SAP hat Microsoft Entra ID als Nachfolgerempfehlung für SAP Identity Management (IdM) kommuniziert. Mit der Integration von Microsoft Entra ID (ehemals Azure AD) als Single Sign-On (SSO)-Lösung für einen SAP Business Technology Platform (BTP) Subaccount wird eine zentrale Benutzerverwaltung und eine vereinfachte Authentifizierung möglich. Durch die Verwendung des SAML 2.0-Protokolls kann Entra ID als Identitätsanbieter (IdP) für SAP BTP genutzt werden.
Wir unterstützen Ihr Unternehmen nicht nur bei der technischen Umsetzung, sondern entwickeln gemeinsam ein zukunftssicheres Gesamtkonzept für die zentrale Benutzerverwaltung und Authentifizierung. Unser Team steht bereit, um eine maßgeschneiderte Lösung zu erarbeiten – von der strategischen Planung bis zur erfolgreichen Implementierung.
Die folgende Anleitung beschreibt die einzelnen Schritte zur Einrichtung von Entra ID als IdP für einen Subaccount.
1. Herunterladen der SAML-Metadaten aus dem SAP BTP Subaccount
Zunächst müssen die SAML-Metadaten des BTP Subaccounts heruntergeladen werden, um diese später in Microsoft Entra ID zu hinterlegen.
- Im SAP BTP Cockpit anmelden.
- In den Subaccount wechseln und den Bereich Security → Trust Configuration aufrufen.
- Die SAML-Metadaten-Datei herunterladen, die für die Konfiguration in Entra ID benötigt wird.
2. Erstellen einer Unternehmensanwendung in Entra ID
Damit Entra ID als Identitätsanbieter für SAP BTP fungieren kann, muss eine neue Unternehmensanwendung erstellt werden.
- Im Microsoft Entra Admin Center anmelden.
- Den Bereich Unternehmensanwendungen aufrufen und auf Neue Anwendung klicken.
- Die Option SAP Cloud Platform auswählen.
- Die Anwendung erstellen und speichern.
Hinweis: Damit die Anwendung genutzt werden kann, müssen Benutzer bzw. Gruppen entsprechend dafür berechtigt werden.
3. Konfiguration von SSO in Entra ID
Nach der Erstellung der Unternehmensanwendung erfolgt die Konfiguration von Single Sign-On mit dem SAML-Protokoll.
- In der neu erstellten Anwendung den Bereich Single Sign-On (SSO) aufrufen.
- SAML als Authentifizierungsverfahren auswählen.
- Die zuvor aus SAP BTP exportierte SAML-Metadaten-Datei hochladen.
4. Anpassung der SAML-Konfiguration
Nach dem Hochladen der Metadaten müssen einige Konfigurationswerte unter Grundlegende SAML-Konfiguration überprüft und ggf. angepasst werden.
- Die Entitäts-ID und die Anmelde-URL aus den BTP-Metadaten eintragen.
- Die Änderungen speichern.
Hinweis: Die URL für den Subaccount setzt sich nach folgendem Schema zusammen – https://<subdomain>.authentication.<region>.hana.ondemand.com
5. Export der Verbundmetadaten aus Entra ID
Nachdem die Konfiguration in Entra ID abgeschlossen ist, müssen die Verbundmetadaten exportiert werden, um sie später in SAP BTP zu hinterlegen.
- Im Bereich SAML-Zertifikate die Verbundmetadaten-XML herunterladen.
6. Hochladen der Entra ID SAML-Metadaten in SAP BTP
Nun muss die heruntergeladene Verbundmetadaten-XML aus Entra ID in SAP BTP importiert werden.
- Im SAP BTP Cockpit erneut zu Trust Configuration wechseln.
- Eine neue SAML Trust Configuration erstellen.
- Die aus Entra ID exportierte XML-Datei hochladen, benennen und speichern.
Ergebnis
Nach Abschluss dieser Schritte ist die SSO-Authentifizierung für den SAP BTP Subaccount mit Entra ID erfolgreich eingerichtet. Benutzer können sich nun sicher und bequem mit ihren Microsoft-Konten anmelden, ohne separate Zugangsdaten für SAP BTP verwalten zu müssen.
Kontaktieren Sie uns!