Aktueller Release

Fehlerbehebung bei SAP SSO über SNC

495 views 0 Updated on November 27, 2025

Wir unterstützen die Identitätsweitergabe über SAP Secure Network Connection (SNC) auf ARM-basierten Umgebungen nicht.

Verifizierung des eigenen Zertifikats fehlgeschlagen (A2210210)

Falls Sie die Meldung erhalten, dass die Überprüfung des eigenen Zertifikats fehlgeschlagen ist, sollten Sie überprüfen, ob das erste Zertifikat von Simplifiers PSE Keystore korrekt in den SNC SAPCryptolib Keystore des gewünschten SAP-Systems importiert wurde.

In Simplifier können Sie einfach zu “Einstellungen” -> “SAP-Sicherheit” -> “PSE-Datei” navigieren und das erste Zertifikat aus der Liste herunterladen. Fahren Sie dann mit dem Importieren dieses Zertifikats in den SNC SAPCryptolib Keystore des gewünschten SAP-Systems fort.

Am Ende sollte die Situation wie in den folgenden Screenshots aussehen. Das SAP-eigene Zertifikat (im Screenshot z.B. CN=ID4) sollte ein Fremdzertifikat in Simplifiers PSE File sein und umgekehrt sollte das Simplifiers-eigene Zertifikat (hier z.B. CN=SimplifierCn) ein Fremdzertifikat in SAPs SNC SAPCryptolib Keystore sein.

Überprüfung des Peerzertifikats fehlgeschlagen (A2200210)

Wenn Sie die Fehlermeldung “peer certificate validation failed” erhalten, dann überprüfen Sie, ob Sie das “eigene Zertifikat” des Partner-SAP-Systems (des SNC SAPCryptolib Keystore) in den PSE Keystore Ihrer Simplifier-Instanz importiert haben.

Melden Sie sich am SAP-System an und navigieren Sie zu der Transaktion “STRUST”. Auf der linken Seite ist der zweite Eintrag von oben normalerweise der SNC SAPCryptolib Keystore. Wählen Sie diesen Schlüsselspeicher aus, dann sollte das erste Zertifikat in der Liste mit einem der Fremdzertifikate übereinstimmen, die Sie im Simplifier finden, wenn Sie zu “Einstellungen” -> “SAP-Sicherheit” -> “PSE-Datei” navigieren.

Wenn es dort fehlt, laden Sie das erste Zertifikat von SAP herunter (kodiert als Base64) und fügen Sie es über das “+”-Symbol oben rechts zu Simplifiers PSE-Datei hinzu.

Am Ende sollte die Situation wie in den obigen Screenshots aussehen.

Der tatsächliche Servername weicht ab (A2200202)

Wenn Sie die Fehlermeldung “Actual server name differs” erhalten, sollten Sie überprüfen, ob das Feld ‘SNC Partner’ im SAP-System der Anmeldemethode korrekt ist.

Falls der Common Name des ersten Zertifikats in Ihrem SAP SNC SAPCryptolib Keystore “SAP_PROD” ist, dann sollte der “SNC Partner” mit “CN=SAP_PROD” gefüllt werden.

Keine externen Authentifizierungsdaten angegeben

Wahrscheinlich wurde das Attribut “Geheimer Benutzer” nicht ausgefüllt. Stellen Sie sicher, dass Sie sich mit der gleichen Authentifizierung angemeldet haben, die in der Anmeldemethode des Konnektors verwendet wird, und dass die Authentifizierung einen User Secret hat.

Kein passender SAP-Benutzer gefunden

Wenn Sie die Fehlermeldung erhalten, dass kein passender SAP-Benutzer für die externe Benutzeridentität gefunden wurde, dann konnte kein Benutzer in der SAP-Tabelle VUSREXTID abgebildet werden.

Vergewissern Sie sich, dass der ExtID-Typ sowohl auf der Simplifier-Seite (er ist in der Login-Methode konfiguriert) als auch auf der SAP-Seite korrekt ist (in den Screenshots ist er z.B. “LD” für LDAP) und dass der Wert der ExtID im Benutzergeheimnis Ihrer Authentifizierung wie erwartet ist und einem Wert auf der linken Seite in VUSREXTID entspricht.

SNC-Name des Partnersystems nicht in ACL

Die SCN-Verbindung konnte nicht hergestellt werden. Stellen Sie sicher, dass Sie einen Eintrag in der ACL von SAP für ‘p:CN=<CN_OF_CERT_OF_YOUR_SIMPLIFIER_INSTANCE>’ haben und dass RFC, CPIC und ext. ID in diesem Eintrag aktiviert sind.

Siehe Beschreibung der Transaktion SNC0 in der Dokumentation.

