Integrar o Microsoft Entra ID ao SAP HANA

  • 10 minutos

A integração do SAP HANA ao Microsoft Entra ID oferece os seguintes benefícios:

  • Você pode controlar quem tem acesso ao SAP HANA no Microsoft Entra ID.
  • É possível habilitar seus usuários para que se conectem automaticamente ao SAP HANA (logon único) com suas contas do Microsoft Entra.
  • Você pode gerenciar suas contas em um único local central – o portal do Azure.

Para configurar a integração do Microsoft Entra ao SAP HANA, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra.
  • Uma assinatura do SAP HANA que é habilitada para SSO (logon único).
  • Uma instância do HANA em execução em qualquer IaaS pública, local ou Máquina Virtual do Azure.
  • A interface da Web de administração do XSA e o HANA Studio instalados na instância do HANA.

A integração do Microsoft Entra no SAP HANA permite que você implemente:

  • SAP HANA dá suporte ao SSO iniciado por IDP
  • SAP HANA dá suporte ao provisionamento de usuário just-in-time

Para configurar a integração do SAP HANA ao Microsoft Entra ID, você precisa adicionar o SAP HANA da galeria à sua lista de aplicativos SaaS gerenciados.

Configurar o logon único do Microsoft Entra

Para configurar o logon único do Microsoft Entra com o SAP HANA, conclua as seguintes etapas:

  1. Configure o logon único do Microsoft Entra para permitir que os usuários usem esse recurso.
  2. Configure o logon único do SAP HANA para definir as configurações de logon único no lado do aplicativo.
  3. Faça atribuição a usuários do Microsoft Entra para permitir que eles usem o logon único do Microsoft Entra.
  4. Crie usuários no SAP HANA para provisionar contas correspondentes nesse sistema vinculadas às contas de usuário correspondentes do Microsoft Entra.

Configurar o logon único do Microsoft Entra no portal

  1. Para configurar o logon único do Microsoft Entra com o SAP HANA, no portal do Azure, na página de integração de aplicativos do SAP HANA, selecione Logon único.

  2. Na caixa de diálogo Selecionar um método de logon único, selecione o modo SAML/WS-Fed para habilitar o logon único.

  3. Na página Configurar Logon Único com SAML, selecione o ícone Editar para abrir a caixa de diálogo Configuração Básica de SAML.

  4. Na página Configurar Logon Único com SAML, execute as seguintes etapas:

    1. Na caixa de texto Identificador, digite HA100.
    2. Na caixa de texto URL de resposta, digite uma URL no formato <https://Customer-SAP-instance-url/sap/hana/xs/saml/login.xscfunc>. Para obter seu valor real, você pode entrar em contato com a equipe de suporte técnico do SAP HANA.
    3. O aplicativo SAP HANA espera que as declarações SAML estejam em um formato específico. Configure as seguintes bdeclarações para este aplicativo, givenname, surname, emailaddress, name e o Identificador Exclusivo do Usuário. Você pode gerenciar os valores desses atributos da seção Atributos de Usuário na página de integração do aplicativo.

  5. Na página Configurar Logon Único com SAML, selecione o botão Editar para abrir a caixa de diálogo Atributos do Usuário.

  6. Na seção Atributos do usuário, na página Atributos e Declarações do Usuário, execute as seguintes etapas:

    1. Clique no ícone Editar para abrir o painel Gerenciar declarações do usuário.
    2. Na lista Transformação, selecione ExtractMailPrefix() .
    3. Na lista Parâmetro 1, selecione user.mail.
    4. Salve suas alterações.

  7. Na página Configurar Logon Único com SAML, na seção Certificado de Autenticação SAML, selecione Baixar para baixar o XML de Metadados de Federação usando as opções fornecidas de acordo com seus requisitos e salve-o no computador.

Configurar logon único do SAP HANA

  1. Para configurar o logon único no lado do SAP HANA, entre no Console Web do HANA XSA, acessando o respectivo ponto de extremidade HTTPS.

    Observação

    Na configuração padrão, a URL redireciona a solicitação para uma tela de logon, o que exige as credenciais de um usuário de banco de dados SAP HANA autenticado. O usuário que faz logon deve ter permissões para executar tarefas de administração do SAML.

  2. Na Interface da Web XSA, acesse Provedor de identidade do SAML. A partir daí, selecione o botão + na parte inferior da tela para exibir o painel +.

  3. No painel Adicionar Informações do Provedor de Identidade, cole o conteúdo do XML de metadados (baixado do portal do Azure) na caixa Metadados.

  4. Se o conteúdo do documento XML for válido, o processo de análise extrai as informações necessárias para os campos Assunto, ID de entidade e emissor na área da tela de Dados gerais. Ele também extrai as informações necessárias para os campos de URL na área de tela Destino, por exemplo, os campos URL Base e URL SingleSignOn (*).

  5. Na caixa Nome da área Dados Gerais da tela, insira um nome para o novo provedor de identidade SSO de SAML.

    Observação

    O nome do IDP do SAML é obrigatório e deve ser único. Ele aparece na lista de IDPs SAML disponíveis que é exibida quando você seleciona o SAML como o método de autenticação a ser usado pelos aplicativos SAP HANA XS. Por exemplo, você pode fazer isso na área da tela Autenticação da ferramenta de administração do artefato XS.

  6. Selecione Salvar para salvar os detalhes do provedor de identidade SAML e adicione o novo IdP de SAML à lista de IdPs de SAML conhecidos.

  7. No HANA Studio, nas propriedades do sistema da guia Configuração, filtre as configurações por saml. Em seguida, ajuste assertion_timeout de 10 para 120 segundos.

Atribuir usuários do Microsoft Entra

  1. No portal do Azure, escolha Aplicativos empresariais, escolha Todos os aplicativos e, em seguida, escolha SAP HANA.
  2. Na lista de aplicativos, selecione SAP HANA.

Criar usuários do SAP HANA

Para permitir que os usuários do Microsoft Entra se conectem ao SAP HANA, você precisa provisioná-los no SAP HANA. O SAP HANA dá suporte ao provisionamento Just-In-Time, que está habilitado por padrão.

Se você precisar criar um usuário manualmente, execute as seguintes etapas:

  1. Abra o SAP HANA Studio como administrador e habilite o usuário do BD para SSO do SAML.

  2. Marque a caixa de seleção à esquerda de SAML e selecione o link Configurar.

  3. Selecione Adicionar para adicionar o IDP do SAML. Selecione o IDP do SAML apropriado e, em seguida, selecione OK.

  4. Adicione a Identidade Externa ou escolha Qualquer. Depois, selecione OK.

    Observação

    Se a caixa de seleção Qualquer não estiver selecionada, o nome de usuário no HANA precisará corresponder exatamente ao nome do usuário no UPN antes do sufixo do domínio.

  5. Atribua as funções relevantes ao usuário.

  6. Para verificar o resultado, selecione o bloco SAP HANA no Painel de Acesso. Você deve ser conectado automaticamente ao SAP HANA para o qual você configurou o SSO.