Authentifizierung für die SAP-Beschaffungslösungen konfigurieren

Der SAP-ERP-Konnektor ist so konzipiert, dass mehrere Benutzer gleichzeitig auf eine Anwendung zugreifen und diese verwenden können. Daher werden die Verbindungen nicht gemeinsam genutzt. Die Benutzeranmeldeinformationen werden in der Verbindung bereitgestellt, während andere für die Verbindung mit dem SAP-System erforderliche Details (z. B. Serverdetails und Sicherheitskonfiguration) als Teil der Aktion bereitgestellt werden.

Die Aktivierung des einmaligen Anmeldens (Single Sign-On, SSO) erleichtert die Aktualisierung von Daten aus SAP unter Einhaltung der in SAP konfigurierten Berechtigungen auf Benutzerebene. Es gibt mehrere Möglichkeiten, SSO für eine optimierte Identitäts- und Zugriffsverwaltung einzurichten.

Der SAP-ERP-Konnektor unterstützt die folgenden Authentifizierungstypen:

Authentication type	Verbindungsherstellung von Benutzern	Konfigurationsschritte
SAP-Authentifizierung	Verwenden Sie den SAP-Benutzernamen und das Kennwort für den Zugriff auf den SAP-Server.	4. Schritt
Windows-Authentifizierung	Verwenden Sie den Windows-Benutzernamen und das Kennwort für den Zugriff auf den SAP-Server.	Schritte 1, 2, 3, 4
Microsoft Entra ID-Authentifizierung	Verwenden Sie die Microsoft Entra ID, um auf den SAP-Server zuzugreifen.	Schritte 1, 2, 3, 4

Anmerkung

Für die Einrichtung von SSO in Microsoft Entra ID und SAP sind bestimmte Administratorrechte erforderlich. Stellen Sie sicher, dass Sie für jedes System die erforderlichen Administratorrechte erhalten, bevor Sie SSO einrichten.

Weitere Informationen:

• Microsoft Entra-Dokumentation
• SAP Identity and Access Management-(IAM-)Hilfeportal

Schritt 1: Konfigurieren der eingeschränkten Kerberos-Delegierung

Die eingeschränkte Kerberos-Delegierung (KCD) bietet sicheren Benutzer- oder Dienstzugriff auf Ressourcen, die von Administrierenden zugelassen werden, ohne mehrfache Anforderung von Anmeldeinformationen. Konfigurieren Sie die eingeschränkte Kerberos-Delegierung für die Windows- und Microsoft Entra ID-Authentifizierung.

Führen Sie den Gateway-Windows-Dienst als Domänenkonto mit Dienstprinzipalnamen (SPNs) (SetSPN) aus.

Konfigurationsaufgaben:

1. Konfigurieren eines SPN für das Gatewaydienstkonto. Verwenden Sie als Domänenadministrierender das Setspn-Tool, das mit Windows geliefert wird, um die Delegierung zu aktivieren.

2. Anpassen der Kommunikationseinstellungen für das lokale Datengateway. Aktivieren Sie ausgehende Microsoft Entra ID-Verbindungen und überprüfen Sie Ihre Firewall- und Port-Setups, um die Kommunikation sicherzustellen.

3. Konfigurieren der standardmäßigen eingeschränkten Kerberos-Delegierung. Konfigurieren Sie als Domänenadministrierender ein Domänenkonto für einen Dienst, sodass das Konto auf die Ausführung auf einer einzelnen Domäne beschränkt ist.

4. Erteilen der lokalen Richtlinienrechte auf dem Gatewaycomputer für das Gatewaydienstkonto.

5. Hinzufügen eines Gatewaydienstkontos zur Windows-Autorisierungs- und -Zugriffsgruppe bei Bedarf.

6. Festlegen von Konfigurationsparametern je nach Bedarf für die Benutzerzuordnung auf dem Gatewaycomputer.

7. Ändern des Gatewaydienstkontos in ein Domänenkonto. In einer Standardinstallation wird das Gateway standardmäßig als Dienstkonto des lokalen Computers, NT Service\PBIEgwService, ausgeführt. Es muss als Domänenkonto ausgeführt werden, um Kerberos-Tickets für SSO zu ermöglichen.

Weitere Informationen:

• Übersicht über die eingeschränkte Kerberos-Delegierung
• Kerberos-basiertes SSO für lokale Datenquellen konfigurieren

Schritt 2: Konfigurieren von SAP ERP, um die Verwendung von CommonCryptoLib (sapcrypto.dll) zu aktivieren

Um SSO für den Zugriff auf Ihren SAP-Server zu verwenden, stellen Sie Folgendes sicher:

• Sie konfigurieren Ihren SAP-Server für Kerberos SSO mit CommonCryptoLib als Secure Network Communication(SNC)-Bibliothek.
• Ihr SNC-Name beginnt mit CN.

Wichtig

Stellen Sie sicher, dass der SAP Secure Login Client (SLC) auf dem Computer, auf dem das Gateway installiert ist, nicht ausgeführt wird. SLC speichert Kerberos-Tickets auf eine Weise zwischen, die die Fähigkeit des Gateways, Kerberos für SSO zu verwenden, beeinträchtigen kann. Weitere Informationen finden Sie im SAP-Hinweis 2780475 (S-User erforderlich).

1. Laden Sie 64-Bit-CommonCryptoLib (sapcrypto.dll), Version 8.5.25 oder später, aus dem SAP Launchpad herunter, und kopieren Sie es in einen Ordner auf Ihrem Gatewaycomputer.