Es wurden keine Anmeldeinformationen angegeben

Wenn Sie diese Meldung erhalten: Die SCN-Verbindung konnte nicht hergestellt werden. Bitte stellen Sie sicher, dass Sie den sap.cryptoLib.user und das Passwort in Ihren Einstellungen (z.B. in include.conf) gesetzt haben. Simplifier wird dort mit vorkonfigurierten Werten ausgeliefert – und insbesondere der Benutzerwert (“root”) muss nicht geändert werden.
Der Benutzer muss der Benutzer sein, der den Simplifier-Prozess ausführt.

Falls Sie das sap.cryptoLib.password ändern, müssen Sie Simplifiers PSE Keystore neu erstellen und die Zertifikate beider Seiten (SAP und Simplifier) wieder gegenseitig bekannt machen.

Bitte vergewissern Sie sich auch, dass die Umgebungsvariable SECUDIR korrekt gesetzt ist; normalerweise ist sie auf ‘/opt/simplifier/data/SapSecurity/SECUDIR’ gesetzt, wenn Simplifier in einer Docker-Umgebung läuft. Wenn Sie Simplifier wie vorgesehen ausführen, sollten keine Änderungen erforderlich sein.

Andere mögliche Probleme

In den folgenden Absätzen werden mögliche Probleme und deren Lösungen aufgelistet. Man muss dies manuell überprüfen (Zugriff auf das Host-System ist ERFORDERLICH)

Existenz (OS/HOST-SYSTEM)

  1. Die cred_v2 Datei im SECUDIR muss auf dem Betriebssystem vorhanden sein.
  2. Die PSE-Datei für den angegebenen EIGENEN NAMEN muss auf dem Betriebssystem vorhanden sein.

 

Zugang(JAVA/DOCKER)

  1. Die SAP Cryptographic Library arbeitet mit ABSOLUTE-Dateipfaden und nicht mit relativen Dateipfaden. Bitte stellen Sie sicher, dass der JAVA-Prozess auf den in der cred_v2 Datei angegebenen Pfad zugreifen kann

 

Berechtigungen (OS/DOCKER)

  1. Die cred_v2 Datei im Verzeichnis SECUDIR benötigt READ-Permissions für den aktuell laufenden Benutzer.
  2. Jeder Teil des Pfads zur cred_v2 Datei erfordert auch READ-Permissions für den aktuell ausgeführten Benutzer.
  3. Die PSE-Datei , die für den angegebenen EIGENEN NAMEN verwendet wird, erfordert READ-Permissions für den aktuell laufenden Benutzer.

 

 

Eigener Name (bereitgestellter allgemeiner Name der PSE-Datei) (OS/SIMPLIFIER ADMIN UI)

Der Inhalt der cred_v2 Datei kann im SIMPLIFIER ADMIN UI auf der Unterregisterkarte PSE-Datei unter der Registerkarte SAP Security mit der Schaltfläche Show Credentials eingesehen werden.

  1. Der angegebene OWN NAME muss über einen Eintrag in der Anmeldeinformationsdatei verfügen.
    1. Bitte achten Sie auf Tippfehler, ein Leerzeichen ist ein GÜLTIGES Zeichen nach dem CN= Teil des eigenen Namens
    2. Bitte stellen Sie sicher, dass die richtige cred_v2 Datei verwendet wurde (korrekter Wert für die Umgebungsvariable SECUDIR)
  2. Der angegebene OWN NAME muss für den aktuell laufenden Benutzer lesbar sein.
  3. Der angegebene EIGENE NAME darf nicht mehr als einen Eintrag in der Credential-Datei haben (in der cred_v2-Datei KÖNNEN mehrere verschiedene PSE-Dateien referenziert werden)

Die Umgebungsvariable SECUDIR ist nicht gesetzt

Die SCN-Verbindung konnte nicht hergestellt werden, da die Umgebungsvariable SECUDIR nicht gesetzt ist. Stellen Sie sicher, dass Sie Simplifier mit dem richtigen run.sh ausführen, dann sollte die Umgebungsvariable SECUDIR auf ‘/opt/simplifier/data/SapSecurity/SECUDIR’ gesetzt werden. Dies ist der Ort, an dem eine cred_v2 Datei abgelegt wird. Diese Datei wird bei der Erstellung des Keystores erstellt und legt fest, welcher Prozessbenutzer auf den PSE-Keystore von Simplifier zugreifen kann.

Tags:
Related Articles
Previous
Einrichten eines externen Identitätsanbieters
Next
SAP SSO über SNC und Identity Provider
simplifier_makers-club_logo

Company Website
Simplifier for SAP
makersXchange
Changelog

AI Manifesto
Go Campus
Media
Mobile Client

Data Privacy
Terms & Conditions
Imprint
Contact

© 2012-2025 Simplifier AG