Integrera Microsoft Entra-ID med SAP HANA

  • 10 minuter

Integreringen av SAP HANA med Microsoft Entra ID medför följande fördelar:

  • Du kan i Microsoft Entra ID styra vem som har åtkomst till SAP HANA.
  • Du kan göra så att dina användare automatiskt loggas in på SAP HANA (enkel inloggning) med sina Microsoft Entra-konton.
  • Du kan hantera dina konton på en central plats – Azure-portalen.

För att konfigurera Microsoft Entra-integrering med SAP HANA behöver du följande:

  • En Microsoft Entra-prenumeration.
  • En SAP HANA-prenumeration som är enkel inloggning (SSO) aktiverad.
  • En HANA-instans som körs på alla offentliga IaaS-, lokala eller Virtuella Azure-datorer.
  • XSA-administrationswebbgränssnittet och HANA Studio installerat på HANA-instansen.

Med Microsoft Entra-integrering i SAP HANA kan du implementera:

  • SAP HANA stöder IDP-initierad enkel inloggning
  • SAP HANA stöder just-in-time-användarförsörjning

Om du vill konfigurera integreringen av SAP HANA i Microsoft Entra-ID lägger du först till SAP HANA från galleriet i din lista över hanterade SaaS-appar.

Konfigurera enkel inloggning med Microsoft Entra

Utför följande steg för att konfigurera enkel inloggning med Microsoft Entra med SAP HANA:

  1. Konfigurera enkel inloggning med Microsoft Entra så att användarna kan använda den här funktionen.
  2. Konfigurera enkel inloggning med SAP HANA för att konfigurera inställningarna för enkel inloggning på programsidan.
  3. Tilldela Microsoft Entra-användare så att de kan använda enkel inloggning med Microsoft Entra.
  4. Skapa SAP HANA-användare för att etablera motpartskonton i SAP HANA som är länkade till motsvarande Microsoft Entra-användarkonton.

Konfigurera enkel inloggning med Microsoft Entra i portalen

  1. Om du vill konfigurera enkel inloggning med Microsoft Entra med SAP HANA går du till Azure Portal och väljer Enkel inloggning på sidan för SAP HANA-programintegrering.

  2. I dialogrutan Välj en metod för enkel inloggning väljer du SAML/WS-Fed-läge för att aktivera enkel inloggning.

  3. På sidan Konfigurera enkel inloggning med SAML väljer du ikonen Redigera för att öppna dialogrutan Grundläggande SAML-konfiguration .

  4. På sidan Konfigurera enkel inloggning med SAML utför du följande steg:

    1. I textrutan Identifierare skriver du HA100.
    2. I textrutan Svars-URL skriver du en URL i formatet <https://Customer-SAP-instance-url/sap/hana/xs/saml/login.xscfunc>. För att få det faktiska värdet kan du kontakta SAP HANA-klientsupporten.
    3. SAP HANA-program som förväntar sig SAML-intyg i ett visst format. Konfigurera följande anspråk för det här programmet: förnamn, efternamn, e-postadress, namn och unik användaridentifierare. Du kan hantera värdena för dessa attribut i avsnittet Användarattribut på sidan för programintegrering.

  5. På sidan Konfigurera enkel inloggning med SAML väljer du knappen Redigera för att öppna dialogrutan Användarattribut .

  6. Utför följande steg i avsnittet Användarattributsidan Användarattribut och anspråk:

    1. Klicka på ikonen Redigera för att öppna fönstret Hantera användaranspråk.
    2. Välj ExtractMailPrefix() i listan Transformering.
    3. Från listan Parameter 1 väljer du user.mail.
    4. Spara dina ändringar.

  7. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och väljer Ladda ned för att ladda ned XML för federationsmetadata från de angivna alternativen enligt dina behov och spara den på datorn.

Konfigurera enkel inloggning med SAP HANA

  1. Om du vill konfigurera enkel inloggning för SAP HANA, loggar du in på HANA XSA-webbkonsolen genom att gå till respektive HTTPS-slutpunkt.

    Kommentar

    I standardkonfigurationen omdirigerar URL:en begäran till en inloggningsskärm, som kräver autentiseringsuppgifter av en autentiserad SAP HANA-databasanvändare. Den användare som loggar in måste ha behörighet att utföra administrationsuppgifter i SAML.

  2. Gå till i XSA-webbgränssnittet SAML-identitetsprovider. Därifrån väljer du knappen + längst ned på skärmen för att visa fönstret Lägg till information om identitetsprovider.

  3. I fönstret Lägg till information om identitetsprovider klistrar du in innehållet i Metadata XML (som du laddade ner från Azure Portal) i rutan Metadata.

  4. Om innehållet i XML-dokumentet är giltigt, extraherar parsningsprocessen den information som krävs för fälten Ämne, Entitets-ID och Utfärdare till skärmområdet Allmänna data. Den extraherar också den information som krävs för URL-fälten i området Målskärm , till exempel fälten Base URL och SingleSignOn URL (*).

  5. I rutan Namn i skärmområdet Allmänna data anger du ett namn för den nya SAML SSO-identitetsprovidern.

    Kommentar

    Namnet på SAML IDP är obligatoriskt och måste vara unikt. Den visas i listan över tillgängliga SAML-IDP:er som visas när du väljer SAML som autentiseringsmetod för SAP HANA XS-program som ska användas. Du kan exempelvis göra detta i skärmområdet Autentisering för XS-artefaktens administrationsverktyg.

  6. Välj Spara för att spara information om SAML-identitetsprovidern och lägga till den nya SAML IDP i listan över kända SAML IDP:er.

  7. I HANA Studio i systemegenskaperna för fliken Konfiguration, filtrerar du inställningarna med saml. Justera sedan assertion_timeout från 10 sek till 120 sek.

Tilldela Microsoft Entra-användare

  1. I Azure Portal väljer du Företagsprogram, Alla program och sedan SAP HANA.
  2. I programlistan väljer du SAP HANA.

Skapa SAP HANA-användare

Om du vill göra det möjligt för Microsoft Entra-användare att logga in på SAP HANA måste du etablera dem i SAP HANA. SAP HANA har stöd för just-in-time-etablering, som är aktiverat som standard.

Om du behöver skapa en användare manuellt så gör du följande:

  1. Öppna SAP HANA Studio som administratör, och aktivera sedan DB-användaren för SAML SSO.

  2. Markera kryssrutan till vänster om SAML och välj sedan länken Konfigurera .

  3. Välj Lägg till för att lägga till SAML IDP. Välj lämplig SAML IDP och välj sedan OK.

  4. Lägg till den externa identiteten eller välj Valfri. Välj sedan OK.

    Kommentar

    Om kryssrutan Alla inte är markerad måste användarnamnet i HANA exakt matcha namnet på användaren i UPN före domänsuffixet.

  5. Tilldela användaren relevanta roller.

  6. Kontrollera resultatet genom att välja SAP HANA-panelen i Åtkomstpanelen. Du bör automatiskt loggas in på SAP HANA som du har konfigurerat enkel inloggning för.