Tutorial: Integration von Microsoft Entra-SSO und SAP Business Technology Platform

In diesem Tutorial erfahren Sie, wie Sie SAP Business Technology Platform in Microsoft Entra ID integrieren. Die Integration von SAP Business Technology Platform und Microsoft Entra ID bietet folgende Möglichkeiten:

• Steuern Sie in Microsoft Entra ID, wer Zugriff auf SAP Business Technology Platform hat.
• Sie können Ihren Benutzern die automatische Anmeldung bei SAP Business Technology Platform mit ihren Microsoft Entra-Konten ermöglichen.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

• Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
• Ein SAP Business Technology Platform-Abonnement mit aktiviertem einmaligen Anmelden (Single Sign-On, SSO).

Wichtig

Sie müssen eine eigene Anwendung bereitstellen oder eine Anwendung unter Ihrem SAP Business Technology Platform-Konto abonnieren, um das einmalige Anmelden zu testen. In diesem Tutorial wird eine Anwendung auf dem Konto bereitgestellt.

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

• SAP Business Technology Platform unterstützt das SP-initiierte einmalige Anmelden.

Hinzufügen von SAP Business Technology Platform aus dem Katalog

Zum Konfigurieren der Integration von SAP Business Technology Platform und Microsoft Entra ID müssen Sie SAP Business Technology Platform aus dem Katalog der Liste der verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Begriff SAP Business Technology Platform in das Suchfeld ein.
4. Wählen Sie im Ergebnisbereich SAP Business Technology Platform aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra für SAP Business Technology Platform

Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit SAP Business Technology Platform mithilfe eines Testbenutzers namens B. Simon. Damit das einmalige Anmelden funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in SAP Business Technology Platform eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit SAP Business Technology Platform die folgenden Schritte aus:

1. Konfigurieren des einmaligen Anmeldens von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
   1. Erstellen von Microsoft Entra-Testbenutzer*in, um das einmalige Anmelden von Microsoft Entra mit der Testbenutzerin Britta Simon zu testen.
   2. Zuweisen von Microsoft Entra-Testbenutzerin, um Britta Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
2. Konfigurieren des einmaligen Anmeldens für SAP Business Technology Platform, um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren.
   1. Erstellen eines SAP Business Technology Platform-Testbenutzers, um eine Entsprechung von Britta Simon in SAP Business Technology Platform zu erhalten, die mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>SAP Business Technology Platform>Einmaliges Anmelden.

3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

4. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

   

5. Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte für die folgenden Felder ein:

   a. Geben Sie im Textfeld Bezeichner die URL von SAP Business Technology Platform in einem der folgenden Formate an:

   Identifier
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. Geben Sie im Textfeld Antwort-URL eine URL in einem der folgenden Formate ein:

   Antwort-URL
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   c. Geben Sie im Textfeld Anmelde-URL die URL ein, die von den Benutzern zur Anmeldung bei der SAP Business Technology Platform-Anwendung verwendet wird. Dies ist die kontospezifische URL einer geschützten Ressource in der SAP Business Technology Platform-Anwendung. Die URL basiert auf dem folgenden Muster: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Hinweis

   Dies ist die URL in Ihrer SAP Business Technology Platform-Anwendung, die eine Benutzerauthentifizierung erfordert.

   Anmelde-URL
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Hinweis

   Hierbei handelt es sich um Beispielwerte. Sie müssen diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und Anmelde-URL aktualisieren. Die Anmelde-URL und den Bezeichner erhalten Sie vom Supportteam für den SAP Business Technology Platform-Client. Die Antwort-URL finden Sie im Abschnitt für die Verwaltung der Vertrauensstellung. Dies wird weiter unten im Tutorial erläutert.

6. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat auf Herunterladen, um den Ihren Anforderungen entsprechenden Verbundmetadaten-XML-Code aus den verfügbaren Optionen herunterzuladen und auf Ihrem Computer zu speichern.

   

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
   1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
   2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
   3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
   4. Klicken Sie auf Überprüfen + erstellen.
5. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt ermöglichen Sie B. Simon die Verwendung des einmaligen Anmeldens, indem Sie ihr Zugriff auf SAP Business Technology Platform gewähren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>SAP Business Technology Platform.
3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
4. Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
   1. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
   2. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
   3. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren des einmaligen Anmeldens für SAP Business Technology Platform

1. Melden Sie sich in einem anderen Webbrowserfenster unter https://account.<landscape host>.ondemand.com/cockpit (beispielsweise https://account.hanatrial.ondemand.com/cockpit) beim SAP Business Technology Platform-Cockpit an.

2. Klicken Sie auf die Registerkarte Vertrauen .

   

3. Führen Sie im Abschnitt für die Verwaltung der Vertrauensstellung unter Local Service Provider (Lokaler Dienstanbieter) die folgenden Schritte aus:

   

   a. Klicken Sie auf Bearbeiten.

   b. Wählen Sie als Konfigurationstyp die Option Benutzerdefiniert.

   c. Belassen Sie als Name des lokalen Dienstanbietersden Standardwert. Kopieren Sie diesen Wert, und fügen Sie ihn in der Microsoft Entra-Konfiguration für SAP Business Technology Plattform in das Feld Bezeichner ein.

   d. Klicken Sie zum Generieren eines Signaturschlüssels und eines Signaturzertifikat-Schlüsselpaars auf Schlüsselpaar generieren.

   e. Wählen Sie als Prinzipalweitergabe die Option Deaktiviert.

   f. Wählen Sie unter Zwangsauthentifizierung die Option Deaktiviert.

   g. Klicken Sie auf Speichern.

