Konfigurieren von SAP NetWeaver für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie SAP NetWeaver mit Microsoft Entra ID integrieren. Die Integration von SAP NetWeaver in Microsoft Entra ID ermöglicht Folgendes:

• Steuern Sie in Microsoft Entra ID, wer Zugriff auf SAP NetWeaver hat.
• Ermöglichen Sie es Ihren Benutzer*innen, sich mit ihren Microsoft Entra-Konten automatisch bei SAP NetWeaver anzumelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Ein SSO-fähiges SAP NetWeaver-Abonnement
• SAP NetWeaver V7.20 oder höher

Beschreibung des Szenarios

• SAP NetWeaver unterstützt sowohl SAML (SP-initiiertes SSO) als auch OAuth. In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

Hinzufügen von SAP NetWeaver aus dem Katalog

Zum Konfigurieren der Integration von SAP NetWeaver in Microsoft Entra ID müssen Sie SAP NetWeaver aus dem Katalog der Liste mit den verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff SAP NetWeaver in das Suchfeld ein.
4. Wählen Sie im Ergebnisbereich die Option SAP NetWeaver aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für SAP NetWeaver

Konfigurieren und testen Sie das einmalige Anmelden (SSO) von Microsoft Entra mit SAP NetWeaver mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in SAP NetWeaver eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra mit SAP NetWeaver die folgenden Schritte aus:

1. Konfigurieren des einmaligen Anmeldens von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
   1. Erstellen Sie einen Microsoft Entra-Testbenutzer , um microsoft Entra Single Sign-On mit B.Simon zu testen.
   2. Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon für die Verwendung von Microsoft Entra Single Sign-On zu aktivieren.
2. Konfigurieren von SAP NetWeaver unter Verwendung von SAML , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
   1. Erstellen Sie SAP NetWeaver-Testbenutzer , um ein Gegenstück von B.Simon in SAP NetWeaver zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert
4. Konfigurieren Sie SAP NetWeaver für OAuth​, um die OAuth-Einstellungen auf der Anwendungsseite zu konfigurieren.
5. Anfordern des Zugriffstokens von Microsoft Entra ID zur Verwendung von Microsoft Entra ID als Identitätsanbieter (IdP).

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

In diesem Abschnitt aktivieren Sie das einmalige Anmelden von Microsoft Entra.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit SAP NetWeaver die folgenden Schritte aus:

1. Melden Sie sich in einem neuen Webbrowserfenster bei der SAP NetWeaver-Unternehmenswebsite als Administrator an.

2. Stellen Sie sicher, dass http- und https-Dienste aktiv sind und die entsprechenden Ports im T-Code SMICM zugewiesen wurden.

3. Melden Sie sich beim Unternehmensclient des SAP-Systems (T01) an, für den das einmalige Anmelden benötigt wird, und aktivieren Sie die Verwaltung der HTTP-Sicherheitssitzung.

   1. Navigieren Sie zum Transaktionscode SICF_SESSIONS. Hier werden alle relevanten Profilparameter mit ihren aktuellen Werten angezeigt. Sie sehen wie folgt aus:

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0 
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Hinweis

      Passen Sie die obigen Parameter an die Anforderungen Ihrer Organisation an. Die gezeigten Parameter dienen lediglich als Beispiele.

   2. Passen Sie ggf. die Parameter in der Instanz/im Standardprofil des SAP-Systems an, und starten Sie das SAP-System neu.

   3. Doppelklicken Sie auf den relevanten Client, um die HTTP-Sicherheitssitzung zu aktivieren.

      

   4. Aktivieren Sie die folgenden SICF-Dienste:

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Wechseln Sie im Unternehmensclient des SAP-Systems [T01/122] zum Transaktionscode SAML2. Es wird eine Benutzeroberfläche in einem Browser geöffnet. In diesem Beispiel wird von 122 als SAP-Unternehmensclient ausgegangen.

   

5. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein, um die Benutzeroberfläche aufzurufen, und wählen Sie Bearbeiten aus.

   

6. Ersetzen Sie den Anbieternamen von T01122 durch http://T01122 und wählen Sie Speichern aus.

   Hinweis

   In der Standardeinstellung hat der Anbietername das Format <sid><client>, Microsoft Entra ID erwartet den Namen jedoch im Format <protocol>://<name>. Es wird empfohlen, den Anbieternamen als https://<sid><client> anzugeben, damit mehrere SAP NetWeaver ABAP-Engines in Microsoft Entra ID konfiguriert werden können.

