SAP Single Sign-On

SAP Single Sign-On (SSO) reduziert Passwortchaos und damit verbundene Sicherheits- und Produktivitätseinbußen – doch wie? In diesem Ratgeber lernen Sie, was SAP SSO ist, wie es funktioniert und wie Sie es in Ihr SAP-System integrieren können.

Was ist SAP Single Sign-On (SSO)?

SAP Single Sign-On ist die Authentifizierungslösung von SAP, die es Usern ermöglicht, mit einer einzigen Anmeldung auf mehrere SAP-Systeme zuzugreifen. Single Sign-On vereinfacht die Nutzererfahrung und reduziert Komplexitäten im täglichen Arbeitsbetrieb, weil sich Mitarbeiter nicht bei jedem einzelnen System neu authentifizieren müssen und so ohne Unterbrechungen im Arbeitsfluss bleiben können.

SSO kann sowohl On-Premise, hybrid als auch für Cloud-Szenarien eingesetzt werden. Moderne Implementierungen nutzen hierfür Protokolle wie:

Kerberos / SPNEGO (Windows-Integration)
SAML 2.0 (v. a. für Webanwendungen)
OpenID Connect (OIDC) (moderne Cloud-/Mobile-Anwendungen)
X.509-Zertifikate & mTLS (zertifikatsbasierte Authentifizierung)

SAP Single Sign-On 2.0

SAP Single Sign-On 2.0 war der erste Nachfolger des 2011 entwickelten SAP Single Sign-On. Es brachte das Grundmodell mit mehr Sicherheit und erhöhtem Benutzerkomfort auf eine neue Stufe. Die Version unterstützt eine Kerberos-basierte Authentifizierung und die Integration mit Microsoft Active Directory.

SAP Single Sign-On 3.0

Die neuste SSO-Version – SAP Single Sign-On 3.0 – bietet ein modernes User-Interface, bessere Integration von Cloud-Diensten und eine breite Unterstützung für mobile Anwendungen und Webportale. Sie können die Version 2.0 problemlos auf 3.0 upgraden, denn bis auf die neuen Unterstützungen bleiben die Grundfunktionen größtenteils gleich zum Vorgänger.

SAP Secure Login Service for SAP GUI: Die moderne SSO-Lösung

Mit dem „SAP Secure Login Service for SAP GUI“ (SLS) bietet SAP die zukunftssichere Nachfolgelösung zu SAP Single Sign-On 3.0, dessen Wartung im Jahr 2027 ausläuft.

Die Vorteile des neuen Secure Login Service sind unter anderem:

Integration in SAP Business Technology Platform (BTP)
Cloud-native Bereitstellung
Kein eigenes Zertifikatsmanagement notwendig
Unterstützung für zentrale IdPs (z. B. Azure AD, Ping, Okta)
Zentrale Richtlinienverwaltung via Cloud Identity Services

Damit wird SLS in Zukunft zur strategischen SSO-Plattform für hybride und Cloud-Landschaften in SAP.

Einhaltung gesetzlicher Meldepflichten

Mit der voraussichtlichen Umsetzung der NIS-2-Richtlinie im deutschen Recht werden ab 2025 strengere Meldefristen gelten. Demnach müssen Unternehmen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden nach Kenntniserlangung melden. Ein aktuelles und säuberlich dokumentiertes SAP Compliance-Framework hilft Ihnen, diese Richtlinien rechtzeitig zu erfüllen.

Das Single Sign-On-Verfahren – Wie funktioniert SSO?

Das Single Sign-On-Verfahren basiert auf dem Prinzip der einmaligen Authentifizierung:

Der Benutzer meldet sich einmalig über ein zentrales System, beispielsweise über Ihr Firmenportal, an.
Das System erstellt nach erfolgreicher Anmeldung ein Authentifizierungs-Ticket.
Die angebundenen SAP-Systeme überprüfen das Ticket.
Wird das Ticket validiert, kann der Benutzer nun ohne weitere Authentifizierungen auf die angebundenen SAP-Systeme zugreifen.

