Integrieren Sie Microsoft Entra ID in SAP HANA

  • 10 Minuten

Die Integration von SAP HANA mit Microsoft Entra ID bietet Ihnen die folgenden Vorteile:

  • Sie können in Microsoft Entra ID steuern, wer Zugriff auf SAP HANA hat.
  • Ihre Benutzer*innen können automatisch mit ihren Microsoft Entra-Konten bei SAP HANA angemeldet werden (SSO).
  • Sie können Ihre Konten über das Azure-Portal an einem zentralen Ort verwalten.

Zur Konfiguration der Microsoft  Entra-Integration in SAP HANA benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement.
  • Ein SAP HANA-Abonnement, das für einmaliges Anmelden (SSO) aktiviert ist.
  • Eine HANA-Instanz, die auf einer beliebigen öffentlichen IaaS-, lokalen oder Azure-VM ausgeführt wird.
  • Die XSA-Verwaltungswebschnittstelle und HANA Studio (auf der HANA-Instanz installiert).

Die Microsoft Entra-Integration in SAP HANA ermöglicht folgende Implementierung:

  • SAP HANA unterstützt IDP-initiiertes SSO
  • SAP HANA unterstützt die Just-In-Time-Benutzerbereitstellung

Um die Integration von SAP HANA in Microsoft Entra ID zu konfigurieren, fügen Sie zunächst SAP HANA aus dem Katalog der Liste mit den verwalteten SaaS-Apps hinzu.

Konfigurieren des einmaligen Anmeldens von Microsoft Entra

Führen Sie die folgenden Schritte aus, um Microsoft Entra-SSO mit SAP HANA zu konfigurieren:

  1. Konfigurieren Sie Microsoft Entra-SSO, um Ihren Benutzer*innen die Verwendung dieser Funktion zu ermöglichen.
  2. Konfigurieren Sie SAP HANA-SSO, um Benutzern die Verwendung dieses Features zu ermöglichen.
  3. Weisen Sie Microsoft Entra-Benutzer*innen zu, damit sie Microsoft Entra-Single Sign-On verwenden können.
  4. Erstellen Sie SAP HANA-Benutzer*innen, um äquivalente Konten in SAP HANA bereitzustellen, die mit den entsprechenden Microsoft Entra-Benutzerkonten verknüpft sind.

Konfigurieren von Microsoft Entra-SSO im Portal

  1. Um Microsoft Entra-SSO mit SAP HANA zu konfigurieren, wählen Sie im Azure-Portal auf der Seite für die SAP HANA-Anwendungsintegration die Option Einmaliges Anmelden aus.

  2. Wählen Sie im Dialogfeld SSO-Methode auswählen den Modus SAML/WS-Fed aus, um einmaliges Anmelden zu aktivieren.

  3. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf Bearbeiten, um das Dialogfeld Grundlegende SAML-Konfiguration zu öffnen.

  4. Führen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten die folgenden Schritte aus:

    1. Geben Sie im Textfeld Bezeichner den Wert HA100 ein.
    2. Geben Sie im Textfeld Antwort-URL eine URL im Format <https://Customer-SAP-instance-url/sap/hana/xs/saml/login.xscfunc> ein. Um den tatsächlichen Wert zu erhalten, können Sie sich an das SAP HANA Client-Supportteam wenden.
    3. Die SAP HANA-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Konfigurieren Sie die folgenden Ansprüche für diese Anwendung: givenname (Vorname), surname (Nachname), emailaddress (E-Mail-Adresse), name (Name) und Unique User Identifier (Eindeutige Benutzer-ID). Sie können die Werte dieser Attribute über den Abschnitt Benutzerattribute auf der Anwendungsintegrationsseite verwalten.

  5. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf Bearbeiten, um das Dialogfeld Benutzerattribute zu öffnen.

  6. Führen Sie auf der Seite Benutzerattribute und Ansprüche im Abschnitt Benutzerattribute die folgenden Schritte aus:

    1. Klicken Sie auf das Symbol Bearbeiten, um den Bereich Benutzeransprüche verwalten zu öffnen.
    2. Wählen Sie in der Liste Transformation die Option ExtractMailPrefix() aus.
    3. Wählen Sie in der Liste Parameter 1 die Option user.mail aus.
    4. Speichern Sie die Änderungen.

  7. Wählen Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat die Option Herunterladen, um den Ihren Anforderungen entsprechenden Verbundmetadaten-XML-Code aus den verfügbaren Optionen herunterzuladen und auf Ihrem Computer zu speichern.