   

7. Generieren von Dienstanbietermetadaten:- Nachdem wir die Einstellungen für lokale Anbieter und vertrauenswürdige Anbieter auf der SAML 2.0-Benutzeroberfläche konfiguriert haben, besteht der nächste Schritt darin, die Metadatendatei des Dienstanbieters zu generieren (die alle Einstellungen, Authentifizierungskontexte und andere Konfigurationen in SAP enthalten würde). Nachdem diese Datei generiert wurde, laden Sie diese Datei in die Microsoft Entra ID hoch.

   

   1. Wechseln Sie zu Local Provider (Lokaler Anbieter).

   2. Wählen Sie "Metadaten" aus.

   3. Speichern Sie die generierte Metadaten-XML-Datei auf Ihrem Computer, und laden Sie sie im Azure-Portal im Abschnitt Grundlegende SAML-Konfiguration hoch, damit die Werte Bezeichner und Antwort-URL automatisch aufgefüllt werden.

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zur Seite "Sap NetWeaver-Anwendungsintegration" der >>, suchen Sie den Abschnitt "Verwalten", und wählen Sie "Einmaliges Anmelden" aus.

3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

4. Wählen Sie auf der Seite " Einzel-Sign-On mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus, wenn Sie die Anwendung im IDP-initiierten Modus konfigurieren möchten:

   1. Wählen Sie " Metadatendatei hochladen " aus, um die Metadatendatei des Dienstanbieters hochzuladen, die Sie zuvor erhalten haben.

   2. Wählen Sie das Ordnerlogo aus, um die Metadatendatei auszuwählen und "Hochladen" auszuwählen.

   3. Nach dem erfolgreichen Upload der Metadatendatei werden die Werte Bezeichner und Antwort-URL im Abschnitt Grundlegende SAML-Konfiguration in den entsprechenden Textfeldern automatisch ausgefüllt (wie unten dargestellt):

   4. Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://<your company instance of SAP NetWeaver>

   Hinweis

   Einige Kund*innen haben einen Fehler im Zusammenhang mit einer für ihre Instanz falsch konfigurierten Antwort-URL festgestellt. Wenn Sie einen solchen Fehler erhalten, verwenden Sie diese PowerShell-Befehle. Aktualisieren Sie zuerst die Antwort-URLs im Anwendungsobjekt mit der Antwort-URL, und aktualisieren Sie dann den Dienstprinzipal. Verwenden Sie den Befehl Get-MgServicePrincipal, um den Wert der Dienstprinzipal-ID abzurufen.

   $params = @{
      web = @{
         redirectUris = "<Your Correct Reply URL>"
      }
   }
   Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
   Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
   

6. Die SAP NetWeaver-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute. Wählen Sie das Symbol "Bearbeiten " aus, um das Dialogfeld "Benutzerattribute" zu öffnen.

   

7. Konfigurieren Sie im Dialogfeld Benutzerattribute im Abschnitt Benutzeransprüche das SAML-Tokenattribut wie in der obigen Abbildung gezeigt, und führen Sie die folgenden Schritte aus:

   1. Wählen Sie das Symbol "Bearbeiten" aus, um das Dialogfeld " Benutzeransprüche verwalten" zu öffnen.

      

      

   2. Wählen Sie in der Liste Transformation die Option ExtractMailPrefix() aus.

   3. Wählen Sie in der Liste Parameter 1 die Option user.userprincipalname aus.

   4. Wählen Sie Speichern aus.

8. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

   

9. Kopieren Sie im Abschnitt SAP NetWeaver einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

   

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren von SAP NetWeaver unter Verwendung von SAML

1. Melden Sie sich beim SAP-System an, und navigieren Sie zum Transaktionscode „SAML2“. Damit öffnen Sie ein neues Browserfenster mit dem SAML-Konfigurationsbildschirm.

2. Wechseln Sie zum Konfigurieren von Endpunkten für vertrauenswürdige Identitätsanbieter Provider (Microsoft Entra ID) zur Registerkarte Trusted Providers (Vertrauenswürdige Anbieter).

   

3. Wählen Sie Hinzufügen und dann im Kontextmenü Metadatendatei hochladen aus.

   

4. Laden Sie die Metadatendatei hoch, die Sie heruntergeladen haben.

   

5. Geben Sie im nächsten Bildschirm den Aliasnamen ein. Geben Sie z. B. aadsts ein und drücken Sie Weiter, um fortzufahren.

   

6. Stellen Sie sicher, dass Ihr Digest Algorithm (Digest-Algorithmus) SHA-256 lautet und keine Änderungen erfordert. Wählen Sie dann Weiter aus.

   

7. Wählen Sie unter Single Sign-On Endpoints (Endpunkte für einmaliges Anmelden) die Option HTTP POST aus, und klicken Sie zum Fortfahren auf Next (Weiter).

