Dela via


Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med SAP HANA

I den här självstudien får du lära dig hur du integrerar SAP HANA med Microsoft Entra-ID. När du integrerar SAP HANA med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till SAP HANA.
  • Gör så att dina användare automatiskt loggas in på SAP HANA med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Förutsättningar

För att konfigurera Microsoft Entra-integrering med SAP HANA behöver du följande:

  • En Microsoft Entra-prenumeration
  • En SAP HANA-prenumeration som är aktiverad med enkel inloggning (SSO)
  • En HANA-instans som körs på alla offentliga IaaS, lokala, virtuella Azure-datorer eller SAP på stora instanser i Azure
  • XSA Administration-webbgränssnittet, samt HANA Studio installerat på HANA-instansen

Kommentar

Vi rekommenderar inte att använda en SAP HANA-produktionsmiljö för att testa stegen i den här självstudien. Testa integrationen först i utvecklings- eller mellanlagringsmiljön för programmet och använd sedan produktionsmiljön.

Följ dessa rekommendationer för att testa stegen i den här självstudien:

  • En Microsoft Entra-prenumeration. Om du inte har någon Microsoft Entra-miljö kan du få en månads utvärderingsversion här
  • SAP HANA-prenumeration med enkel inloggning aktiverat

Beskrivning av scenario

I den här självstudien konfigurerar och testar du enkel inloggning med Microsoft Entra i en testmiljö.

  • SAP HANA stöder IDP-initierad enkel inloggning.
  • SAP HANA stöder just-in-time-användaretablering .

Kommentar

Identifieraren för det här programmet är ett fast strängvärde så att endast en instans kan konfigureras i en klientorganisation.

För att konfigurera integreringen av SAP HANA i Microsoft Entra-ID måste du lägga till SAP HANA från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du SAP HANA i sökrutan.
  4. Välj SAP HANA i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för SAP HANA

Konfigurera och testa Microsoft Entra SSO med SAP HANA med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i SAP HANA.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med SAP HANA:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med Britta Simon.
    2. Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för Britta Simon att använda enkel inloggning med Microsoft Entra.
  2. Konfigurera SAP HANA SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa SAP HANA-testanvändare – för att ha en motsvarighet för Britta Simon i SAP HANA som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>> SAP HANA>Enkel inloggning.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  5. I avsnittet Grundläggande SAML-konfiguration anger du värdena för följande fält:

    Skriv en URL med följande mönster i textrutan Svars-URL: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Kommentar

    Värdet för svars-URL är inte verkligt. Uppdatera värdet för med den faktiska svars-URL:en. Kontakta SAP HANA-klientsupporten för att hämta värdena. Du kan också referera till de mönster som visas i avsnittet Grundläggande SAML-konfiguration .

  6. SAP HANA-program som förväntar sig SAML-intyg i ett visst format. Konfigurera följande anspråk för det här programmet. Du kan hantera värdena för dessa attribut i avsnittet Användarattribut på sidan för programintegrering. På sidan Konfigurera enkel inloggning med SAML klickar du på knappen Redigera för att öppna dialogrutan Användarattribut.

    Skärmbild som visar avsnittet

  7. Gör följande i avsnittet Användarattribut i dialogrutan Användarattribut och anspråk:

    a. Öppna dialogrutan Hantera användaranspråk genom att klicka på redigeringsikonen.

    Skärmbild som visar dialogrutan

    bild

    b. Välj ExtractMailPrefix() i listan Transformering.

    c. Från listan Parameter 1 väljer du user.mail.

    d. Klicka på Spara.

  8. På sidan Set up Single Sign-On with SAML (Konfigurera enkel inloggning med SAML) går du till avsnittet SAML Signing Certificate (SAML-signeringscertifikat), klickar på Ladda ned för att ladda ned Federation Metadata-XML från de angivna alternativen enligt dina behov och spara den på datorn.

    Länk för nedladdning av certifikatet

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Gå till Identitet>Användare>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till SAP HANA.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>SAP HANA.
  3. På appens översiktssida väljer du Användare och grupper.
  4. Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
    1. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
    2. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
    3. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera SAP HANA SSO

  1. Om du vill konfigurera enkel inloggning för SAP HANA, loggar du in på HANA XSA-webbkonsolen genom att gå till respektive HTTPS-slutpunkt.

