Integrieren von Microsoft Entra ID in SAP Fiori

Abgeschlossen

Die Integration von SAP Fiori in Microsoft Entra ID bietet die folgenden Vorteile:

• Sie können in Microsoft Entra ID steuern, wer Zugriff auf SAP Fiori hat.
• Benutzer können mit ihren Microsoft Entra-Konten automatisch bei SAP Fiori angemeldet werden (einmaliges Anmelden; Single Sign-On, SSO).
• Sie können Ihre Konten an einem zentralen Ort, im Azure-Portal, verwalten.

Zur Konfiguration der Microsoft Entra-Integration in SAP Fiori benötigen Sie Folgendes:

• Ein Microsoft Entra-Abonnement.
• Ein SAP Fiori-Abonnement, für das einmaliges Anmelden aktiviert ist.
• Dafür ist mindestens SAP Fiori 7.20 erforderlich.

Hinzufügen von SAP Fiori aus dem Katalog

Zur Integration von SAP Fiori in Microsoft Entra ID müssen Sie zunächst SAP Fiori aus dem SaaS-Anwendungskatalog der Liste mit den verwalteten SaaS-Apps hinzufügen.

Konfigurieren von Microsoft Entra-SSO mit SAP Fiori

Damit das einmalige Anmelden funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in SAP Fiori eingerichtet werden. Führen Sie die folgenden Aufgaben durch:

1. Konfigurieren Sie Microsoft Entra-SSO, um Ihren Benutzern die Verwendung dieser Funktion zu ermöglichen.
2. Konfigurieren Sie das einmalige Anmelden von SAP Fiori.
3. Weisen Sie der SAP Fiori-Anwendung Microsoft Entra-Benutzer zu.
4. Erstellen Sie SAP Fiori-Benutzer, die mit den entsprechenden Microsoft Entra-Benutzerkonten verknüpft sind.

Konfigurieren des einmaligen Anmeldens von Microsoft Entra

1. Melden Sie sich in einem neuen Webbrowserfenster bei der SAP Fiori-Unternehmenswebsite als Administrator an. Stellen Sie sicher, dass http- und https-Dienste aktiv sind und dass die entsprechenden Ports der Transaktionscode-SMICM zugewiesen wurden.

2. Melden Sie sich beim SAP Business Client für SAP-System T01 an, auf dem einmaliges Anmelden erforderlich ist. Aktivieren Sie dann HTTP Security Session Management. Wechseln Sie zum Transaktionscode SICF_SESSIONS, und überprüfen Sie die Profilparameter. Passen Sie die Parameter basierend auf den Anforderungen Ihrer Organisation an, und starten Sie das SAP-System neu.

3. Aktivieren Sie die folgenden SICF-Dienste:

   • /sap/public/bc/sec/saml2
   • /sap/public/bc/sec/cdc_ext_service
   • /sap/bc/webdynpro/sap/saml2
   • /sap/bc/webdynpro/sap/sec_diag_tool (dient lediglich zum Aktivieren/Deaktivieren der Ablaufverfolgung)

4. Wechseln Sie im Business Client for SAP-System [T01/122] zum Transaktionscode SAML2. Die Benutzeroberfläche für die Konfiguration wird in einem neuen Browserfenster geöffnet. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein, und wählen Sie dann Log on (Anmelden) aus.

5. Ersetzen Sie im Feld Provider Name (Anbietername) den Wert T01122 durch <http://T01122>, und klicken Sie dann auf Save (Speichern).

   Hinweis

   Standardmäßig weist der Anbietername das Format _sid-client_ auf. Microsoft Entra ID erwartet den Namen im Format protocol://name. Es wird empfohlen, den Anbieternamen als https:// _sid-client_ beizubehalten, damit Sie mehrere SAP Fiori ABAP-Engines in Microsoft Entra ID konfigurieren können.

6. Wählen Sie die Registerkarte Local Provider/Metadata (Lokaler Anbieter/Metadaten) aus. Laden Sie im Dialogfeld SAML 2.0 Metadata (SAML 2.0-Metadaten) die generierte XML-Metadatendatei herunter, und speichern Sie diese auf dem Computer.

7. Wählen Sie im Azure-Portal auf der Seite SAP Fiori-Anwendungsintegration die Option Einmaliges Anmelden aus.

8. Wählen Sie im Bereich SSO-Methode auswählen den Modus SAML oder SAML/WS-Fed aus, um einmaliges Anmelden zu aktivieren.

9. Wählen Sie im Bereich Einmaliges Anmelden (SSO) mit SAML einrichten die Option Bearbeiten (Stiftsymbol) aus, um den Bereich Grundlegende SAML-Konfiguration zu öffnen.

10. Wählen Sie im Abschnitt Grundlegende SAML-Basiskonfiguration die Option Metadatendatei hochladen aus, und verwenden Sie die Option Metadatendatei hochladen, um die zuvor heruntergeladene Metadatendatei hochzuladen.