Konfigurieren von SAP HANA-SSO

  1. Melden Sie sich zum Konfigurieren des einmaligen Anmeldens auf SAP HANA-Seite bei Ihrer HANA XSA-Webkonsole an, indem Sie zum entsprechenden HTTPS-Endpunkt wechseln.

    Hinweis

    In der Standardkonfiguration leitet die URL die Anforderung an einen Anmeldebildschirm weiter. Dafür sind die Anmeldeinformationen eines authentifizierten SAP HANA-Datenbankbenutzers erforderlich. Der Benutzer, der sich anmeldet, benötigt Berechtigungen zum Ausführen von SAML-Verwaltungsaufgaben.

  2. Navigieren Sie in der XSA-Webschnittstelle zu SAML-Identitätsanbieter. Klicken Sie dort am unteren Rand des Bildschirms auf die Schaltfläche + , um den Bereich + (Identitätsanbieterinformationen hinzufügen) anzuzeigen.

  3. Fügen Sie im Bereich Add Identity Provider Info (Informationen zum Identitätsanbieter hinzufügen) den Inhalt der Metadaten-XML (die Sie aus dem Azure-Portal heruntergeladen haben) in das Feld Metadata (Metadaten) ein.

  4. Wenn der Inhalt des XML-Dokuments gültig ist, extrahiert der Analyseprozess die Informationen, die für die Felder Subject, Entity ID, and Issuer (Antragsteller, Entitäts-ID, Zertifikataussteller) im Bildschirmbereich General data (Allgemeine Daten) erforderlich sind. Außerdem werden die Informationen extrahiert, die für die URL-Felder im Bildschirmbereich Destination (Ziel) benötigt werden, z. B. die Felder „Base URL“ (Basis-URL) und „SingleSignOn URL“ (*).

  5. Geben Sie im Bildschirmbereich General Data (Allgemeine Daten) im Feld Name einen Namen für den neuen SAML-SSO-Identitätsanbieter ein.

    Hinweis

    Der Name des SAML-IDP ist zwingend erforderlich und muss eindeutig sein. Er wird in der Liste der verfügbaren SAML-IDPs aufgeführt, die angezeigt wird, wenn Sie SAML als Authentifizierungsmethode für SAP HANA-XS-Anwendungen auswählen. Dieser Schritt kann beispielsweise im Bildschirmbereich Authentication (Authentifizierung) des XS-Tools für die Artefaktverwaltung ausgeführt werden.

  6. Wählen Sie Save (Speichern), um die Details des SAML-Identitätsanbieters zu speichern und den neuen SAML-IDP zur Liste der bekannten SAML-Identitätsanbieter hinzuzufügen.

  7. Filtern Sie in HANA Studio in den Systemeigenschaften der Registerkarte Configuration (Konfiguration) die Einstellungen nach saml. Ändern Sie dann den Wert für assertion_timeout (Assertionstimeout) von 10 Sekunden in 120 Sekunden.

Zuweisen von Microsoft Entra-Benutzern

  1. Wählen Sie im Azure-Portal die Option Unternehmensanwendungen aus, und wählen Sie dann Alle Anwendungen und SAP HANA aus.
  2. Wählen Sie in der Anwendungsliste den Eintrag SAP HANA aus.

Erstellen von SAP HANA-Benutzern

Damit sich Microsoft Entra-Benutzer*innen bei SAP HANA anmelden können, müssen Sie sie in SAP HANA bereitstellen. SAP HANA unterstützt die Just-in-Time-Bereitstellung, die standardmäßig aktiviert ist.

Wenn Sie manuell einen Benutzer erstellen müssen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie SAP HANA Studio als Administrator, und aktivieren Sie den Datenbankbenutzer für SAML-SSO.

  2. Aktivieren Sie das Kontrollkästchen links von „SAML“, und klicken Sie dann auf den Link Configure (Konfigurieren).

  3. Klicken Sie auf Add (Hinzufügen), um den SAML-IDP hinzuzufügen. Wählen Sie den entsprechenden SAML-IDP aus, und klicken Sie dann auf OK.

  4. Fügen Sie die External Identity (Externe Identität) hinzu, oder wählen Sie Any (Beliebig) aus. Klicken Sie anschließend auf OK.

    Hinweis

    Wenn das Kontrollkästchen Any (Beliebig) nicht aktiviert ist, muss der Benutzername in HANA genau mit dem Namen des Benutzers oder der Benutzerin im UPN vor dem Domänensuffix übereinstimmen.

  5. Weisen Sie dem Benutzer die relevanten Rollen zu.

  6. Um das Ergebnis zu überprüfen, klicken Sie im Zugriffsbereich auf die Kachel SAP HANA. Sie sollten automatisch bei der SAP HANA-Instanz angemeldet werden, für die Sie SSO eingerichtet haben.