   

8. Wählen Sie auf Single Logout EndpointsHTTPRedirect aus, und wählen Sie "Weiter" aus, um fortzufahren.

   

9. Wählen Sie unter Artifact Endpoints (Artefaktendpunkte) zum Fortfahren Weiter aus.

   

10. Wählen Sie unter "Authentifizierungsanforderungen" die Option "Fertig stellen" aus.

    

11. Wechseln Sie zur Registerkarte Trusted Provider>Identity Federation (Vertrauenswürdige Anbieter > Identitätsverbund) (unten auf dem Bildschirm). Wählen Sie Bearbeiten aus.

    

12. Wählen Sie "Hinzufügen " unter der Registerkarte " Identitätsverbund " (unteres Fenster) aus.

    

13. Wählen Sie im Popupfenster die Option "Nicht angegeben " aus den Formaten "Unterstützte NameID " aus, und wählen Sie "OK" aus.

    

14. Verwenden Sie für User ID Source (Benutzer-ID-Quelle) den Wert Assertion-Attribut, für Zuordnungsmodus für Benutzer-ID den Wert E-Mail und für Assertion Attribute Name (Assertion-Attributname) den Wert http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    

15. Beachten Sie, dass die Werte User ID Source (Benutzer-ID-Quelle) und User ID mapping mode (Zuordnungsmodus für Benutzer-ID) die Verbindung zwischen SAP-Benutzern und Microsoft Entra-Ansprüchen festlegen.

Szenario 1: Benutzerzuordnung zwischen SAP-Benutzer und Microsoft Entra.

1. Screenshot von „NameID details“ (Details zur Namens-ID) in SAP

   

2. Screenshot: Erforderliche Ansprüche aus Microsoft Entra ID

   

   Szenario: Auswählen der SAP-Benutzer-ID basierend auf der konfigurierten E-Mail-Adresse in SU01. In diesem Fall sollte die E-Mail-ID in SU01 für jeden Benutzer konfiguriert werden, der SSO benötigt.

   1. Screenshot von „NameID details“ (Details zur Namens-ID) in SAP

      

   2. Screenshot: Erforderliche Ansprüche aus Microsoft Entra ID

   

3. Klicken Sie auf Save (Speichern) und dann auf Enable (Aktivieren), um den Identitätsanbieter zu aktivieren.

   

4. Wählen Sie "OK" aus, sobald Sie dazu aufgefordert wurden.

   

Erstellen eines SAP NetWeaver-Testbenutzers

In diesem Abschnitt erstellen Sie in SAP NetWeaver einen Benutzer namens B.simon. Arbeiten Sie mit Ihrem SAP-Expertenteam vor Ort oder mit dem SAP-Partner Ihres Unternehmens zusammen, um die Benutzer auf der SAP NetWeaver-Plattform hinzuzufügen.

Testen des einmaligen Anmeldens

1. Nachdem die Microsoft Entra-ID des Identitätsanbieters aktiviert wurde, versuchen Sie, auf die folgende URL zuzugreifen, um SSO zu überprüfen, und stellen Sie sicher, dass keine Eingabeaufforderung für Benutzername und Kennwort vorhanden ist.

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   (Oder:) Verwenden Sie die unten aufgeführte URL.

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   Hinweis

   Ersetzen Sie „sapurl“ durch den tatsächlichen SAP-Hostnamen.

2. Über die obige URL sollten Sie zum unten gezeigten Bildschirm gelangen. Wenn Sie bis zur folgenden Seite gelangen können, ist die Einrichtung von Microsoft Entra SSO erfolgreich abgeschlossen.

   

3. Wenn eine Eingabeaufforderung für Benutzername und Kennwort auftritt, können Sie das Problem diagnostizieren, indem Sie eine Ablaufverfolgung mithilfe der URL aktivieren:

   https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Konfigurieren von SAP NetWeaver für OAuth

1. Den dokumentierten SAP-Prozess finden Sie hier: NetWeaver Gateway Service Enabling and OAuth 2.0 Scope Creation (NetWeaver-Gatewaydienst: Aktivierung und OAuth 2.0-Bereichserstellung)

2. Navigieren Sie zu SPRO, und suchen Sie nach Activate and Maintain services (Dienste aktivieren und verwalten).

   

3. In diesem Beispiel möchten wir mit OAuth eine Verbindung zwischen dem OData-Dienst (DAAG_MNGGRP) und dem einmaligen Anmelden von Microsoft Entra herstellen. Verwenden Sie die technische Dienstnamensuche für den Dienst DAAG_MNGGRP, und aktivieren Sie ihn, falls er noch nicht aktiv ist (grüner Status (green) auf der Registerkarte mit den ICF-Knoten). Vergewissern Sie sich, dass der Systemalias (das verbundene Back-End-System, auf dem der Dienst tatsächlich ausgeführt wird) korrekt ist.

