Intégrer Microsoft Entra ID à SAP HANA

  • 10 minutes

L'intégration de SAP HANA à Microsoft Entra ID vous offre les avantages suivants :

  • Dans Microsoft Entra ID, vous pouvez contrôler tous les accès à SAP HANA.
  • Vous pouvez activer la connexion automatique à SAP HANA pour vos utilisateurs (authentification unique) via leurs comptes Microsoft Entra.
  • Vous pouvez gérer vos comptes dans un emplacement central : le portail Azure

Pour configurer l’intégration de Microsoft Entra à SAP HANA, vous avez besoin des éléments suivants :

  • Un abonnement Microsoft Entra.
  • Un abonnement SAP HANA pour lequel l’authentification unique (SSO) est activée.
  • Une instance HANA qui s’exécute localement, sur n’importe quel IaaS public ou sur une machine virtuelle Azure.
  • L’interface web d’administration XSA et HANA Studio sont installés sur l’instance HANA.

L'intégration de Microsoft Entra à SAP HANA vous permet les mises en œuvre suivantes :

  • SAP HANA prend en charge l’authentification unique initiée par IDP
  • SAP HANA prend en charge la configuration d'utilisateur en temps réel

Pour configurer l'intégration de SAP HANA à Microsoft Entra ID, ajoutez au préalable SAP HANA de la galerie à votre liste d'applications SaaS gérées.

Configurer l'authentification unique Microsoft Entra

Pour configurer l'authentification unique Microsoft Entra avec SAP HANA, suivez les étapes suivantes :

  1. Configurez l'authentification unique Microsoft Entra afin de permettre aux utilisateurs d'utiliser cette fonctionnalité.
  2. Configurez l’authentification unique SAP HANA pour configurer les paramètres d’authentification unique côté application.
  3. Attribuez des utilisateurs Microsoft Entra pour leur permettre d'utiliser l'authentification unique Microsoft Entra.
  4. Créez des utilisateurs SAP HANA pour approvisionner des comptes homologues dans SAP HANA liés aux comptes d'utilisateur Microsoft Entra correspondants.

Configurer l'authentification unique Microsoft Entra dans le portail

  1. Pour configurer l'authentification unique Microsoft Entra avec SAP HANA, dans le portail Azure, sur la page d'intégration de l'application SAP HANA, sélectionnez Authentification unique.

  2. Dans la boîte de dialogue Sélectionner une méthode d’authentification unique, sélectionnez le mode SAML/WS-Fed afin d’activer l’authentification unique.

  3. Dans la page Configurer l’authentification unique avec SAML, sélectionnez l’icône Modifier pour ouvrir la boîte de dialogue Configuration SAML de base.

  4. Sur la page Configurer l’authentification unique avec SAML, effectuez les étapes suivantes :

    1. Dans la zone de texte Identificateur, tapez HA100.
    2. Dans la zone de texte URL de réponse, tapez une URL au format <https://Customer-SAP-instance-url/sap/hana/xs/saml/login.xscfunc>. Pour obtenir sa valeur réelle, vous pouvez contacter l’équipe de support technique SAP HANA.
    3. L’application SAP HANA attend les assertions SAML dans un format spécifique. Configurez les revendications pertinentes pour cette application : givenname, surname, emailaddress, name et Unique User Identifier. Vous pouvez gérer les valeurs de ces attributs à partir de la section « Attributs utilisateur » sur la page d’intégration des applications.

  5. Dans la page Configurer l’authentification unique avec SAML, cliquez sur le bouton Modifier pour ouvrir la boîte de dialogue Attributs utilisateur.

  6. Dans la section Attributs utilisateur de la page Attributs utilisateur et revendications, procédez comme suit :

    1. Cliquez sur l’icône Modifier pour ouvrir le volet Gérer les revendications utilisateur.
    2. Dans la liste Transformation, sélectionnez ExtractMailPrefix() .
    3. Dans la liste Paramètre 1, sélectionnez user.mail.
    4. Enregistrez vos modifications.

  7. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, sélectionnez Télécharger pour télécharger le fichier XML de métadonnées de fédération en fonction des options que vous avez définies par rapport à vos besoins, puis enregistrez-le sur votre ordinateur.

