Partilhar via


Tutorial: Integração do logon único (SSO) do Microsoft Entra com o SAP HANA

Neste tutorial, você aprenderá como integrar o SAP HANA ao Microsoft Entra ID. Ao integrar o SAP HANA com o Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso ao SAP HANA.
  • Permita que seus usuários façam login automaticamente no SAP HANA com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para configurar a integração do Microsoft Entra com o SAP HANA, você precisa dos seguintes itens:

  • Uma subscrição do Microsoft Entra
  • Uma assinatura do SAP HANA habilitada para logon único (SSO)
  • Uma instância HANA que está sendo executada em qualquer IaaS pública, local, VM do Azure ou instâncias grandes do SAP no Azure
  • A interface da Web de Administração XSA, bem como o HANA Studio instalado na instância HANA

Nota

Não recomendamos o uso de um ambiente de produção do SAP HANA para testar as etapas deste tutorial. Teste a integração primeiro no ambiente de desenvolvimento ou preparo do aplicativo e, em seguida, use o ambiente de produção.

Para testar as etapas neste tutorial, siga estas recomendações:

  • Uma assinatura do Microsoft Entra. Se você não tiver um ambiente Microsoft Entra, você pode obter uma avaliação de um mês aqui
  • Assinatura habilitada para logon único do SAP HANA

Descrição do cenário

Neste tutorial, você configura e testa o logon único do Microsoft Entra em um ambiente de teste.

  • O SAP HANA suporta SSO iniciado por IDP .
  • O SAP HANA oferece suporte ao provisionamento de usuários just-in-time .

Nota

O identificador deste aplicativo é um valor de cadeia de caracteres fixo para que apenas uma instância possa ser configurada em um locatário.

Para configurar a integração do SAP HANA no Microsoft Entra ID, você precisa adicionar o SAP HANA da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite SAP HANA na caixa de pesquisa.
  4. Selecione SAP HANA no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para SAP HANA

Configure e teste o Microsoft Entra SSO com o SAP HANA usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no SAP HANA.

Para configurar e testar o Microsoft Entra SSO com o SAP HANA, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    1. Criar um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com Brenda Fernandes.
    2. Atribua o usuário de teste do Microsoft Entra - para permitir que Brenda Fernandes use o logon único do Microsoft Entra.
  2. Configure o SAP HANA SSO - para configurar as configurações de logon único no lado do aplicativo.
    1. Criar usuário de teste do SAP HANA - para ter uma contraparte de Brenda Fernandes no SAP HANA que esteja vinculada à representação do usuário do Microsoft Entra.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>SAP HANA>Single sign-on.

  3. Na página Selecione um método de logon único, selecione SAML.

  4. Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.

    Editar configuração básica de SAML

  5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

    Na caixa de texto URL de resposta, digite uma URL usando o seguinte padrão:https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Nota

    O valor URL de resposta não é real. Atualize o valor com o URL de resposta real. Entre em contato com a equipe de suporte ao cliente SAP HANA para obter os valores. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML.

  6. O aplicativo SAP HANA espera as asserções SAML em um formato específico. Configure as seguintes declarações para este aplicativo. Você pode gerenciar os valores desses atributos na seção Atributos do usuário na página de integração de aplicativos. Na página Configurar Logon Único com SAML, clique no botão Editar para abrir a caixa de diálogo Atributos do Usuário.

    Captura de tela que mostra a seção

  7. Na seção Atributos do usuário na caixa de diálogo Atributos do usuário & Declarações, execute as seguintes etapas:

    a. Clique no ícone Editar para abrir a caixa de diálogo Gerenciar declarações de usuário.

    Captura de tela que mostra a caixa de diálogo

    image

    b. Na lista Transformação , selecione ExtractMailPrefix().

    c. Na lista Parâmetro 1 , selecione user.mail.

    d. Clique em Guardar.

  8. Na página Configurar Logon Único com SAML, na seção Certificado de Assinatura SAML, clique em Download para baixar o XML de Metadados de Federação das opções fornecidas de acordo com sua necessidade e salvá-lo em seu computador.

    O link de download do certificado

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
  2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
  3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
  4. Nas propriedades do usuário , siga estas etapas:
    1. No campo Nome para exibição , digite B.Simon.
    2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
    4. Selecione Rever + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilitará o B.Simon a usar o logon único concedendo acesso ao SAP HANA.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>SAP HANA.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
    1. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SAP HANA SSO

  1. Para configurar o logon único no lado do SAP HANA, faça login no console da Web XSA do HANA acessando o respetivo endpoint HTTPS.

