Integrace MICROSOFT Entra ID se SAP HANA

  • 10 min

Integrace SAP HANA s Microsoft Entra ID poskytuje následující výhody:

  • V Microsoft Entra ID můžete řídit, kdo má přístup k SAP HANA.
  • Uživatelům můžete povolit automatické přihlášení k SAP HANA (jednotné přihlašování) pomocí svých účtů Microsoft Entra.
  • Účty můžete spravovat v jednom centrálním umístění – na webu Azure Portal.

Ke konfiguraci integrace Microsoft Entra se SAP HANA potřebujete následující položky:

  • Předplatné Microsoft Entra.
  • Předplatné SAP HANA, které je povolené jednotné přihlašování (SSO).
  • Instance HANA, která běží na libovolném veřejném IaaS, místním nebo virtuálním počítači Azure.
  • Webové rozhraní pro správu XSA a HANA Studio nainstalované v instanci HANA.

Integrace Microsoft Entra v SAP HANA umožňuje implementovat:

  • SAP HANA podporuje jednotné přihlašování iniciované protokolem IDP.
  • SAP HANA podporuje zřizování uživatelů za běhu

Pokud chcete nakonfigurovat integraci SAP HANA do Microsoft Entra ID, nejprve přidejte SAP HANA z galerie do seznamu spravovaných aplikací SaaS.

Konfigurace jednotného přihlašování Microsoft Entra

Pokud chcete nakonfigurovat jednotné přihlašování Microsoft Entra pomocí SAP HANA, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra, aby uživatelé mohli tuto funkci používat.
  2. Nakonfigurujte jednotné přihlašování SAP HANA tak, aby na straně aplikace nakonfigurovali nastavení jednotného přihlašování.
  3. Přiřaďte uživatelům Microsoft Entra, aby jim umožnili používat jednotné přihlašování Microsoft Entra.
  4. Vytvořte uživatele SAP HANA, kteří zřizují účty pro protějšky v SAP HANA propojené s odpovídajícími uživatelskými účty Microsoft Entra.

Konfigurace jednotného přihlašování Microsoft Entra na portálu

  1. Pokud chcete nakonfigurovat jednotné přihlašování Microsoft Entra pomocí SAP HANA, vyberte na webu Azure Portal na stránce integrace aplikace SAP HANA jednotné přihlašování.

  2. V dialogovém okně Vybrat metodu jednotného přihlašování vyberte režim SAML/WS-Fed a povolte jednotné přihlašování.

  3. Na stránce Nastavit jednotné přihlašování pomocí SAML vyberte ikonu Upravit a otevřete dialogové okno Základní konfigurace SAML.

  4. Na stránce Nastavení jednotného přihlašování pomocí SAML proveďte následující kroky:

    1. Do textového pole Identifikátor zadejte HA100.
    2. Do textového pole Adresa URL odpovědi zadejte adresu URL ve formátu <https://Customer-SAP-instance-url/sap/hana/xs/saml/login.xscfunc>. Pokud chcete získat jeho skutečnou hodnotu, můžete kontaktovat tým podpory klienta SAP HANA.
    3. Aplikace SAP HANA očekává kontrolní výrazy SAML v určitém formátu. Nakonfigurujte pro tuto aplikaci následující deklarace identity: dané jméno, příjmení, e-mailové adresy, jméno a jedinečný identifikátor uživatele. Hodnoty těchto atributů můžete spravovat v části Atributy uživatele na stránce integrace aplikace.

  5. Na stránce Nastavit jednotné přihlašování pomocí SAML vyberte tlačítko Upravit a otevřete dialogové okno Atributy uživatele.

  6. V části Atributy uživatele na stránce Atributy a deklarace identity uživatele proveďte následující kroky:

    1. Kliknutím na ikonu Upravit otevřete podokno Spravovat deklarace identity uživatelů.
    2. V seznamu transformace vyberte ExtractMailPrefix().
    3. V seznamu Parametr 1 vyberte user.mail.
    4. Uložte provedené změny.