Die Tokenausgabe funktioniert unter anderem über das Kerberos-Protokoll. Hier stellt das Key Distribution Center ein verschlüsseltes Ticket von einem sicheren, zentralen Server aus. Um Sicherheitsrisiken zu minimieren, besitzen die Tickets nur eine begrenzte Gültigkeit. Ist das angeforderte Ticket abgelaufen, muss der Besitzer ein neues anfordern.

Authentifizierungsverfahren im Überblick

Verfahren	Funktion	Einsatz
Kerberos / SPNEGO	Nahtlose Windows-Integration durch Vertrauensstellung mit Active Directory	Ideal für klassische Intranet-Szenarien
SAML 2.0	Webbasiertes Authentifizierungsprotokoll	Für Browserzugriffe auf SAP-Systeme wie Fiori Launchpad, SAP BTP oder SAP Analytics Cloud
OpenID Connect (OIDC)	Token-basierte Authentifizierung (OAuth 2.0) mit modernen Sicherheitsstandards	Für Cloud-native Anwendungen zunehmend bevorzugt
X.509 / mTLS	Zertifikatsbasierte Authentifizierung mit höchstem Sicherheitsniveau	Einsatz in besonders sensiblen Systemlandschaften

Was sind die Vorteile von SAP SSO?

Unabhängig der einzelnen Methoden bringt SAP Single Sign-On einige Vorteile für Ihr Unternehmen mit sich. Sie alle stehen unter dem Motto ‘Mehr Komfort und Effizienz – weniger Passwortchaos’:

Kosteneffizienz: Ihre Mitarbeiter müssen sich nicht mehr für jeden neuen Arbeitsschritt in ein weiteres SAP-Programm einloggen, was lästige Unterbrechungen im Arbeitsfluss reduziert. Außerdem entlastet SSO Ihre interne IT-Abteilung, denn Mitarbeiter erstellen weniger Helpdesk-Tickets für vergessene Passwörter.
Sicherheit: Die Authentifizierungsmechanismen (Kerberos, SAML 2.0, X.509 und 2FA) in SAP SSO haben einen hohen Sicherheitsstandard.
Compliance: Sie können alle Anmeldungen über SSO zentral protokollieren lassen und somit leichter Compliance und Regularien einhalten.
Benutzererfahrung: Auch Ihre Mitarbeiter werden Ihnen danken. Die einmalige, zentrale Anmeldung erspart lästige Passwortlisten und Unterbrechungen im Arbeitsfluss.

SSO im Fiori Launchpad

Fiori Launchpad ist das zentrale Einstiegstor für viele SAP Fiori-Anwendungen. Ist SSO im Fiori Launchpad aktiviert, können Benutzer direkt auf alle ihre Kacheln zugreifen, ohne sich erneut einloggen zu müssen. Auch das ist eine große Zeitersparnis und erleichtert Ihren Mitarbeitern den Arbeitsalltag.

Vor allem in der ‘New Work’ mit einem hohen Remote-Work- und Mobilgeräte-Anteil spielt die Zusammenarbeit von SAP SSO und dem Fiori Launchpad ihre Stärken aus. Mit Fiori und SAP Single Sign-On 3.0 ist SAP auf die Anforderungen der modernen Arbeit eingegangen und hat die User-Experience für mobile Benutzer stark verbessert.

Wie richte ich Single Sign-On in SAP ein?

Die Einrichtung von SAP Single Sign-On kann je nach angedachter Technologie (Kerberos, SAML 2.0, X.509) leicht variieren. Grundsätzlich erfolgt der Implementierungsprozess jedoch in 4 Schritten:

1. Gründliche Vorbereitung

Bevor Sie die eigentliche Implementierung starten, sollten Sie sich einige Fragen beantworten:

Besitzen Sie die notwendigen Lizenzen für SAP SSO?
Unterstützt Ihre aktuelle SAP-Landschaft die angedachten Authentifizierungsverfahren?
Haben Sie eine zentrale Benutzerverwaltung (z. B. SAP Identity Management)?

2. Installation der Komponenten

Installieren Sie die für Ihre gewählte Authentifizierungsvariante erforderlichen Komponenten. Sie bekommen die Komponenten für Single Sign-On über den SAP Marketplace.

