将 Microsoft Entra ID 与 SAP HANA 集成

  • 10 分钟

将 SAP HANA 与 Microsoft Entra ID 集成可带来以下优势:

  • 在 Microsoft Entra ID 中可以控制谁有权访问 SAP HANA。
  • 可以让用户使用其 Microsoft Entra 帐户自动登录到 SAP HANA(单一登录)。
  • 可在中心位置(即 Azure 门户)管理帐户。

若要配置 Microsoft Entra 与 SAP HANA 的集成,需要以下项目:

  • 一个 Microsoft Entra 订阅。
  • 启用了单一登录 (SSO) 的 SAP HANA 订阅。
  • 在任何公共 IaaS、本地或 Azure 虚拟机上运行的 HANA 实例。
  • XSA 管理 Web 界面,以及安装在 HANA 实例上的 HANA Studio。

SAP HANA 中的 Microsoft Entra 集成让你可以实现:

  • SAP HANA 支持 IDP 启动的 SSO
  • SAP HANA 支持实时用户预配

若要配置 SAP HANA 与 Microsoft Entra ID 的集成,请首先将 SAP HANA 从库中添加到托管 SaaS 应用列表。

配置 Microsoft Entra 单一登录

若要为 SAP HANA 配置 Microsoft Entra 单一登录,请完成以下步骤:

  1. 配置 Microsoft Entra 单一登录,使用户能够使用此功能。
  2. 配置 SAP HANA 单一登录以在应用程序端配置单一登录设置。
  3. 分配 Microsoft Entra 用户以允许他们使用 Microsoft Entra 单一登录。
  4. 创建 SAP HANA 用户,以便预配链接到相应 Microsoft Entra 用户帐户的 SAP HANA 对应帐户。

在门户中配置 Microsoft Entra 单一登录

  1. 若要为 SAP HANA 配置 Microsoft Entra 单一登录,请在 Azure 门户中的“SAP HANA 应用程序集成”页上选择“单一登录”

  2. 在“选择单一登录方法”对话框中,选择“SAML/WS-Fed”模式以启用单一登录。

  3. 在“设置 SAML 单一登录”页上,选择“编辑”图标以打开“基本 SAML 配置”对话框。

  4. 在“设置 SAML 单一登录”页上,执行以下步骤:

    1. 在“标识符”文本框中,键入“HA100”。
    2. 在“回复 URL”文本框中,键入 格式的 URL。 若要获取其实际值,可以与 SAP HANA Client 支持团队联系。
    3. SAP HANA 应用程序需要特定格式的 SAML 断言。 为此应用程序配置以下声明:姓氏、名字、电子邮件、名称和唯一用户标识符。 可以在应用程序集成页的“用户属性”部分管理这些属性的值。

  5. 在“设置 SAML 单一登录”页上,选择“编辑”按钮以打开“用户属性”对话框。

  6. 在“用户属性和声明”页上的“用户属性”部分,执行以下步骤:

    1. 单击“编辑”图标以打开“管理用户声明”窗格。
    2. 从“转换”列表中,选择“ExtractMailPrefix()” 。
    3. 从“参数 1”列表中,选择“user.mail” 。
    4. 保存所做更改。

  7. 在“设置 SAML 单一登录”页的“SAML 签名证书”部分,选择“下载”,以根据要求从给定选项下载联合元数据 XML 并将其保存在计算机上。

配置 SAP HANA 单一登录

  1. 若要在 SAP HANA 端配置单一登录,请转到相应的 HTTPS 终结点以登录 HANA XSA Web 控制台。

    注意

    在默认配置中,URL 将请求重定向到登录屏幕,这需要经过身份验证的 SAP HANA 数据库用户的凭据。 登录的用户必须有权执行 SAML 管理任务。

  2. 在 XSA Web 界面中,转到“SAML 标识提供者”。 选择屏幕底部的 + 按钮显示“添加标识提供者信息”窗格。

  3. 在“添加标识提供者信息”窗格中,将从 Azure 门户下载的元数据 XML 内容粘贴到“元数据”框中。

  4. 如果 XML 文档的内容有效,则分析过程会提取“常规数据”屏幕区域中的“使用者、实体 ID 和颁发者”字段所需的信息。 它还会提取“目标”屏幕区域中的 URL 字段(例如,“基 URL”和“单一登录 URL (*)”字段)所需的信息。

  5. 在“常规数据”屏幕区域的“名称”框中,输入新 SAML SSO 标识提供者的名称。

    注意

    SAML IDP 的名称是必需的,且必须唯一。 当你选择 SAML 作为 SAP HANA XS 应用程序要使用的身份验证方法时,它将显示在可用的 SAML IDP 列表中。 例如,可以在 XS 项目管理工具的“身份验证”屏幕区域中执行此操作。

  6. 选择“保存” 保存 SAML 标识提供者的详细信息并将新 SAML IDP 添加到已知 SAML IDP 列表。

  7. 在 HANA Studio 的“配置”选项卡的系统属性中,按 saml 筛选设置。 然后,将 assertion_timeout 从 10 秒调整为 120 秒。

分配 Microsoft Entra 用户

  1. 在 Azure 门户中,依次选择“企业应用程序”、“所有应用程序”和“SAP HANA” 。
  2. 在应用程序列表中,选择“SAP HANA”

创建 SAP HANA 用户

若要使 Microsoft Entra 用户能够登录到 SAP HANA,必须在 SAP HANA 中预配这些用户。 SAP HANA 支持默认启用的“实时预配” 。

如果需要手动创建用户,请执行以下步骤:

  1. 以管理员身份打开 SAP HANA Studio,并为 DB-User 启用 SAML SSO。

  2. 选中 SAML 左侧的复选框,然后选择“配置”链接。

  3. 选择“添加”以添加 SAML IDP。 选择相应的 SAML IDP,再选择“确定”。

  4. 添加“外部标识”或选择“任意”。 然后选择“确定”。

    注意

    如果未选中“任意”复选框,则 HANA 中的用户名必须与 UPN 中域后缀前的用户名完全匹配。

  5. 向用户分配相关角色。

  6. 若要验证结果,请选择访问面板中的“SAP HANA”磁贴。 你应该会自动登录到为其设置了 SSO 的 SAP HANA。