Integrieren von Microsoft Entra ID mit SAP NetWeaver

  • 13 Minuten

Die Integration von SAP NetWeaver mit Microsoft Entra ID bietet die folgenden Vorteile:

  • Sie können in Microsoft Entra ID steuern, wer Zugriff auf SAP NetWeaver hat.
  • Ihre Benutzer*innen können automatisch mit ihren Microsoft Entra-Konten bei SAP NetWeaver angemeldet werden (SSO).
  • Sie können Ihre Konten über das Azure-Portal an einem zentralen Ort verwalten.

Zur Konfiguration der Microsoft Entra-Integration in SAP NetWeaver benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement
  • Ein SAP NetWeaver-Abonnement, für das einmaliges Anmelden aktiviert ist
  • Mindestens SAP NetWeaver V7.20

SAP NetWeaver unterstützt SP-initiiertes SSO

Um die Integration von SAP NetWeaver in Microsoft Entra ID zu konfigurieren, fügen Sie zunächst SAP NetWeaver aus dem Katalog der Liste mit den verwalteten SaaS-Apps hinzu.

Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra

Führen Sie die folgenden Schritte aus, um Microsoft Entra-SSO mit SAP NetWeaver zu konfigurieren:

  1. Konfigurieren Sie Microsoft Entra-SSO, um Ihren Benutzer*innen die Verwendung dieser Funktion zu ermöglichen.
  2. Konfigurieren des einmaligen Anmeldens für SAP NetWeaver, um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren.
  3. Weisen Sie der Microsoft Entra-Anwendung den/die Microsoft Entra-ID-Testbenutzer*in zu.
  4. Erstellen Sie SAP NetWeaver-Benutzer*innen, die mit ihren entsprechenden Microsoft Entra-Benutzerkonten verknüpft sind.

Konfigurieren des einmaligen Anmeldens von Microsoft Entra

Führen Sie zum Konfigurieren des einmaligen Anmeldens von Microsoft Entra mit SAP NetWeaver die folgenden Schritte aus:

  1. Öffnen Sie ein neues Webbrowserfenster, und melden Sie sich bei der SAP NetWeaver-Unternehmenswebsite als Administrator an.

  2. Stellen Sie sicher, dass die HTTP- und HTTPS-Dienste aktiv sind und dass im SMICM-T-Code geeignete Ports zugewiesen sind.

  3. Melden Sie sich beim Business Client des SAP-Systems (T01) an, in dem SSO erforderlich ist, und aktivieren Sie das HTTP-Sicherheits-Session-Management.

  4. Wechseln Sie zum Transaktionscode SICF_SESSIONS. Überprüfen Sie alle Profilparameter. Passen Sie die Parameter basierend auf den Anforderungen Ihrer Organisation an, und starten Sie dann das SAP-System neu.

  5. Doppelklicken Sie auf den relevanten Client, um eine HTTP-Sicherheitssitzung zu aktivieren.

  6. Aktivieren Sie die folgenden SICF-Dienste:

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (dient lediglich zum Aktivieren/Deaktivieren der Ablaufverfolgung)

  7. Wechseln Sie im Business Client für das SAP-System [T01/122] zum Transaktionscode SAML2. Es wird eine Benutzeroberfläche in einem Browser geöffnet.

  8. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein, um zur Benutzeroberfläche zu wechseln, und klicken Sie auf Edit.

  9. Ändern Sie im Feld Provider Name (Anbietername) den Wert T01122 in <http://T01122>, und klicken Sie dann auf Save (Speichern).

  10. Standardmäßig weist der Anbietername das Format [sid][client] auf, aber Microsoft Entra ID erwartet den Namen im Format protocol://[sid][client]. Es wird empfohlen, den Anbieternamen als https://[sid][client] beizubehalten, damit Sie mehrere SAP NetWeaver ABAP-Engines in Microsoft Entra ID konfigurieren können.

  11. Generieren von Metadaten für den Dienstanbieter: Sobald Sie die Einstellungen für den lokalen Anbieter und die vertrauenswürdigen Anbieter auf der SAML 2.0-Benutzeroberfläche konfiguriert haben, besteht der nächste Schritt darin, die Metadatendatei des Dienstanbieters zu generieren (die dann alle Einstellungen, Authentifizierungskontexte und weitere Konfigurationen in SAP enthält).

  12. Wählen Sie auf der Registerkarte Local Provider (Lokaler Anbieter) die Option Metadata (Metadaten) aus.

  13. Speichern Sie die generierte Metadaten-XML-Datei auf Ihrem Computer, und laden Sie sie in den Abschnitt „Grundlegende SAML-Konfiguration“ hoch, um die Werte Bezeichner und Antwort-URL im Azure-Portal automatisch aufzufüllen.

  14. Wählen Sie im Azure-Portal auf der Seite SAP NetWeaver-Anwendungsintegration die Option Einmaliges Anmelden aus.

  15. Wählen Sie im Dialogfeld SSO-Methode auswählen den Modus SAML/WS-Fed aus, um einmaliges Anmelden zu aktivieren.

  16. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf Bearbeiten, um das Dialogfeld Grundlegende SAML-Konfiguration zu öffnen.

  17. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:

    1. Wählen Sie die Option Metadatendatei hochladen aus, um die zuvor abgerufene Dienstanbieter-Metadatendatei hochzuladen.
    2. Wählen Sie das Ordnerlogo aus, um die Metadatendatei auszuwählen, und klicken Sie dann auf Hochladen.
    3. Nach dem erfolgreichen Upload der Metadatendatei werden die Werte Bezeichner und Antwort-URL im Abschnitt Grundlegende SAML-Konfiguration in den entsprechenden Textfeldern wie hier gezeigt automatisch ausgefüllt:
    4. Geben Sie im Textfeld Anmelde-URL eine URL ein, die dem folgenden Muster entspricht: https://[Ihre Firmeninstanz von SAP NetWeaver].