11. Nach dem erfolgreichen Upload der Metadatendatei werden die Werte unter Bezeichner und Antwort-URL im Bereich Grundlegende SAML-Konfiguration automatisch eingefügt. Geben Sie in das Feld Anmelde-URL eine URL ein, die dem folgenden Muster entspricht: https://[Ihre Firmeninstanz von SAP Fiori].

12. Die SAP Fiori-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Zu den Ansprüchen gehören givenname (Vorname), surname (Nachname), emailaddress (E-Mail-Adresse), name (Name) und Unique User Identifier (Eindeutige Benutzer-ID). Um ihre Werte zu verwalten, klicken Sie im Bereich Einmaliges Anmelden (SSO) mit SAML einrichten auf Bearbeiten.

13. Konfigurieren Sie im Bereich Benutzerattribute und Ansprüche die SAML-Tokenattribute. Führen Sie anschließend die folgenden Schritte aus:

    • Wählen Sie Bearbeiten aus, um den Bereich Benutzeransprüche verwalten zu öffnen.
    • Wählen Sie in der Liste Transformation den Eintrag ExtractMailPrefix() aus.
    • Wählen Sie in der Liste Parameter 1 den Eintrag user.userprinicipalname aus.

14. Wählen Sie im Bereich Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat die Option Herunterladen neben Verbundmetadaten-XML aus.

15. Wählen Sie eine Option zum Herunterladen entsprechend Ihren Anforderungen aus. Speichern Sie das Zertifikat auf Ihrem Computer.

16. Kopieren Sie im Abschnitt SAP Fiori einrichten die folgenden URLs entsprechend Ihren Anforderungen:

    • Anmelde-URL
    • Microsoft Entra-Bezeichner
    • Abmelde-URL

Konfigurieren des einmaligen Anmeldens für SAP Fiori

1. Melden Sie sich beim SAP-System an, und wechseln Sie zum Transaktionscode SAML2. Ein neues Browserfenster mit der SAML-Konfigurationsseite wird geöffnet.

2. Wählen Sie die Registerkarte Vertrauenswürdige Anbieter aus, um Endpunkte für einen vertrauenswürdigen Identitätsanbieter (Microsoft Entra ID) zu konfigurieren.

3. Wählen Sie Add (Hinzufügen) und dann im Kontextmenü Upload Metadata File (Metadatendatei hochladen) aus.

4. Laden Sie die Metadatendatei hoch, die Sie im Azure-Portal heruntergeladen haben.

5. Geben Sie auf der nächsten Seite im Feld Alias einen beliebigen Aliasnamen ein.

6. Stellen Sie sicher, dass der Wert im Feld Digest Algorithm (Digestalgorithmus) SHA-256 lautet.

7. Wählen Sie unter Single Sign-On Endpoints (Endpunkte für einmaliges Anmelden) die Option HTTP POST aus.

8. Wählen Sie unter Single Logout Endpoints (Endpunkte für einmaliges Abmelden) die Option HTTP Redirect (HTTP-Umleitung) aus.

9. Übernehmen Sie die Standardeinstellungen für Artifact Endpoints (Artefaktendpunkte) und Authentication Requirements (Authentifizierungsanforderungen).

10. Wählen Sie Trusted Provider / Identity Federation and Unspecified Supported NameID Formats (Vertrauenswürdige Anbieter > Identitätsverbund und nicht spezifizierte unterstützte NameID-Formate) aus.

11. Die Werte für Quelle der Benutzer-ID und Zuordnungsmodus für Benutzer-ID bestimmen die Verknüpfung zwischen dem SAP-Benutzer und dem Microsoft Entra-Anspruch. Es werden zwei Szenarios unterstützt:

    • Szenario 1: Zuordnung zwischen SAP-Benutzer und Microsoft Entra-Benutzer
    • Szenario 2: Auswählen der SAP-Benutzer-ID basierend auf der konfigurierten E-Mail-Adresse in SU01 In diesem Fall sollte die E-Mail-ID in SU01 für jeden Benutzer konfiguriert werden, der SSO benötigt.

Zuweisen von Microsoft Entra-Benutzern

1. Wählen Sie im Azure-Portal Unternehmensanwendungen > Alle Anwendungen > SAP Fiori aus.

2. Wählen Sie in der Anwendungsliste den Eintrag SAP Fiori aus.

3. Zum Überprüfen des Ergebnisses aktivieren Sie den Identitätsanbieter Microsoft Entra ID in SAP Fiori, und versuchen Sie dann, auf eine der folgenden URLs zuzugreifen, um das einmalige Anmelden als zugewiesener Benutzer zu testen (Sie sollten nicht zur Eingabe eines Benutzernamens und Kennworts aufgefordert werden):

   • https://help.sap.com/doc/saphelp_nw73ehp1/7.31.19/en-US/49/4594d63a293b5be10000000a42189b/content.htm
   • https://help.sap.com/doc/saphelp_nw73ehp1/7.31.19/en-US/49/4594d63a293b5be10000000a42189b/content.htm