4. Führen Sie nach dem Speichern der Einstellungen für Local Service Provider (Lokaler Dienstanbieter) die folgenden Schritte aus, um die Antwort-URL zu erhalten:

   

   a. Klicken Sie zum Herunterladen der SAP Business Technology Platform-Metadatendatei auf Metadaten abrufen.

   b. Öffnen Sie die heruntergeladene SAP Business Technology Platform-Metadatendatei (XML-Datei), und navigieren Sie zum ns3:AssertionConsumerService-Tag.

   c. Kopieren Sie den Wert des Location-Attributs, und fügen Sie ihn in der Microsoft Entra-Konfiguration für SAP Business Technology Plattform in das Textfeld Antwort-URL ein.

5. Klicken Sie auf die Registerkarte Vertrauenswürdiger Identitätsanbieter, und klicken Sie dann auf Vertrauenswürdigen Identitätsanbieter hinzufügen.

   

   Hinweis

   Um die Liste der vertrauenswürdigen Identitätsanbieter verwalten zu können, müssen Sie den Konfigurationstyp „Benutzerdefinierte“ im Abschnitt „Lokale Dienstanbieter“ ausgewählt haben. Beim Standard-Konfigurationstyp haben Sie ein nicht-bearbeitbares und implizites Vertrauen gegenüber dem SAP ID-Dienst. Bei der Option „Keine“ haben Sie keine Vertrauenseinstellungen.

6. Klicken Sie auf die Registerkarte Allgemein und dann auf Durchsuchen, um die heruntergeladene Metadatendatei hochzuladen.

   

   Hinweis

   Nach dem Hochladen der Metadatendatei werden die Werte für URL für einmaliges Anmelden, URL für einmaliges Abmelden und Signaturzertifikat automatisch ausgefüllt.

7. Klicken Sie auf die Registerkarte Attribute .

8. Führen Sie auf der Registerkarte Attribute die folgenden Schritte aus:

   

   a. Klicken Sie auf Assertion-Attribut hinzufügen, und für Sie dann die folgenden Assertion-basierten Attribute hinzu:

   Assertion-Attribut	Prinzipal-Attribut
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	firstname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	lastname
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	email

   Hinweis

   Die Konfiguration der Attribute hängt davon ab, wie die Anwendung(en) für SPC entwickelt wurden – also welche Attribute sie in der SAML-Antwort erwarten und unter welchem Namen (Prinzipal-Attribut) sie auf dieses Attribut im Code zugreifen.

   b. Das Standard-Attribut im Screenshot dient nur der Veranschaulichung. Es ist nicht erforderlich, damit das Szenario funktioniert.

   c. Die Namen und Werte für das im Screenshot gezeigte Prinzipal Attribut ist abhängig davon, wie die Anwendung entwickelt wird. Es ist möglich, dass die Anwendung andere Zuordnungen erfordert.

Assertion-Gruppen

Als optionalen Schritt können Sie Assertion-Gruppen für Ihren Microsoft Entra-Identitätsanbieter konfigurieren.

Mithilfe von Gruppen für SAP Business Technology Platform können Sie einzelne oder mehrere Benutzer dynamisch einzelnen oder mehreren Rollen in Ihren SAP Business Technology Platform-Anwendungen zuweisen – definiert durch Werte von Attributen in der SAML 2.0-Assertion.

Beispiel: Wenn die Assertion das Attribut „contract=temporary“ enthält, kann es sein, dass Sie alle betroffenen Benutzer der Gruppe „TEMPORÄR“ hinzufügen möchten. Die Gruppe „TEMPORÄR“ enthält u. U. Rollen aus mindestens einer Anwendung, die unter Ihrem SAP Business Technology Platform-Konto bereitgestellt wurde.

Verwenden Sie assertionsbasierte Gruppen, wenn Sie Anwendungsrollen in Ihrem SAP Business Technology Platform-Konto gleichzeitig viele Benutzer zuweisen möchten. Wenn Sie nur einen einzelnen oder wenige Benutzer bestimmten Rollen zuweisen möchten, empfiehlt es sich, diese direkt im SAP Business Technology Platform-Cockpit auf der Registerkarte Autorisierungen zuzuweisen.

Erstellen eines SAP Business Technology Platform-Testbenutzers

Damit sich Microsoft Entra-Benutzer bei SAP Business Technology Platform anmelden können, müssen Sie ihnen in SAP Business Technology Platform Rollen zuweisen.

Führen Sie die folgenden Schritte aus, um einem Benutzer eine Rolle zuzuweisen:

1. Melden Sie sich in Ihrem SAP Business Technology Platform-Cockpit an.

2. Führen Sie Folgendes aus:

   

   a. Klicken Sie auf Autorisierung.

   b. Klicken Sie auf die Registerkarte Benutzer .

   c. Geben Sie im Textfeld Benutzer die E-Mail-Adresse des Benutzers ein.

   d. Klicken Sie auf Zuweisen , um den Benutzer einer Rolle zuzuweisen.

   e. Klicken Sie auf Speichern.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

• Klicken Sie auf Diese Anwendung testen. Dadurch werden Sie zur Anmelde-URL von SAP Business Technology Platform weitergeleitet, wo Sie den Anmeldeflow initiieren können.

• Rufen Sie direkt die Anmelde-URL von SAP Business Technology Platform auf, und initiieren Sie dort den Anmeldeflow.

• Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie in „Meine Apps“ auf die Kachel „SAP Business Technology Platform“ klicken, sollten Sie automatisch bei der SAP Business Technology Platform-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von SAP Business Technology Platform können Sie die Sitzungssteuerung erzwingen, die Echtzeitschutz vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten bietet. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.