Configurer l’authentification unique SAP HANA

  1. Pour configurer l’authentification unique côté SAP HANA, connectez-vous à votre console Web HANA XSA en accédant au point de terminaison HTTPS correspondant.

    Notes

    Dans la configuration par défaut, l’URL redirige la requête vers un écran d’ouverture de session, où les informations d’identification d’un utilisateur de la base de données SAP HANA agréé sont nécessaires. L’utilisateur qui se connecte doit avoir les autorisations nécessaires pour effectuer des tâches d’administration SAML.

  2. Dans l’Interface web XSA, accédez à SAML Identity Provider (Fournisseur d’identité SAML). Ensuite, sélectionnez le bouton + en bas de l’écran pour afficher le volet + (Ajouter les informations du fournisseur d’identité).

  3. Dans le volet Ajouter des informations sur le fournisseur d’identité, collez le contenu du fichier XML de métadonnées (que vous avez téléchargé à partir du portail Azure) dans la zone Métadonnées.

  4. Si le contenu du document XML est valide, le processus d’analyse extrait les informations requises pour les champs Subject, Entity ID et Issuer (Sujet, ID d’entité et Émetteur) dans la zone d’écran General data (Données générales). Cela extrait également les informations nécessaires aux champs d’URL dans la zone d’écran Destination, par exemple les champs URL de base et URL d’authentification unique (*).

  5. Dans la zone Nom de la zone d’écran General Data (Données générales), entrez un nom pour le nouveau fournisseur d’identité d’authentification unique SAML.

    Notes

    Le nom du fournisseur d’identité SAML est obligatoire et doit être unique. Il apparaît dans la liste des fournisseurs d’identité SAML disponibles qui s’affiche quand vous sélectionnez SAML comme méthode d’authentification pour les applications SAP HANA XS à utiliser. Par exemple, vous pouvez faire cela dans la zone d’écran Authentication (Authentification) de l’outil d’administration d’artefact XS.

  6. Sélectionnez Save (Enregistrer) pour enregistrer les détails du fournisseur d’identité SAML et ajouter le nouveau fournisseur d’identité SAML à la liste des fournisseurs d’identité SAML connus.

  7. Dans HANA Studio, dans les propriétés système de l’onglet Configuration, filtrez les paramètres par saml. Ajustez ensuite une valeur assertion_timeout comprise entre 10 et 120 s.

Attribuer des utilisateurs Microsoft Entra

  1. Dans le portail Azure, sélectionnez Applications d’entreprise, Toutes les applications, puis sélectionnez SAP HANA.
  2. Dans la liste des applications, sélectionnez SAP HANA.

Créer des utilisateurs SAP HANA

Pour permettre aux utilisateurs Microsoft Entra de se connecter à SAP HANA, vous devez les provisionner dans SAP HANA. SAP HANA prend en charge le provisionnement juste-à-temps, qui est activé par défaut.

Si vous avez besoin de créer un utilisateur manuellement, effectuez les étapes suivantes :

  1. Ouvrez SAP HANA Studio en tant qu’administrateur, puis activez l’utilisateur de base de données pour l’authentification unique SAML.

  2. Activez la case à cocher située à gauche de SAML, puis sélectionnez le lien Configurer.

  3. Sélectionnez Ajouter pour ajouter le fournisseur d’identité SAML. Sélectionnez le fournisseur d’identité SAML approprié, puis sélectionnez OK.

  4. Ajoutez l’Identité externe ou choisissez N’importe laquelle. Sélectionnez ensuite OK.

    Remarque

    Si la case à cocher N’importe lequel n’est pas sélectionnée, le nom d’utilisateur dans HANA doit correspondre exactement au nom de l’utilisateur dans l’UPN avant le suffixe de domaine.

  5. Affectez les rôles appropriés à l’utilisateur.

  6. Pour vérifier le résultat, sélectionnez la vignette SAP HANA dans le volet d’accès. Vous devriez vous connecter automatiquement à l’instance SAP HANA pour laquelle vous configurez l’authentification unique.