Integrar o Microsoft Entra ID com o SAP HANA

  • 10 minutos

A integração do SAP HANA com o Microsoft Entra ID oferece os seguintes benefícios:

  • Você pode controlar no Microsoft Entra ID quem tem acesso ao SAP HANA.
  • Você pode permitir que seus usuários façam login automaticamente no SAP HANA (logon único) com suas contas do Microsoft Entra.
  • Você pode gerenciar suas contas em um local central - o portal do Azure.

Para configurar a integração do Microsoft Entra com o SAP HANA, você precisa dos seguintes itens:

  • Uma assinatura do Microsoft Entra.
  • Uma assinatura do SAP HANA habilitada para logon único (SSO).
  • Uma instância HANA que está sendo executada em qualquer IaaS pública, local ou Máquina Virtual do Azure.
  • A interface da Web de Administração XSA e o HANA Studio instalados na instância HANA.

A integração do Microsoft Entra com o SAP HANA permite implementar:

  • O SAP HANA suporta SSO iniciado por IDP
  • O SAP HANA oferece suporte ao provisionamento de usuários just-in-time

Para configurar a integração do SAP HANA no Microsoft Entra ID, primeiro adicione o SAP HANA da galeria à sua lista de aplicativos SaaS gerenciados.

Configurar o logon único do Microsoft Entra

Para configurar o logon único do Microsoft Entra com o SAP HANA, conclua as seguintes etapas:

  1. Configure o logon único do Microsoft Entra para permitir que os usuários usem esse recurso.
  2. Configure o logon único do SAP HANA para configurar as configurações de logon único no lado do aplicativo.
  3. Atribua usuários do Microsoft Entra para permitir que eles usem o logon único do Microsoft Entra.
  4. Crie usuários do SAP HANA para provisionar contas de contrapartida no SAP HANA vinculadas às contas de usuário correspondentes do Microsoft Entra.

Configurar o logon único do Microsoft Entra no portal

  1. Para configurar o logon único do Microsoft Entra com o SAP HANA, no portal do Azure, na página de integração de aplicativos do SAP HANA, selecione Logon único.

  2. Na caixa de diálogo Selecionar um método de logon único, selecione o modo SAML/WS-Fed para habilitar o logon único.

  3. Na página Configurar Logon Único com SAML, selecione o ícone Editar para abrir a caixa de diálogo Configuração Básica de SAML.

  4. Na página Configurar Logon Único com SAML, execute as seguintes etapas:

    1. Na caixa de texto Identificador , digite HA100.
    2. Na caixa de texto URL de resposta, digite uma URL no formato <https://Customer-SAP-instance-url/sap/hana/xs/saml/login.xscfunc>. Para obter seu valor real, você pode entrar em contato com a equipe de suporte ao cliente SAP HANA.
    3. O aplicativo SAP HANA espera as asserções SAML em um formato específico. Configure as seguintes declarações para este aplicativo: givenname, sobrenome, emailaddress, name e Identificador de Usuário Exclusivo. Você pode gerenciar os valores desses atributos na seção Atributos do usuário na página de integração do aplicativo.

  5. Na página Configurar Logon Único com SAML, selecione o botão Editar para abrir a caixa de diálogo Atributos do Usuário.

  6. Na seção Atributos do usuário na página Atributos do usuário & Declarações, execute as seguintes etapas:

    1. Clique no ícone Editar para abrir o painel Gerenciar declarações do usuário.
    2. Na lista Transformação , selecione ExtractMailPrefix().
    3. Na lista Parâmetro 1 , selecione user.mail.
    4. Guardar as suas alterações.

  7. Na página Configurar Logon Único com SAML, na seção Certificado de Assinatura SAML, selecione Download para baixar o XML de Metadados de Federação das opções fornecidas de acordo com sua exigência e salve-o em seu computador.

Configurar o logon único do SAP HANA

  1. Para configurar o logon único no lado do SAP HANA, faça login no console da Web XSA do HANA acessando o respetivo endpoint HTTPS.

    Nota

    Na configuração padrão, a URL redireciona a solicitação para uma tela de login, que requer as credenciais de um usuário autenticado do banco de dados SAP HANA. O usuário que entra deve ter permissões para executar tarefas de administração SAML.

  2. Na interface Web XSA, vá para SAML Identity Provider. A partir daí, selecione o + botão na parte inferior da tela para exibir o painel Adicionar informações do provedor de identidade.

  3. No painel Adicionar Informações do Provedor de Identidade, cole o conteúdo do XML de Metadados (que você baixou do portal do Azure) na caixa Metadados.

  4. Se o conteúdo do documento XML for válido, o processo de análise extrai as informações necessárias para os campos Assunto, ID da entidade e Emissor na área da tela Dados gerais. Ele também extrai as informações necessárias para os campos URL na área da tela Destino , por exemplo, os campos URL base e URL SingleSignOn (*).

  5. Na caixa Nome da área da tela Dados Gerais, insira um nome para o novo provedor de identidade SAML SSO.

    Nota

    O nome do IDP SAML é obrigatório e deve ser exclusivo. Ele aparece na lista de IDPs SAML disponíveis que é exibida quando você seleciona SAML como o método de autenticação para aplicativos SAP HANA XS a serem usados. Por exemplo, você pode fazer isso na área da tela Autenticação da ferramenta Administração de Artefato XS.

  6. Selecione Salvar para salvar os detalhes do provedor de identidade SAML e adicionar o novo IDP SAML à lista de IDPs SAML conhecidos.

  7. No HANA Studio, dentro das propriedades do sistema da guia Configuração, filtre as configurações por saml. Em seguida, ajuste o assertion_timeout de 10 seg para 120 seg.

Atribuir usuários do Microsoft Entra

  1. No portal do Azure, selecione Aplicativos Empresariais, selecione Todos os aplicativos e selecione SAP HANA.
  2. Na lista de aplicativos, selecione SAP HANA.

Criar usuários do SAP HANA

Para permitir que os usuários do Microsoft Entra façam login no SAP HANA, você deve provisioná-los no SAP HANA. O SAP HANA suporta provisionamento just-in-time, que é ativado por padrão.

Se você precisar criar um usuário manualmente, execute as seguintes etapas:

  1. Abra o SAP HANA Studio como administrador e habilite o DB-User para SAML SSO.

  2. Marque a caixa de seleção à esquerda do SAML e selecione o link Configurar .

  3. Selecione Adicionar para adicionar o IDP SAML. Selecione o IDP SAML apropriado e, em seguida, selecione OK.

  4. Adicione a Identidade Externa ou escolha Qualquer. Em seguida, selecione OK.

    Nota

    Se a caixa de seleção Qualquer não estiver marcada, o nome de usuário no HANA precisará corresponder exatamente ao nome do usuário no UPN antes do sufixo de domínio.

  5. Atribua as funções relevantes ao usuário.

  6. Para verificar o resultado, selecione o bloco SAP HANA no Painel de acesso. Você deve estar automaticamente conectado ao SAP HANA para o qual configurou o SSO.