   

   • Wählen Sie dann die Schaltfläche OAuth in der oberen Schaltflächenleiste aus und weisen Sie scope zu (den vorgeschlagenen Standardnamen beibehalten).

4. In unserem Beispiel lautet der Bereich DAAG_MNGGRP_001. Er wird aus dem Dienstnamen generiert, indem automatisch eine Zahl hinzugefügt wird. Der Bericht /IWFND/R_OAUTH_SCOPES kann verwendet werden, um den Namen des Bereichs zu ändern oder manuell zu erstellen.

   

   Hinweis

   Die Meldung soft state status isn't supported kann ignoriert werden, da dies kein Problem darstellt.

Erstellen eines Dienstbenutzers für den OAuth 2.0-Client

1. OAuth2 verwendet eine Dienst-ID (service ID), um das Zugriffstoken für den Endbenutzer in dessen Namen abzurufen. Wichtige OAuth-bedingte Einschränkung: Die OAuth 2.0-Client-ID (OAuth 2.0 Client ID) muss exakt dem Benutzernamen (username) entsprechen, den der OAuth 2.0-Client beim Anfordern eines Zugriffstokens für die Anmeldung verwendet. Daher registrieren wir für unser Beispiel einen OAuth 2.0-Client mit dem Namen CLIENT1. Als Voraussetzung muss ein Benutzer mit demselben Namen (CLIENT1) im SAP-System vorhanden sein, und dieser Benutzer wird für die Verwendung durch die bezeichnete Anwendung konfiguriert.

2. Bei der Registrierung eines OAuth-Clients verwenden wir den Gewährungstyp „SAML-Bearer“ (SAML Bearer Grant type).

   Hinweis

   Ausführlichere Informationen finden Sie hier.

3. Führen Sie T-Code SU01 aus, um Benutzer-CLIENT1 als System type zu erstellen und ein Kennwort zuzuweisen. Speichern Sie das Kennwort, da Sie die Anmeldeinformationen für den API-Programmierer angeben müssen, der es mit dem Benutzernamen im aufrufenden Code speichern soll. Es sollte weder ein Profil noch eine Rolle zugewiesen werden.

Registrieren der neuen OAuth 2.0-Client-ID mit dem Erstellungs-Assistenten

1. Starten Sie zum Registrieren eines neuen OAuth 2.0-Clients die Transaktion SOAUTH2. Die Transaktion zeigt eine Übersicht über die bereits registrierten OAuth 2.0-Clients an. Wählen Sie Create (Erstellen) aus, um den Assistenten für den neuen OAuth-Client mit namens „CLIENT1“ (in diesem Beispiel) zu starten.

2. Wechseln Sie zu "T-Code": SOAUTH2 und geben Sie die Beschreibung ein, und wählen Sie dann "Weiter" aus.

   

   

3. Wählen Sie in der Dropdownliste das bereits hinzugefügte Element SAML2 IdP – Microsoft Entra ID aus, und speichern Sie.

   

   

   

4. Wählen Sie unter Bereichszuweisung "Hinzufügen" aus, um den zuvor erstellten Bereich hinzuzufügen: DAAG_MNGGRP_001

   

   

5. Wählen Sie "Fertig stellen" aus.

Anfordern eines Zugriffstokens von der Microsoft Entra-ID

Führen Sie die folgenden Schritte aus, um ein Zugriffstoken vom SAP-System mithilfe der Microsoft Entra-ID (früher Azure AD) als Identitätsanbieter (IdP) anzufordern:

Schritt 1: Registrieren der Anwendung in der Microsoft Entra-ID

1. Melden Sie sich beim Azure-Portal an: Navigieren Sie zum Azure-Portal unter portal.azure.com.
2. Registrieren einer neuen Anwendung:
   • Wechseln Sie zu "Microsoft Entra ID".
   • Wählen Sie „App-Registrierungen“ > „Neue Registrierung“ aus.
   • Füllen Sie die Anwendungsdetails wie Name, Umleitungs-URI usw. aus.
   • Wählen Sie „Registrieren“ aus.
3. Konfigurieren von API-Berechtigungen:
   • Navigieren Sie nach der Registrierung zu „API-Berechtigungen“.
   • Wählen Sie "Berechtigung hinzufügen" und dann "APIs, die meine Organisation verwendet" aus.
   • Suchen Sie nach dem SAP-System oder der betreffenden API, und fügen Sie die erforderlichen Berechtigungen hinzu.
   • Erteilen Sie eine Administratoreinwilligung für die Berechtigungen.

