Integración de Microsoft Entra ID con SAP HANA

  • 10 minutos

La integración de SAP HANA con Microsoft Entra ID le proporciona las siguientes ventajas:

  • Puede controlar en Microsoft Entra ID quién tiene acceso a SAP HANA.
  • Puede permitir que los usuarios inicien sesión automáticamente en SAP HANA (inicio de sesión único) con sus cuentas de Microsoft Entra.
  • Puede administrar sus cuentas en una ubicación central: Azure Portal.

Para configurar la integración de Microsoft Entra con SAP HANA, necesita lo siguiente:

  • Una suscripción a Microsoft Entra.
  • Una suscripción de SAP HANA habilitada para el inicio de sesión único (SSO).
  • Una instancia de HANA que se ejecute en cualquier IaaS pública, en el entorno local o en una máquina virtual de Azure.
  • Interfaz web de XSA Administration y HANA Studio instalados en la instancia de HANA.

La integración de Microsoft Entra con SAP HANA permite implementar:

  • Compatibilidad de SAP HANA con SSO iniciado por IDP.
  • Compatibilidad de SAP HANA con el aprovisionamiento de usuarios cuando es necesario.

Para configurar la integración de SAP HANA con Microsoft Entra ID, agregue primero SAP HANA desde la galería a su lista de aplicaciones SaaS administradas.

Configuración del inicio de sesión único de Microsoft Entra

Para configurar el inicio de sesión único de Microsoft Entra con SAP HANA, siga estos pasos:

  1. Configure el inicio de sesión único de Microsoft Entra para permitir que los usuarios usen esta característica.
  2. Configure el inicio de sesión de SAP HANA para especificar la configuración de inicio de sesión único en la aplicación.
  3. Asigne usuarios de Microsoft Entra a los que permitirles usar el inicio de sesión único de Microsoft Entra.
  4. Cree usuarios de SAP HANA para aprovisionar cuentas equivalentes en SAP HANA vinculadas a las cuentas de usuario de Microsoft Entra correspondientes.

Configuración del inicio de sesión único de Microsoft Entra en el portal

  1. Para configurar el inicio de sesión único de Microsoft Entra con SAP HANA, en Azure Portal, en la página de integración de la aplicación SAP HANA, seleccione Inicio de sesión único.

  2. En el cuadro de diálogo Seleccione un método de inicio de sesión único, elija el modo SAML/WS-Fed para habilitar el inicio de sesión único.

  3. En la página Configuración del inicio de sesión único con SAML, seleccione el icono Editar para abrir el cuadro de diálogo Configuración básica de SAML.

  4. En la página Configurar inicio de sesión único con SAML realice los siguientes pasos:

    1. En el cuadro de texto Identificador, escriba HA100.
    2. En el cuadro de texto URL de respuesta, escriba una dirección URL con el formato <https://Customer-SAP-instance-url/sap/hana/xs/saml/login.xscfunc>. Para obtener el valor real, puede ponerse en contacto con el equipo de soporte técnico de SAP HANA.
    3. La aplicación SAP HANA espera las aserciones de SAML en un formato específico. Configure las siguientes notificaciones para esta aplicación: nombreproporcionado, apellido, direccióncorreoelectrónico, nombre e Identificador de usuario único. Puede administrar los valores de estos atributos en la sección Atributos de usuario de la página de integración de aplicaciones.

  5. En la página Configuración del inicio de sesión único con SAML, seleccione el botón Editar para abrir el cuadro de diálogo Atributos de usuario.

  6. En la sección Atributos de usuario de la página Atributos y notificaciones de usuario, realice los pasos siguientes:

    1. Haga clic en el iconoEditar para abrir el panel Administrar las notificaciones del usuario.
    2. En la lista Transformación, seleccione ExtractMailPrefix() .
    3. Desde la lista Parámetro 1, seleccione user.mail.
    4. Guarde los cambios.