    Nota

    Na configuração padrão, a URL redireciona a solicitação para uma tela de login, que requer as credenciais de um usuário autenticado do banco de dados SAP HANA. O usuário que entra deve ter permissões para executar tarefas de administração SAML.

  2. Na interface Web XSA, vá para SAML Identity Provider. A partir daí, selecione o + botão na parte inferior da tela para exibir o painel Adicionar informações do provedor de identidade. Em seguida, siga os seguintes passos:

    Adicionar provedor de identidade

    a. No painel Adicionar Informações do Provedor de Identidade, cole o conteúdo do XML de Metadados (que você baixou) na caixa Metadados.

    Captura de tela que mostra o painel

    b. Se o conteúdo do documento XML for válido, o processo de análise extrai as informações necessárias para os campos Assunto, ID da entidade e Emissor na área da tela Dados gerais . Ele também extrai as informações necessárias para os campos URL na área da tela Destino, por exemplo, os campos URL base e URL SingleSignOn (*).

    Adicionar configurações do Provedor de Identidade

    c. Na caixa Nome da área da tela Dados Gerais, insira um nome para o novo provedor de identidade SAML SSO.

    Nota

    O nome do IDP SAML é obrigatório e deve ser exclusivo. Ele aparece na lista de IDPs SAML disponíveis que é exibida quando você seleciona SAML como o método de autenticação para aplicativos SAP HANA XS a serem usados. Por exemplo, você pode fazer isso na área da tela Autenticação da ferramenta Administração de Artefato XS.

  3. Selecione Salvar para salvar os detalhes do provedor de identidade SAML e adicionar o novo IDP SAML à lista de IDPs SAML conhecidos.

    Botão Guardar

  4. No HANA Studio, dentro das propriedades do sistema da guia Configuração, filtre as configurações por saml. Em seguida, ajuste o assertion_timeout de 10 seg para 120 seg.

    Configuração assertion_timeout

Criar usuário de teste do SAP HANA

Para permitir que os usuários do Microsoft Entra façam login no SAP HANA, você deve provisioná-los no SAP HANA. O SAP HANA suporta provisionamento just-in-time, que é ativado por padrão.

Se você precisar criar um usuário manualmente, execute as seguintes etapas:

Nota

Você pode alterar a autenticação externa que o usuário usa. Eles podem se autenticar com um sistema externo, como Kerberos. Para obter informações detalhadas sobre identidades externas, entre em contato com o administrador do domínio.

  1. Abra o SAP HANA Studio como administrador e habilite o DB-User para SAML SSO.

  2. Marque a caixa de seleção invisível à esquerda do SAML e selecione o link Configurar .

  3. Selecione Adicionar para adicionar o IDP SAML. Selecione o IDP SAML apropriado e, em seguida, selecione OK.

  4. Adicione a Identidade Externa (neste caso, BrittaSimon). Em seguida, selecione OK.

    Nota

    Você deve preencher o campo Identidade Externa para o usuário, e esse valor precisa corresponder ao campo NameID no token SAML do Microsoft Entra ID. A caixa de seleção Qualquer não deve ser marcada, pois essa opção requer que o IDP envie uma propriedade SPProviderID no campo NameID, que atualmente não é suportada pelo Microsoft Entra ID. Para obter mais informações, consulte Single Sign-On Using SAML 2.0.

  5. Para fins de teste, atribua todas as funções XS ao usuário.

    Atribuição de funções

    Gorjeta

    Você deve conceder permissões apropriadas apenas para seus casos de uso.

  6. Salve o usuário.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

  • Clique em Testar este aplicativo e você deve estar automaticamente conectado ao SAP HANA para o qual configurou o SSO

  • Você pode usar o Microsoft My Apps. Ao clicar no bloco SAP HANA em Meus aplicativos, você deve estar automaticamente conectado ao SAP HANA para o qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Próximos passos

O provisionamento do SAP Cloud Identity Services para o SAP HANA é um recurso beta disponível no SAP Business Technology Platform. Para obter mais informações, consulte como configurar o provisionamento de usuários do Microsoft Entra ID para o SAP Cloud Identity Services e como configurar o provisionamento de usuários do SAP Cloud Identity Services para o SAP HANA Database (Beta).

Depois de configurar o SAP HANA para SSO, você pode impor o controle de sessão, o que evita a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.