  7. Na stránce Nastavit jednotné přihlašování pomocí SAML vyberte v části Podpisový certifikát SAML možnost Stáhnout a stáhněte xml federačních metadat z uvedených možností podle vašeho požadavku a uložte ho do počítače.

Konfigurace jednotného přihlašování SAP HANA

  1. Pokud chcete nakonfigurovat jednotné přihlašování na straně SAP HANA, přihlaste se k webové konzole HANA XSA tak, že přejdete na příslušný koncový bod HTTPS.

    Poznámka:

    Ve výchozí konfiguraci adresa URL přesměruje požadavek na přihlašovací obrazovku, která vyžaduje přihlašovací údaje ověřeného uživatele databáze SAP HANA. Uživatel, který se přihlásí, musí mít oprávnění k provádění úloh správy SAML.

  2. Ve webovém rozhraní XSA přejděte ke zprostředkovateli identity SAML. Odtud vyberte + tlačítko v dolní části obrazovky a zobrazte podokno Přidat informace o zprostředkovateli identity.

  3. V podokně Přidat informace o zprostředkovateli identity vložte do pole Metadata obsah XML metadat (který jste stáhli z webu Azure Portal).

  4. Pokud je obsah dokumentu XML platný, proces analýzy extrahuje informace, které jsou požadovány pro pole Předmět, ID entity a Vystavitel v oblasti Obecná datová obrazovka. Extrahuje také informace potřebné pro pole adresy URL v oblasti cílové obrazovky, například pole Základní adresa URL a Adresa URL singleSignOn (*).

  5. Do pole Název v oblasti Obecné data zadejte název nového zprostředkovatele identity jednotného přihlašování SAML.

    Poznámka:

    Název ZDP SAML je povinný a musí být jedinečný. Zobrazí se v seznamu dostupných zprostředkovatele IDENTITY SAML, které se zobrazí, když jako metodu ověřování pro aplikace SAP HANA XS vyberete SAML. Můžete to například provést v oblasti obrazovka Ověřování nástroje Pro správu artefaktů XS.

  6. Výběrem možnosti Uložit uložte podrobnosti o zprostředkovateli identity SAML a přidejte nový PROTOKOL IDP SAML do seznamu známých zprostředkovatelů IDENTITY SAML.

  7. V nástroji HANA Studio v rámci systémových vlastností na kartě Konfigurace vyfiltrujte nastavení podle saml. Potom upravte assertion_timeout od 10 sekund do 120 sekund.

Přiřazení uživatelů Microsoft Entra

  1. Na webu Azure Portal vyberte Podnikové aplikace, vyberte Všechny aplikace a pak vyberte SAP HANA.
  2. V seznamu aplikací vyberte SAP HANA.

Vytváření uživatelů SAP HANA

Pokud chcete uživatelům Microsoft Entra povolit přihlášení k SAP HANA, musíte je zřídit v SAP HANA. SAP HANA podporuje zřizování za běhu, které je ve výchozím nastavení povolené.

Pokud potřebujete uživatele vytvořit ručně, postupujte následovně:

  1. Otevřete SAP HANA Studio jako správce a povolte uživatele DB-User pro jednotné přihlašování SAML.

  2. Zaškrtněte políčko vlevo od SAML a pak vyberte odkaz Konfigurovat .

  3. Vyberte Přidat a přidejte protokol IDP SAML. Vyberte příslušný protokol IDP SAML a pak vyberte OK.

  4. Přidejte externí identitu nebo zvolte Libovolnou. Pak vyberte OK.

    Poznámka:

    Pokud není zaškrtnuté políčko Jakýkoliv , musí se uživatelské jméno v HANA přesně shodovat s názvem uživatele v hlavním názvu uživatele před příponou domény.

  5. Přiřaďte uživateli příslušné role.

  6. Pokud chcete ověřit výsledek, vyberte dlaždici SAP HANA v Přístupový panel. Měli byste být automaticky přihlášení k SAP HANA, pro kterou jste nastavili jednotné přihlašování.