    Kommentar

    I standardkonfigurationen omdirigerar URL:en begäran till en inloggningsskärm, som kräver autentiseringsuppgifter av en autentiserad SAP HANA-databasanvändare. Den användare som loggar in måste ha behörighet att utföra administrationsuppgifter i SAML.

  2. Gå till i XSA-webbgränssnittet SAML-identitetsprovider. Därifrån väljer du knappen + längst ned på skärmen för att visa fönstret Lägg till information om identitetsprovider. Utför sedan följande steg:

    Lägg till identitetsprovider

    a. I fönstret Lägg till information om identitetsprovider klistrar du in innehållet i metadata-XML (som du laddade ned) i rutan Metadata .

    Skärmbild som visar fönstret

    b. Om innehållet i XML-dokumentet är giltigt, extraherar parsningsprocessen den information som krävs för fälten Ämne, Entitets-ID och Utfärdare till skärmområdet Allmänna data. Den extraherar också den information som krävs för URL-fälten i skärmområdet Mål, till exempel fälten Bas-URL och SingleSignOn URL (*).

    Lägg till identitetsproviderinställningar

    c. I rutan Namn i skärmområdet Allmänna data anger du ett namn för den nya SAML SSO-identitetsprovidern.

    Kommentar

    Namnet på SAML IDP är obligatoriskt och måste vara unikt. Det visas i listan över tillgängliga SAML IDP:er som visas när du väljer SAML som autentiseringsmetod för SAP HANA XS-programmen som ska användas. Du kan exempelvis göra detta i skärmområdet Autentisering för XS-artefaktens administrationsverktyg.

  3. Välj Spara för att spara information om SAML-identitetsprovidern och lägga till den nya SAML IDP i listan över kända SAML IDP:er.

    Knappen Spara

  4. I HANA Studio i systemegenskaperna för fliken Konfiguration, filtrerar du inställningarna med saml. Justera sedan assertion_timeout från 10 sek till 120 sek.

    assertion_timeout-inställning

Skapa testanvändare för SAP HANA

Om du vill göra det möjligt för Microsoft Entra-användare att logga in på SAP HANA måste du etablera dem i SAP HANA. SAP HANA har stöd för just-in-time-etablering, som är aktiverat som standard.

Om du behöver skapa en användare manuellt så gör du följande:

Kommentar

Du kan ändra den externa autentisering som användaren använder. De kan autentisera sig med ett externt system, till exempel Kerberos. Kontakta din domänadministratör om du vill ha detaljerad information om externa identiteter.

  1. Öppna SAP HANA Studio som administratör, och aktivera sedan DB-användaren för SAML SSO.

  2. Markera den osynliga kryssrutan till vänster om SAML, och välj sedan länken Konfigurera.

  3. Välj Lägg till för att lägga till SAML IDP. Välj lämplig SAML IDP och välj sedan OK.

  4. Lägg till den externa identiteten (i det här fallet BrittaSimon). Välj sedan OK.

    Kommentar

    Du måste fylla i fältet Extern identitet för användaren och det värdet måste matcha fältet NameID i SAML-token från Microsoft Entra ID. Kryssrutan Alla bör inte markeras eftersom det här alternativet kräver att IDP skickar en SPProviderID-egenskap i fältet NameID, som för närvarande inte stöds av Microsoft Entra-ID. Mer information finns i Enkel inloggning med SAML 2.0.

  5. I testsyfte kan du tilldela alla XS-roller till användaren.

    Tilldela roller

    Dricks

    Du bör ge behörigheter som är lämpliga för dina användningar endast.

  6. Spara användaren.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

  • Klicka på Testa det här programmet så bör du automatiskt loggas in på SAP HANA som du har konfigurerat enkel inloggning för

  • Du kan använda Microsoft Mina appar. När du klickar på SAP HANA-panelen i Mina appar bör du automatiskt loggas in på SAP HANA som du har konfigurerat enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

Etablering från SAP Cloud Identity Services till SAP HANA är en betafunktion som är tillgänglig på SAP Business Technology Platform. Mer information finns i konfigurera etablering av användare från Microsoft Entra-ID till SAP Cloud Identity Services och hur du konfigurerar etablering av användare från SAP Cloud Identity Services till SAP HANA Database (Beta).

När du har konfigurerat SAP HANA för enkel inloggning kan du framtvinga sessionskontroll, vilket förhindrar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.