2. Erstellen Sie in demselben Verzeichnis, in das Sie sapcrypto.dll kopiert haben, eine Datei mit dem Namen sapcrypto.ini und dem folgenden Inhalt:

   ccl/snc/enable_kerberos_in_client_role = 1

   Die .ini-Datei enthält Konfigurationsinformationen, die von CommonCryptoLib zum Aktivieren von SSO im Gatewayszenario benötigt werden. Stellen Sie sicher, dass der Pfad (wie c:\sapcryptolib\) sowohl sapcrypto.ini als auch sapcrypto.dll enthält. Die Dateien .dll und .ini müssen am selben Speicherort vorhanden sein.

3. Erteilen Sie der Gruppe Authentifizierte Benutzer Berechtigungen für .ini und .dll-Dateien. Sowohl der Gatewaydienstbenutzer als auch der Active Directory-Benutzende, zu dessen Identität der Dienstbenutzer wechselt, benötigen für beide Dateien Lese- und Ausführungsberechtigungen.

4. Erstellen Sie eine CCL_PROFILE-Systemumgebungsvariable und legen Sie ihren Wert auf den Pfad sapcrypto.ini fest.

5. Starten Sie den Gatewaydienst neu.

Mehr Informationen: Verwenden von Kerberos-Single Sign-On für einmaliges Anmelden (SSO) bei SAP BW mithilfe von CommonCryptoLib

Schritt 3: Aktivieren von SAP SNC für die Azure AD- und Windows-Authentifizierung

Der SAP ERP-Konnektor unterstützte früher Microsoft Entra ID und Windows Server AD-Authentifizierung durch die Aktivierung der sicheren Netzwerkkommunikation (SNC) von SAP. SNC ist eine Softwareschicht in der SAP-Systemarchitektur, die eine Schnittstelle zu externen Sicherheitsprodukten bereitstellt, sodass ein sicheres einmaliges Anmelden für SAP-Umgebungen eingerichtet werden kann. Die folgende Eigenschaftsanleitung hilft bei der Einrichtung.

Eigenschaften	Beschreibung
SNC verwenden	Wenn Sie SNC aktivieren möchten, stellen Sie Ja ein.
SNC-Bibliothek	Der SNC-Bibliotheksname oder -pfad relativ zum NCo-Installationsspeicherort oder zum absoluten Pfad. Beispiele hierfür sind sapcrypto.dll oder c:\sapcryptolib\sapcryptolib.dll.
SNC-SSO	Gibt an, ob der Connector die Identität des Dienstes oder die Anmeldeinformationen des Endbenutzers verwendet. Legen Sie An fest, um die Identität des Endbenutzers zu verwenden.
SNC-Partnername	Geben Sie den Namen des Back-End-SNC-Servers ein. Beispiel: p:CN=SAPserver.
Quality of Protection für SNC	Die Qualität des Dienstes, der für die SNC-Kommunikation dieses bestimmten Ziels oder Servers verwendet werden soll. Der Standardwert wird vom Back-End-System definiert. Der Maximalwert wird durch das für SNC verwendete Sicherheitsprodukt definiert.

Der SAP-SNC-Name für den Benutzer muss mit dem vollqualifizierten Active Directory-Domänennamen des Benutzers übereinstimmen. Zum Beispiel ist p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM gleich JANEDOE@REDMOND.CORP.CONTOSO.COM.

Anmerkung

Nur die Microsoft Entra ID-Authentifizierung – das Konto Active DirectorySAP-Dienstprinzipal muss in dem msDS-SupportedEncryptionType-Attribut für AES 128 oder AES 256 definiert sein.

Schritt 4: Einrichten des SAP-Servers und von Benutzerkonten, um Aktionen zuzulassen

Bewerten Sie SAP-Hinweis 460089 – Mindestautorisierungsprofile für externe RFC-Programme, um mehr über die unterstützten Benutzerkontotypen und die mindestens erforderliche Autorisierung für jeden Aktionstyp zu erfahren, z. B. Remote Function Call (RFC), Business Application Programming Interface (BAPI) und Intermediate Document (IDOC),

SAP-Benutzerkonten müssen auf die RFC_Metadata-Funktionsgruppe und die entsprechenden Funktionsmodule für die folgenden Operationen zugreifen:

Vorgänge	Zugriff auf Funktionsmodule
RFC-Aktionen	RFC_GROUP_SEARCH und DD_LANGU_TO_ISOLA
Tabellenaktion lesen	Entweder RFC BBP_RFC_READ_TABLE oder RFC_READ_TABLE
Gewähren Sie Ihrer SAP-Verbindung strikten Mindestzugriff auf den SAP-Server	RFC_METADATA_GET und RFC_METADATA_GET_TIMESTAMP

Nächster Schritt

SAP-Beschaffungsvorlagen installieren

Zugehöriger Inhalt

• Einmaliges Anmelden bei SAP
• Sicheres Anmelden zum einmaligen Anmelden bei SAP – Implementierungsleitfaden
• SAP Identity and Access Management-(IAM-)Hilfeportal

Siehe auch

• Erste Schritte mit der SAP-Beschaffungsvorlage
• SAP ERP-Konnektor
• SAP-Connector für Azure Logic Apps
• Richtlinien zur Verhinderung von Datenverlust (DLP)
• Hybrides Architekturdesign