Einrichtung Client-Zertifikat für SSO-Zugriff auf SAP for Me
Autor: Tobias Harmes | 9. Mai 2023
Gegen Passwort-Popup-Terror und Universal-Login-Anmeldemarathon auf SAP-Seiten hilft ein lokales Client-Zertifikat für den passwortlosen Zugriff per Browser. Mit der Umstellung auf das neue SAP for Me-Portal wandert auch das Support-Portal von SAP dorthin. Die Anleitung zeigt kurz und schmerzlos, wie ich ein Zertifikat generieren kann, um damit ein Single-Sign-On-Login per SAP Passport zu nutzen.
Schritt 1: Im SAP for Me-Portal ein neues SSO-Zertifikat erstellen
Bei https://me.sap.com/ anmelden und auf “Benutzer und Ansprechpartner” bzw. “Users & Contacts” wechseln, dort auf Zertifikat erneuern
Das S-User-Passwort (nicht das Universal Login-Passwort) eingeben und “SAP Passport beantragen” klicken. Danach dann ein wahlfreies Kennwort eingeben, um das Zertifikat abzusichern. Das wird gleich noch mal für den Import benötigt.
Danach kann man den SAP Passwort, d.h. das Client-Zertifikat als .pfx-Datei herunterladen.
Hinweis: wenn der Fehler erscheint “Logon Unauthorized: Unauthorized”, dann kann das daran liegen, dass euer S-User mit einer Universal-ID verknüpft ist und ihr das gleiche Passwort für S-User und Universal-ID gewählt habt. Der SAP Passport kann aber damit nicht umgehen. Wie man das reparieren kann, steht in Hinweis 3217861 – Receiving ‘Unauthorized’ errors – SAP Passport – SAP for Me. Spoiler: Man muss dem S-User ein anderes Passwort verpassen, das wiederum steht hier: 1808560 – How to reset an S-user ID password – SAP ID Service – SAP for Me. Setzt *nicht* testweise das UID-Passwort zurück, denn es wird nur eine Passwort-Änderung pro Tag erlaubt.
Schritt 2: Das SAP Passport-Client Zertifikat importieren
Doppelklick auf die heruntergeladene Zertifikatsdatei startet den Zertifikatsimport-Assistent von Windows.
Aktueller Benutzer
Weiter
Kennwort (siehe Schritt 1, das wahlfreie Kennwort für den Export, muss nicht das gleiche Kennwort wie vom S-User sein)
Zertfikatsspeicher automatisch wählen
Fertig stellen
Erfolg!
Schritt 3: Zugriff testen
Browser schließen und https://me.sap.com/ öffnen, dann sollte keine Passwort-Aufforderung kommen. Fertig!
Optional kann man noch das alte Zertifikat entfernen: Dafür in die Browser-Einstellungen gehen, bei Chrome hilft die Suche nach “Zertifikat” -> “Gerätezertifikate verwalten”. Das öffnet die Zertifikatsverwaltung von Windows und dort kann man die installierten Zertifikate prüfen und dann alte Zertifikate entfernen.
Haben Sie Fragen oder Beratungsbedarf zum Thema SAP for ME? Schreiben Sie uns gerne eine Mail an info@rz10.de oder stellen Sie eine unverbindliche Anfrage.
2 Kommentare zu "Einrichtung Client-Zertifikat für SSO-Zugriff auf SAP for Me"
Hallo,
die Anleitung hat einen kleinen Fehler.
Das Kennwort für den S-User kann an der Stelle nicht freigewählt werden. Das entspricht dem Kennwort von dem S-User. Wichtig ist, wenn der S-User mit der Universal Dd gemapped wurde, es nicht das Kennwort der Universal -Id entspricht.
Es gibt 2 verschiedene Profile für den Login in SAP.
https://accounts.sap.com/ (S-User Profil)
https://account.sap.com/ (Universal-ID – Profil)
Das Kennwort für den S-User muss explizit gesetzt werden. Danach hatte es bei mir funktioniert.
Beste Grüße
Ah, danke für den Tipp, auch mit den unterschiedlichen URLs. Das kleine s ist mir bisher gar nicht aufgefallen. 🙂