Der SAP Secure Login Client auf Endgeräten
SAP NetWeaver SSO-Konfiguration auf Ihren jeweiligen ABAP- oder Java-Stacks
Spezifische Komponenten wie SAP Secure Login Server, wenn Sie X.509-Zertifikate verwenden

3. Konfiguration der Authentifizierungsmethode

Haben Sie die Vorbereitungen abgeschlossen, können Sie nun mit der Konfiguration beginnen.

Kerberos: Stellen Sie Ihr SAP-System so ein, dass die gewünschten Anwendungen die Kerberos-Tickets von einem Active Directory-Server akzeptieren.
SAML 2.0: Konfigurieren Sie Ihr SAP-System als Service Provider und binden Sie einen externen Identity Provider ein.
X.509: Richten Sie die zertifikatsbasierte Authentifizierung auf dem heruntergeladenen Secure Login Server ein. Dieser kann die Zertifikate für Benutzer ausstellen.

4. Integration mit SAP-Systemen

Anschließend passen Sie Ihr SAP-System (z. B. SAP ERP, SAP S/4HANA) an den SSO-Betrieb an:

Anpassung der Login-Methoden (z. B. SPNEGO für Kerberos oder SAML2 für SAML 2.0)
Import von Zertifikaten und Metadaten (bei SAML 2.0)
Aktivierung von Secure Network Communication (bei ABAP-Systemen)
Konfiguration von ICF-Diensten (bei Webzugriff)

Die SAP Single Sign-On-Implementierung erfordert höchste Sorgfalt und Aufmerksamkeit, damit SSO reibungslos funktionieren kann und keine schwerwiegenden Sicherheitslücken entstehen. Und hier kommt Xiting ins Spiel!

SAP Single Sign-On mit Xiting implementieren

Xiting unterstützt Sie mit jahrelanger Erfahrung als SAP-Dienstleister bei der Konzeption und Implementierung von SAP Single Sign-On.

Migrationsberatung (SAP SSO 2.0 / 3.0 → SLS)
Implementierung von Kerberos, SAML, OIDC oder X.509
Integration in Azure AD, Ping Identity, Okta u. v. m.

Doch hier ist nicht Schluss: Wir sehen uns als umfassende SAP-Berater an Ihrer Seite, geben professionelle Workshops und haben eigene Produkte wie die Xiting Authorizations Management Suite (XAMS) entwickelt, um Ihr SAP-System so einfach und zugänglich wie möglich zu gestalten.

Melden Sie sich noch heute unverbindlich und kostenfrei, um eine sichere und übersichtliche SAP-Landschaft zu genießen!

FAQ

Warum SAP Single Sign-On statt herkömmlicher Anmeldung nutzen?

Bei herkömmlichen Anmeldeverfahren müssen sich die Benutzer für jedes SAP-System separat einloggen, der Sicherheit wegen oftmals mit unterschiedlichen Passwörtern. Das ist benutzerunfreundlich und erhöht Sicherheitsrisiken in Ihrem Unternehmen. Mit Single Sign-On können Sie genannte Probleme vermeiden – das Verfahren ermöglicht es den Benutzern, mit einer sicheren und zentralen Anmeldung auf alle Systeme zugreifen zu können.

Wie hilft SAP SSO bei HCM?

Durch SAP HCM SSO können Ihre Mitarbeiter HR-Prozesse direkt und ohne zusätzliche Anmeldung durchführen, etwa für Urlaubsanträge oder Zeitbuchungen. Das steigert Effizienz und Benutzerfreundlichkeit, weil sie alle Teilschritte ohne lästige Unterbrechungen ausführen können.

Was sind Beispiele für SSO?

Ein typisches Beispiel für SSO außerhalb von SAP ist der Zugriff auf sämtliche Google-Dienste (z. B. Google Drive, Gmail, YouTube) mit nur einem Google-Konto. Sie melden sich beim ersten Dienst, den Sie aufrufen, an, und können die anderen Dienste ohne weitere Anmeldung nutzen.