Интеграция идентификатора Microsoft Entra с SAP HANA

  • 10 мин

Интеграция SAP HANA с идентификатором Microsoft Entra предоставляет следующие преимущества:

  • Вы можете контролировать идентификатор Microsoft Entra, имеющий доступ к SAP HANA.
  • Вы можете включить автоматический вход пользователей в SAP HANA (единый вход) с помощью учетных записей Microsoft Entra.
  • Вы можете управлять учетными записями централизованно на портале Azure.

Чтобы настроить интеграцию Microsoft Entra с SAP HANA, вам потребуется:

  • Подписка Microsoft Entra.
  • Подписка SAP HANA с поддержкой единого входа.
  • Экземпляр HANA, работающий на любой общедоступной виртуальной машине IaaS, локальной или виртуальной машине Azure.
  • Веб-интерфейс администрирования XSA и HANA Studio, установленные на экземпляре HANA.

Интеграция Microsoft Entra в SAP HANA позволяет реализовать следующее:

  • SAP HANA поддерживает единый вход, инициированный IDP
  • SAP HANA поддерживает JIT-подготовку пользователей

Чтобы настроить интеграцию SAP HANA с идентификатором Microsoft Entra ID, сначала добавьте SAP HANA из коллекции в список управляемых приложений SaaS.

Настройка единого входа Microsoft Entra

Чтобы настроить единый вход Microsoft Entra в SAP HANA, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
  2. Настройте единый вход SAP HANA, чтобы настроить параметры единого входа на стороне приложения.
  3. Назначьте пользователям Microsoft Entra возможность использовать единый вход Microsoft Entra.
  4. Создайте пользователей SAP HANA для подготовки учетных записей коллег в SAP HANA, связанных с соответствующими учетными записями пользователей Microsoft Entra.

Настройка единого входа Microsoft Entra на портале

  1. Чтобы настроить единый вход Microsoft Entra в SAP HANA, в портал Azure на странице интеграции с приложением SAP HANA выберите единый вход.

  2. В диалоговом окне Выбрать метод единого входа выберите режим SAML/WS-Fed, чтобы включить единый вход.

  3. На странице Настройка единого входа с помощью SAML щелкните значок Правка, чтобы открыть диалоговое окно Базовая конфигурация SAML.

  4. На странице Настройка единого входа с помощью SAML выполните следующие действия.

    1. В текстовом поле Идентификатор введите HA100.
    2. В текстовом поле URL-адрес ответа введите URL-адрес в формате <https://Customer-SAP-instance-url/sap/hana/xs/saml/login.xscfunc>. Чтобы получить его фактическое значение, обратитесь в службу поддержки клиентов SAP HANA.
    3. Приложение SAP HANA ожидает утверждения SAML в определенном формате. Настройте следующие утверждения для этого приложения, givenname, surname, emailaddress, name и Unique User Identifier. Значениями этих атрибутов можно управлять в разделе Атрибуты пользователя на странице интеграции приложения.

  5. На странице Настройка единого входа с помощью SAML нажмите кнопку Правка, чтобы открыть диалоговое окно Пользовательские атрибуты.

  6. В разделе Пользовательские атрибуты на странице Атрибуты пользователя и утверждения выполните следующие действия.

    1. Щелкните значок Правка, чтобы открыть область Управление утверждениями пользователя.
    2. Из списка Преобразование выберите ExtractMailPrefix().
    3. Из списка Параметр 1 выберите user.mail.
    4. Сохранение изменений.

  7. На странице "Настройка единого входа с помощью SAML" в разделе "Сертификат подписи SAML" выберите "Скачать", чтобы скачать XML-файл метаданных федерации из указанных параметров в соответствии с вашим требованием и сохранить его на компьютере.

Настройка единого входа в SAP HANA

  1. Для настройки единого входа на стороне SAP HANA войдите в веб-консоль XSA HANA, перейдя к соответствующей конечной точке HTTPS.

    Примечание.

    В конфигурации по умолчанию URL-адрес перенаправляет запрос на экран входа, который требует учетные данные прошедшего проверку подлинности пользователя базы данных SAP HANA. Пользователь, который входит в систему, должен иметь разрешения, необходимые для выполнения задач администрирования SAML.

  2. В веб-интерфейсе XSA перейдите к поставщику удостоверений SAML. Нажмите кнопку + в нижней части экрана, чтобы отобразить область Add Identity Provider Info (Добавление сведений о поставщике удостоверений).

  3. В области Add Identity Provider Info (Добавление сведений о поставщике удостоверений) вставьте содержимое XML-файла метаданных (который вы скачали с портала Azure) в поле Metadata (Метаданные).

  4. Если содержимое XML-документа является допустимым, процесс синтаксического анализа извлечет сведения, необходимые для вставки в поля темы, идентификатора сущности и издателя в области экрана General Data (Общие данные). Он также извлекает сведения для полей URL-адресов в области экрана Destination (Назначение), например, поля Base URL (Базовый URL-адрес) и SingleSignOn URL (URL-адрес единого входа) (*).

  5. В поле Name (Имя) области экрана General Data (Общие данные) введите имя нового поставщика удостоверений единого входа SAML.

    Примечание.

    Имя поставщика удостоверений SAML является обязательным и должно быть уникальным. Он отображается в списке доступных поставщиков удостоверений SAML, отображаемых при выборе SAML в качестве метода проверки подлинности для используемых приложений SAP HANA XS. Например, в области экрана Authentication (Проверка подлинности) средства управления артефактом XS.

  6. Нажмите кнопку Save (Сохранить), чтобы сохранить сведения о поставщике удостоверений SAML и добавить нового поставщика удостоверений SAML в список известных поставщиков удостоверений SAML.

  7. В HANA Studio откройте системные свойства и на вкладке Configuration (Конфигурация) примените для параметров фильтр по строке saml. Затем измените параметр assertion_timeout (время ожидания утверждения) с 10 секунд на 120.

Назначение пользователей Microsoft Entra

  1. На портале Azure выберите Корпоративные приложения, Все приложения, а затем — SAP HANA.
  2. В списке приложений выберите SAP HANA.

Создание пользователей SAP HANA

Чтобы пользователи Microsoft Entra входить в SAP HANA, необходимо подготовить их в SAP HANA. SAP HANA поддерживает JIT-подготовку. Эта функция включена по умолчанию.

Если необходимо создать пользователя вручную, выполните приведенные ниже действия.

  1. Откройте SAP HANA Studio от имени администратора и включите пользователя базы данных для единого входа SAML.

  2. Установите флажок слева от поля SAML и щелкните ссылку Configure (Настроить).

  3. Нажмите кнопку Add (Добавить), чтобы добавить поставщика удостоверений SAML. Выберите соответствующего поставщика удостоверений SAML и нажмите кнопку ОК.

  4. В области External Identity добавьте внешнее удостоверение или выберите вариант Any (Любое). Затем выберите OK.

    Примечание.

    Если флажок "Любой" не установлен, то имя пользователя в HANA должно точно совпадать с именем пользователя в имени участника-пользователя перед суффиксом домена.

  5. Назначьте пользователю соответствующие роли.

  6. Чтобы проверить результат, щелкните плитку SAP HANA на панели доступа. Вы автоматически войдете в систему SAP HANA, для которой настроили единый вход.