Integrieren Sie Microsoft Entra ID in SAP Cloud Platform Identity Authentication
Die Integration von SAP Cloud Platform Identity Authentication in Microsoft Entra ID bietet Ihnen die folgenden Vorteile:
- Sie können in Microsoft Entra ID steuern, wer Zugriff auf SAP Cloud Platform Identity Authentication haben soll.
- Ihre Benutzer*innen können automatisch mit ihren Microsoft Entra-Konten bei SAP Cloud Platform Identity Authentication angemeldet werden.
- Sie können Ihre Konten über das Azure-Portal an einem zentralen Ort verwalten.
Hinzufügen von SAP Cloud Platform Identity Authentication aus dem Katalog
Um die Integration von SAP Cloud Platform Identity Authentication in Microsoft Entra ID zu konfigurieren, fügen Sie zuerst SAP Cloud Platform Identity Authentication aus dem Microsoft Entra-Anwendungskatalog zu Ihrer Liste der verwalteten SaaS-Apps hinzu.
Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra ID
Als Nächstes müssen Sie Microsoft Entra-basiertes einmaliges Anmelden (SSO) konfigurieren und testen, indem Sie die folgenden Schritte durchführen:
- Konfigurieren Sie Microsoft Entra-SSO, um Ihren Benutzer*innen die Verwendung dieser Funktion zu ermöglichen.
- Konfigurieren Sie das einmalige Anmelden von SAP Cloud Platform Identity Authentication, um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren.
- Weisen Sie Microsoft Entra-Benutzer*innen der SAP Cloud Platform Identity Authentication zu.
Konfigurieren des einmaligen Anmeldens von Microsoft Entra
Wählen Sie im Azure-Portal auf der Seite SAP Cloud Platform Identity Authentication-Anwendungsintegration die Option Einmaliges Anmelden aus.
Wählen Sie auf der Seite SSO-Methode auswählen den Modus SAML/WS-Fed aus, um einmaliges Anmelden zu aktivieren.
Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf Bearbeiten, um das Dialogfeld Grundlegende SAML-Konfiguration zu öffnen.
Im Abschnitt Grundlegende SAML-Konfiguration:
- Geben Sie zur Konfiguration des IDP-initiierten Modus den SAP Cloud Platform IAS-Mandantenbezeichner (Entitäts-ID) und die entsprechende Antwort-URL (Assertionsverbraucherdienst-URL) an.
- Um die Anwendung im SP-initiierten Modus zu konfigurieren, klicken Sie auf Zusätzliche URLs festlegen, und geben Sie die Anmelde-URL an.
Um diese Werte zu erhalten, können Sie sich an das SAP Cloud Platform Identity Authentication Client-Supportteam wenden.
Die SAP Cloud Platform Identity Authentication-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Konfigurieren Sie die relevanten Ansprüche für diese Anwendung, einschließlich Vorname, Nachname, E-Mail-Adresse, Name und eindeutige Benutzer-ID („givenname, surname, emailaddress, name, Unique User Identifier“). Sie können die Werte dieser Attribute über den Abschnitt Benutzerattribute auf der Anwendungsintegrationsseite verwalten.
Konfigurieren von SAP Cloud Platform Identity Authentication-SSO
Wechseln Sie zum Konfigurieren von SSO für Ihre Anwendung zur SAP Cloud Platform Identity Authentication-Verwaltungskonsole. Wählen Sie unter „Identitätsanbieter“ die Kachel „Corporate Identity Providers“ (Unternehmensidentitätsanbieter) aus. Wählen Sie die Schaltfläche „Hinzufügen“ aus, um einen Microsoft Entra Corporate Identity Provider zu erstellen. Wählen Sie unter „SAML 2.0“ die Option „SAML 2.0-Konfiguration“ aus.
Laden Sie die Microsoft Entra Metadaten-XML-Datei hoch oder konfigurieren Sie die folgenden Felder manuell:
- Name: Die Entitäts-ID des Unternehmensidentitätsanbieters.
- Single Sign-On Endpoint URL (URL des Endpunkts für einmaliges Anmelden): Die URL des SSO-Endpunkts des Identitätsanbieters, der Authentifizierungsanforderungen empfängt. Wählen Sie für „Bindung“ die Einstellung aus, die dem jeweiligen SSO-Endpunkt entspricht.
- Single Logout Endpoint URL(URL des Endpunkts für einmaliges Abmelden): Die URL des Endpunkts für einmaliges Abmelden (Single Log Out, SLO) des Identitätsanbieters, der Abmeldungsmeldungen empfängt. Wählen Sie für „Bindung“ diejenige, die dem jeweiligen SLO-Endpunkt entspricht.
- Signing Certificate (Signaturzertifikat): Das Base64-codierte Zertifikat, das vom Identitätsanbieter verwendet wird, um an Identity Authentication gesendete SAML-Protokollnachrichten digital zu signieren.
Zuweisen von Microsoft Entra-Benutzern
Klicken Sie im Azure-Portal auf Unternehmensanwendungen, wählen Sie Alle Anwendungen und anschließend SAP Cloud Platform Identity Authentication aus.
Wählen Sie in der Anwendungsliste SAP Cloud Platform Identity Authentication aus.
Wählen Sie im Azure-Portal Benutzer und Gruppen aus.
Klicken Sie auf die Schaltfläche Benutzer hinzufügen, und wählen Sie dann im Dialogfeld Zuweisung hinzufügen Benutzer und Gruppen aus, die Sie der Anwendung zuweisen möchten.
Wenn Sie einen beliebigen Rollenwert in der SAML-Assertion erwarten, wählen Sie im Dialogfeld Rolle auswählen die entsprechende Rolle für den Benutzer oder die Benutzerin aus der Liste aus und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen. Wählen Sie im Dialogfeld Zuweisung hinzufügen die Schaltfläche Zuweisen aus.
Hinweis
Sie müssen keinen Benutzer in SAP Cloud Platform Identity Authentication erstellen. Benutzer*innen im Microsoft Entra-Benutzerspeicher können die Funktionalität für einmaliges Anmelden (SSO) verwenden. SAP Cloud Platform Identity Authentication unterstützt die Identitätsverbundoption. Durch diese Option kann die Anwendung überprüfen, ob im Benutzerspeicher von SAP Cloud Platform Identity Authentication Benutzer vorhanden sind, die vom Unternehmensidentitätsanbieter authentifiziert werden. Die Option für Identitätsverbund ist standardmäßig deaktiviert. Ist Identitätsverbund aktiviert, können auf die Anwendung nur Benutzer zugreifen, die in SAP Cloud Platform Identity Authentication importiert wurden.
Um das Ergebnis zu überprüfen, klicken Sie im Zugriffsbereich auf die Kachel „SAP Cloud Platform Identity Authentication“. Sie sollten automatisch bei der SAP Cloud Platform Identity Authentication-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben.