in Ihrem SAP Business Technology Platform-Konto gleichzeitig viele Benutzer zuweisen möchten. Wenn Sie nur einen einzelnen oder wenige Benutzer bestimmten Rollen zuweisen möchten, empfiehlt es sich, diese direkt im SAP Business Technology Platform-Cockpit auf der Registerkarte Autorisierungen zuzuweisen.

Erstellen eines SAP Business Technology Platform-Testbenutzers

Damit sich Microsoft Entra-Benutzer bei SAP Business Technology Platform anmelden können, müssen Sie ihnen in SAP Business Technology Platform Rollen zuweisen.

Führen Sie die folgenden Schritte aus, um einem Benutzer eine Rolle zuzuweisen:

1. Melden Sie sich in Ihrem SAP Business Technology Platform-Cockpit an.

2. Führen Sie Folgendes aus:

   

   a) Wählen Sie "Autorisierung" aus.

   b. Wählen Sie die Registerkarte Benutzer aus.

   Abschnitt c. Geben Sie im Textfeld Benutzer die E-Mail-Adresse des Benutzers ein.

   d. Wählen Sie "Zuweisen" aus, um dem Benutzer eine Rolle zuzuweisen.

   e. Wählen Sie Speichern aus.

Testen von SSO

In diesem Abschnitt testen Sie Ihre Microsoft Entra Single Sign-On-Konfiguration mit den folgenden Optionen.

• Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur ANMELDE-URL der SAP Business Technology Platform um, unter der Sie den Anmeldefluss initiieren können.

• Rufen Sie direkt die Anmelde-URL von SAP Business Technology Platform auf, und initiieren Sie dort den Anmeldeflow.

• Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die Kachel "SAP Business Technology Platform" in den "Meine Apps" auswählen, sollten Sie automatisch bei der SAP Business Technology Platform angemeldet sein, für die Sie das SSO einrichten. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Erstellen von Gruppen für Anwendungsrollen der SAP Business Technology Platform und Zuweisen von Gruppen zur Rollensammlung "Business Technology Platform"

Sie können Microsoft Entra-Sicherheitsgruppen erstellen und diese Gruppen-IDs den Anwendungsrollen zuordnen. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf SAP BTP.

Verwandte Inhalte

• Nach dem Konfigurieren von SAP Business Technology Platform können Sie die Sitzungssteuerung erzwingen, die Echtzeitschutz vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten bietet. Die Sitzungssteuerung geht über den Conditional Access hinaus. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.