Schritt 2: Erstellen eines geheimen Clientschlüssels

1. Navigieren Sie zur registrierten Anwendung: Gehen Sie zu „Zertifikate und Geheimnisse“.
2. Erstellen Sie einen neuen geheimen Clientschlüssel:
   • Wählen Sie "Neuer geheimer Clientschlüssel" aus.
   • Geben Sie eine Beschreibung ein, und legen Sie einen Ablaufzeitraum fest.
   • Wählen Sie "Hinzufügen" aus, und notieren Sie sich den geheimen Clientschlüsselwert nach Bedarf für die Authentifizierung.

Schritt 3: Konfigurieren des SAP-Systems für die Microsoft Entra ID-Integration

1. Greifen Sie auf SAP Cloud Platform zu: Melden Sie sich bei Ihrem SAP Cloud Platform-Cockpit an.
2. Richten Sie die Vertrauensstellungskonfiguration ein:
   • Gehen Sie zu „Sicherheit“ > „Vertrauensstellungskonfiguration“.
   • Fügen Sie Microsoft Entra-ID als vertrauenswürdigen IdP hinzu, indem Sie die XML-Federationsmetadaten von Microsoft Entra-ID importieren. Dies finden Sie im Abschnitt "Endpunkte" der Microsoft Entra ID-App-Registrierung (unter Verbundmetadatendokument).
3. Konfigurieren des OAuth2-Clients:
   • Konfigurieren Sie im SAP-System einen OAuth2-Client mithilfe der Client-ID und des geheimen Clientschlüssels, die von Microsoft Entra ID abgerufen wurden.
   • Legen Sie den Tokenendpunkt und andere relevante OAuth2-Parameter fest.

Schritt 4: Anfordern eines Zugriffstokens

1. Vorbereiten der Tokenanforderung:

   • Erstellen Sie eine Tokenanforderung mit den folgenden Details:
     • Tokenendpunkt: Dies ist in der Regel https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token.
     • Client-ID: Die Anwendungs-ID (Client-ID) von Microsoft Entra ID.
     • Client-Secret: Der Wert des Client-Secrets von Microsoft Entra ID.
     • Bereich: Die erforderlichen Bereiche (z. B. https://your-sap-system.com/.default)
     • Gewährungstyp: Verwenden Sie client_credentials für die Server-zu-Server-Authentifizierung.

2. Führen Sie die Tokenanforderung aus:

   • Senden Sie mit einem Tool wie Postman oder einem Skript eine POST-Anforderung an den Token-Endpunkt.
   • Beispielanforderung (in cURL):

     curl -X POST \
       https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token \
       -H 'Content-Type: application/x-www-form-urlencoded' \
       -d 'client_id={client_id}&scope=https://your-sap-system.com/.default&client_secret={client_secret}&grant_type=client_credentials'
     

3. Extrahieren Sie das Zugriffstoken:

   • Die Antwort enthält ein Zugriffstoken, wenn die Anforderung erfolgreich ist. Verwenden Sie dieses Zugriffstoken zum Authentifizieren von API-Anforderungen beim SAP-System.

Schritt 5: Verwenden Sie das Zugriffstoken für API-Anforderungen

1. Schließen Sie das Zugriffstoken in API-Anforderungen ein:
   • Fügen Sie für jede an das SAP-System gerichtete Anforderung das Zugriffstoken in den Authorization-Header ein.
   • Beispielheader:

     Authorization: Bearer {access_token}
     

Konfigurieren der Enterprise-App für SAP NetWeaver für SAML2 und OAuth2 gleichzeitig

Für die parallele Verwendung von SAML2 für SSO und OAuth2 für den API-Zugriff können Sie dieselbe Unternehmens-App in Microsoft Entra ID für beide Protokolle konfigurieren.

Eine typische Einrichtung verwendet standardmäßig SAML2 für SSO und OAuth2 für den API-Zugriff.

Verwandte Inhalte

• Konfigurieren Sie Microsoft Entra SAP NetWeaver, um die Sitzungssteuerung zu erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.
• Konfigurieren Sie die SAP-Prinzipalverteilung (OAuth2) mithilfe von Azure API Management, um den Zugriff auf SAP-Systeme von Client-Apps in Azure, Power Platform, Microsoft 365 und anderen Anwendungen zu steuern und zu sichern. Erfahren Sie mehr über die SAP-Prinzipalverteilung mit Azure API Management.