  18. Die SAP NetWeaver-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Zu den Ansprüchen gehören givenname (Vorname), surname (Nachname), emailaddress (E-Mail-Adresse), name (Name) und Unique User Identifier (Eindeutige Benutzer-ID). Sie können deren Werte im Abschnitt Benutzerattribute auf der Seite für die Anwendungsintegration verwalten.

  19. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf Bearbeiten, um das Dialogfeld Benutzerattribute zu öffnen.

  20. Konfigurieren Sie im Dialogfeld Benutzerattribute im Abschnitt Benutzeransprüche die SAML-Tokenattribute, und führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf das Symbol Bearbeiten, um den Bereich Benutzeransprüche verwalten zu öffnen.
    2. Wählen Sie in der Liste Transformation die Option ExtractMailPrefix() aus.
    3. Wählen Sie in der Liste Parameter 1 die Option user.userprinicipalname.
    4. Wählen Sie Speichern aus.

  21. Wählen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat die Option Herunterladen, um den Ihren Anforderungen entsprechenden Verbundmetadaten-XML-Code aus den verfügbaren Optionen herunterzuladen und auf Ihrem Computer zu speichern.

  22. Kopieren Sie im Abschnitt SAP NetWeaver einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

    • Anmelde-URL
    • Microsoft Entra-Bezeichner
    • Abmelde-URL

Konfigurieren von einmaligem Anmelden für SAP NetWeaver

  1. Melden Sie sich beim SAP-System an, und wechseln Sie zum Transaktionscode SAML2. Es wird ein neues Browserfenster für den SAML-Konfigurationsbildschirm geöffnet.

  2. Wechseln Sie zur Registerkarte Trusted Providers (Vertrauenswürdige Anbieter), um Endpunkte für vertrauenswürdige Identitätsanbieter (Microsoft Entra ID) zu konfigurieren.

  3. Wählen Sie Hinzufügen und dann im Kontextmenü Metadatendatei hochladen aus.

  4. Laden Sie die Metadatendatei hoch, die Sie aus dem Azure-Portal heruntergeladen haben.

  5. Geben Sie im nächsten Bildschirm einen beliebigen Namen als Alias ein. Stellen Sie sicher, dass Ihr Digest Algorithm (Digest-Algorithmus) SHA-256 lautet und keine Änderungen erfordert. Wählen Sie dann Weiter aus.

  6. Wählen Sie unter Single Sign-On Endpoints (Endpunkte für einmaliges Anmelden) die Option HTTP POST aus, und klicken Sie zum Fortfahren auf Next (Weiter).

  7. Wählen Sie unter Single Logout Endpoints (Endpunkte für einmaliges Abmelden) die Option HTTPRedirect aus, und klicken Sie dann auf Next (Weiter).

  8. Wählen Sie unter Artifact Endpoints (Artefaktendpunkte) zum Fortfahren Weiter aus.

  9. Übernehmen Sie die Standardeinstellungen für Authentication Requirements (Authentifizierungsanforderungen), und klicken Sie auf Finish (Fertig stellen).

  10. Wechseln Sie zur Registerkarte Trusted Provider (Vertrauenswürdige Anbieter) und dann zu Identity Federation (Identitätsverbund).

  11. Wählen Sie Bearbeiten aus.

  12. Klicken Sie auf der Registerkarte Identity Federation (Identitätsverbund) auf Add (Hinzufügen).

  13. Wählen Sie im Popupfenster in den Formaten für Supported NameID (Unterstützte Namens-ID) die Option Unspecified (Nicht spezifiziert) aus, und klicken Sie dann auf OK. Die Werte für Benutzer-ID-Quelle und Benutzer-ID-Zuordnungsmodus bestimmen die Verbindung zwischen SAP-Benutzer*in und Microsoft Entra-Anspruch.

  14. Es gibt zwei mögliche Szenarien:

    • Szenario: Zuordnung zwischen SAP-Benutzer*in und Microsoft Entra-Benutzer*in
    • Szenario: Auswählen der SAP-Benutzer-ID basierend auf der konfigurierten E-Mail-Adresse in SU01. In diesem Fall sollte die E-Mail-ID in SU01 für jeden Benutzer konfiguriert werden, der SSO benötigt.

  15. Klicken Sie auf Save (Speichern) und dann auf Enable (Aktivieren), um den Identitätsanbieter zu aktivieren.

Zuweisen von Microsoft Entra-Benutzer*innen

Wählen Sie im Azure-Portal die Option Unternehmensanwendungen aus, und wählen Sie dann Alle Anwendungen und SAP NetWeaver aus. Wählen Sie in der Anwendungsliste den Eintrag SAP NetWeaveraus.

Erstellen von SAP NetWeaver-Benutzern

  1. Damit sich Microsoft Entra-Benutzer*innen bei SAP NetWeaver anmelden können, müssen Sie sie in SAP NetWeaver bereitstellen. Arbeiten Sie mit Ihrem internen SAP-Expertenteam oder dem SAP-Partner Ihrer Organisation zusammen, um die Benutzer in der SAP NetWeaver-Plattform hinzuzufügen.
  2. Um das Ergebnis zu überprüfen, rufen Sie nach der Aktivierung des Identitätsanbieters Microsoft Entra ID <https://sapurl/sap/bc/bsp/sap/it00/default.htm> auf, um SSO zu überprüfen. Ersetzen Sie hierbei sapurl durch den tatsächlichen SAP-Hostnamen. Sie sollten nicht zur Eingabe von Benutzername und Kennwort aufgefordert werden.