Aktueller Release

Fehlerbehebung bei SAP SSO über SNC

547 views 0 Updated on December 11, 2025

Wir unterstützen keine Identitätsübertragung über SAP Secure Network Connection (SNC) in ARM-basierten Umgebungen.

Verifizierung des eigenen Zertifikats fehlgeschlagen (A2210210)

Falls Sie die Meldung erhalten, dass die Verifizierung des eigenen Zertifikats fehlgeschlagen ist, sollten Sie überprüfen, ob das erste Zertifikat des Simplifier PSE Keystore korrekt in den SNC SAPCryptolib Keystore des gewünschten SAP-Systems importiert wurde.

In Simplifier können Sie einfach zu “Einstellungen” -> “SAP-Sicherheit” -> “PSE-Datei” navigieren und das erste Zertifikat in der Liste herunterladen. Fahren Sie dann mit dem Import dieses Zertifikats in den SNC SAPCryptolib Keystore des gewünschten SAP-Systems fort.

Am Ende sollte die Situation wie in den Screenshots unten aussehen. Das eigene Zertifikat von SAP (im Screenshot z. B. CN=ID4) sollte ein fremdes Zertifikat in der PSE-Datei von Simplifier sein und umgekehrt sollte das eigene Zertifikat von Simplifier (hier z. B. CN=SimplifierCn) ein fremdes Zertifikat im SNC SAPCryptolib Keystore von SAP sein.

Peer-Zertifikatsverifizierung fehlgeschlagen (A2200210)

Wenn der Fehler “Peer-Zertifikatsvalidierung fehlgeschlagen” auftritt, überprüfen Sie, ob Sie das ‘eigene Zertifikat’ des Partner-SAP-Systems (des SNC SAPCryptolib Keystore) in den PSE Keystore Ihrer Simplifier-Instanz importiert haben.

Melden Sie sich am SAP-System an und navigieren Sie zur Transaktion “STRUST”. Auf der linken Seite ist der zweite Eintrag von oben normalerweise der SNC SAPCryptolib Keystore. Wählen Sie diesen Keystore aus. Das erste Zertifikat in der Liste sollte mit einem der fremden Zertifikate übereinstimmen, die Sie in Simplifier finden, wenn Sie zu “Einstellungen” -> “SAP-Sicherheit” -> “PSE-Datei” navigieren.

Wenn es dort fehlt, laden Sie das erste Zertifikat von SAP herunter (als Base64 codiert) und fügen Sie es der PSE-Datei von Simplifier hinzu, indem Sie das Symbol “+” oben rechts verwenden.

Am Ende sollte die Situation wie in den obigen Screenshots aussehen.

Tatsächlicher Servername weicht ab (A2200202)

Wenn der Fehler “Tatsächlicher Servername weicht ab” auftritt, sollten Sie überprüfen, ob das Feld ‘SNC-Partner’ im SAP-System der Anmeldemethode korrekt ist.

Falls der Common Name des ersten Zertifikats in Ihrem SAPs SNC SAPCryptolib Keystore “SAP_PROD” lautet, sollte der ‘SNC-Partner’ mit “CN=SAP_PROD” gefüllt werden.

Keine externen Authentifizierungsdaten bereitgestellt

Wahrscheinlich wurde das Attribut Secret User nicht ausgefüllt. Stellen Sie sicher, dass Sie sich mit derselben Authentifizierung angemeldet haben, die in der Anmeldemethode des Konnektors verwendet wird, und dass die Authentifizierung ein User Secret hat.

Kein geeigneter SAP-Benutzer gefunden

Wenn der Fehler auftritt, dass kein geeigneter SAP-Benutzer für die externe Benutzeridentität gefunden wurde, konnte kein Benutzer in der SAP-Tabelle VUSREXTID zugeordnet werden.

Stellen Sie sicher, dass der ExtID-Typ sowohl auf der Simplifier-Seite (er wird in der Anmeldemethode konfiguriert) als auch auf der SAP-Seite korrekt ist (z. B. in den Screenshots ist er “LD” für LDAP) und dass der Wert der ExtID im User Secret Ihrer Authentifizierung wie erwartet ist und einem Wert auf der linken Seite in VUSREXTID entspricht.

SNC-Name des Partnersystems nicht in ACL

Die SCN-Verbindung konnte nicht hergestellt werden. Stellen Sie sicher, dass Sie einen Eintrag in der SAP-ACL für ‘p:CN=<CN_OF_CERT_OF_YOUR_SIMPLIFIER_INSTANCE>’ haben und dass RFC, CPIC und ext. ID in diesem Eintrag aktiviert sind.

Siehe Beschreibung der SNC0-Transaktion in der Dokumentation.