  7. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, seleccione Descargar para descargar el XML de metadatos de federación de las opciones proporcionadas según sus requisitos y guárdalo en el equipo.

Configuración del inicio de sesión único de SAP HANA

  1. Para configurar el inicio de sesión único en SAP HANA, inicie sesión en la consola web de HANA XSA en el punto de conexión HTTPS correspondiente.

    Nota:

    En la configuración predeterminada, la dirección URL redirige la solicitud a una pantalla de inicio de sesión, que requiere las credenciales de un usuario de base de datos de SAP HANA autenticado. El usuario que inicie sesión debe tener los permisos para realizar las tareas de administración de SAML.

  2. En la interfaz web de XSA, vaya al proveedor de identidades SAML. A partir de ahí, seleccione el botón + en la parte inferior de la pantalla para mostrar el panel + (Agregar información del proveedor de identidades).

  3. En el panel Add Identity Provider Info (Agregar información del proveedor de identidades), pegue el contenido del archivo XML de metadatos (que descargó de Azure Portal) en el cuadro Metadata (Metadatos).

  4. Si el contenido del documento XML es válido, el proceso de análisis extrae la información necesaria para los campos Asunto, Id. de entidad y Emisor del área de pantalla Datos generales. También extrae la información necesaria para los campos de dirección URL del área Destino de la pantalla; por ejemplo, los campos Dirección URL base y SingleSignOn URL (Dirección URL de inicio de sesión único) (*).

  5. En el cuadro Nombre del área de pantalla Datos generales, escriba un nombre para el nuevo proveedor de identidades de SSO de SAML.

    Nota:

    El nombre del proveedor de identidades de SAML es obligatorio y debe ser único. Aparece en la lista de proveedores de identidades de SAML disponibles que se muestra cuando se selecciona SAML como método de autenticación que debe usarse para aplicaciones SAP HANA XS. Por ejemplo, puede hacer eso en el área de pantalla Autenticación de la herramienta XS Artifact Administration.

  6. Seleccione Guardar para guardar los detalles del proveedor de identidades de SAML y para agregar el nuevo proveedor de identidades de SAML a la lista de conocidos.

  7. En HANA Studio, en las propiedades del sistema de la pestaña Configuration (Configuración), filtre los valores porsaml. A continuación, ajuste el valor de assertion_timeout de 10 s a 120 s.

Asignación de usuarios de Microsoft Entra

  1. En Azure Portal, seleccione Aplicaciones empresariales, Todas las aplicaciones, SAP HANA.
  2. En la lista de aplicaciones, seleccione SAP HANA.

Creación de usuarios de SAP HANA

Para permitir que los usuarios de Microsoft Entra inicien sesión en SAP HANA, debe aprovisionarlos en SAP HANA. SAP HANA admite el aprovisionamiento Just-In-Time, que está habilitado de forma predeterminada.

Si tiene que crear manualmente un usuario, siga los pasos siguientes:

  1. Abra SAP HANA Studio como administrador y, después, active el usuario de base de datos de SSO de SAML.

  2. Seleccione la casilla que está a la izquierda de SAML y elija el vínculo Configure (Configurar).

  3. Seleccione Agregar para agregar el proveedor de identidades de SAML. Seleccione el proveedor de identidades de SAML adecuado y, después, seleccione Aceptar.

  4. Agregue la identidad externa en External Identity o elija Any (Cualquiera). Después, seleccione Aceptar.

    Nota:

    Si la casilla Any (Cualquiera) no está seleccionada, el nombre de usuario de HANA debe coincidir exactamente con el nombre del usuario del UPN antes del sufijo del dominio.

  5. Asigne los roles pertinentes al usuario.

  6. Para comprobar el resultado, seleccione el icono SAP HANA en el Panel de acceso. Debería iniciar sesión automáticamente en la instancia de SAP HANA para la que ha configurado el inicio de sesión único.