Es wurden keine Anmeldeinformationen angegeben

Wenn diese Meldung angezeigt wird: Die SCN-Verbindung konnte nicht hergestellt werden. Bitte stellen Sie sicher, dass Sie den sap.cryptoLib.user und das Passwort in Ihren Einstellungen (z. B. in include.conf) festgelegt haben. Simplifier wird dort mit vorkonfigurierten Werten ausgeliefert – und insbesondere der Benutzerwert (“root”) muss nicht geändert werden.
Der Benutzer muss der Benutzer sein, der den Simplifier-Prozess ausführt.

Falls Sie das sap.cryptoLib.password ändern, müssen Sie den PSE Keystore von Simplifier neu erstellen und das Verfahren durchführen, bei dem die Zertifikate jeder Seite (SAP und Simplifier) einander wieder bekannt gemacht werden.

Bitte stellen Sie außerdem sicher, dass die Umgebungsvariable SECUDIR korrekt gesetzt ist; typischerweise ist sie auf ‘/opt/simplifier/data/SapSecurity/SECUDIR’ gesetzt, wenn Simplifier in einer Docker-Umgebung ausgeführt wird. Wenn Sie Simplifier wie bereitgestellt ausführen, sollten keine Änderungen erforderlich sein.

Andere mögliche Probleme

In den folgenden Abschnitten werden mögliche Probleme und ihre Lösungen aufgeführt. Man muss manuell prüfen (Zugriff auf das Host-System ist ERFORDERLICH)

Existenz (OS/HOST-SYSTEM)

  1. Die cred_v2-Datei im SECUDIR muss auf dem Betriebssystem vorhanden sein.
  2. Die PSE-Datei für den bereitgestellten EIGENEN NAMEN muss auf dem Betriebssystem vorhanden sein.

 

Zugriff (JAVA/DOCKER)

  1. Die SAP Cryptographic Library arbeitet mit ABSOLUTEN Dateipfaden, NICHT RELATIVEN Dateipfaden. Bitte stellen Sie sicher, dass der JAVA-Prozess auf den in der cred_v2-Datei angegebenen Pfad zugreifen kann.

 

Berechtigungen (OS/DOCKER)

  1. Die cred_v2-Datei im SECUDIR-Verzeichnis benötigt READ-Berechtigungen für den aktuell ausgeführten Benutzer.
  2. Jeder Teil des Pfads zur cred_v2-Datei benötigt ebenfalls READ-Berechtigungen für den aktuell ausgeführten Benutzer.
  3. Die PSE-Datei, die für den bereitgestellten EIGENEN NAMEN verwendet wird, benötigt READ-Berechtigungen für den aktuell ausgeführten Benutzer.

 

 

Eigener Name (Bereitgestellter Common Name der PSE-Datei) (OS/SIMPLIFIER ADMIN UI)

Der Inhalt der cred_v2-Datei kann in der SIMPLIFIER ADMIN UI in der Unterregisterkarte PSE-Datei unter der Registerkarte SAP-Sicherheit mit der Schaltfläche Anmeldeinformationen anzeigen angezeigt werden.

  1. Der bereitgestellte EIGENE NAME muss einen Eintrag in der Anmeldeinformationsdatei haben.
    1. Bitte suchen Sie nach Tippfehlern, ein Leerzeichen ist ein GÜLTIGES Zeichen nach dem CN= Teil des eigenen Namens
    2. Bitte stellen Sie sicher, dass die korrekte cred_v2-Datei verwendet wurde (korrekter Wert für die Umgebungsvariable SECUDIR)
  2. Der bereitgestellte EIGENE NAME muss für den aktuell ausgeführten Benutzer lesbar sein
  3. Der bereitgestellte EIGENE NAME darf nicht mehr als einen Eintrag in der Anmeldeinformationsdatei haben (mehrere verschiedene PSE-Dateien KÖNNEN in der cred_v2-Datei referenziert werden)

Die Umgebungsvariable SECUDIR ist nicht gesetzt

Die SCN-Verbindung konnte nicht hergestellt werden, da die Umgebungsvariable SECUDIR nicht gesetzt ist. Stellen Sie sicher, dass Sie Simplifier mit der korrekten run.sh ausführen. Dann sollte die Umgebungsvariable SECUDIR auf ‘/opt/simplifier/data/SapSecurity/SECUDIR’ gesetzt sein. Dies ist der Ort, an dem eine cred_v2-Datei platziert wird. Diese Datei wird während der Erstellung des Keystore erstellt und definiert, welcher Prozessbenutzer auf den PSE Keystore von Simplifier zugreifen kann.

Tags:
Related Articles
Previous
Externen Identitätsanbieter einrichten
Next
SAP SSO über SNC und Identity Provider
simplifier_makers-club_logo

Company Website
Simplifier for SAP
makersXchange
Changelog

AI Manifesto
Go Campus
Media
Mobile Client

Data Privacy
Terms & Conditions
Imprint
Contact

© 2012-2025 Simplifier AG