整合 Microsoft Entra ID 與 SAP HANA

  • 10 分鐘

整合 SAP HANA 與 Microsoft Entra ID 可提供下列優點:

  • 您可以在 Microsoft Entra ID 中控制可存取 SAP HANA 的人員。
  • 您可以讓使用者使用其 Microsoft Entra 帳戶自動登入 SAP HANA (單一登入)。
  • 您可以在 Azure 入口網站中集中管理您的帳戶。

若要設定 Microsoft Entra 與 SAP HANA 的整合,您需要下列項目:

  • Microsoft Entra 訂用帳戶。
  • 已啟用單一登入 (SSO) 的 SAP Hana 訂用帳戶。
  • 執行於任何公用 IaaS、內部部署或 Azure 虛擬機器的 HANA 執行個體。
  • XSA 管理 Web 介面,以及安裝在 HANA 執行個體上的 HANA Studio。

SAP HANA 內的 Microsoft Entra 整合可讓您實作:

  • SAP Hana 支援由 IDP 起始的 SSO
  • SAP Hana 支援 Just-in-Time 使用者佈建

若要設定將 SAP HANA 整合到 Microsoft Entra ID 中,請先從資源庫將 SAP HANA 新增到受控 SaaS 應用程式清單。

設定 Microsoft Entra 單一登入

若要使用 SAP HANA 設定 Microsoft Entra 單一登入,請完成下列步驟:

  1. 設定 Microsoft Entra 單一登入,讓使用者能夠使用此功能。
  2. 設定 SAP Hana 單一登入,在應用程式端設定單一登入設定。
  3. 指派 Microsoft Entra 使用者以允許他們使用 Microsoft Entra 單一登入。
  4. 建立 SAP HANA 使用者,在連結到相應 Microsoft Entra 使用者帳戶的 SAP HANA 中,佈建對應的帳戶。

在入口網站中設定 Microsoft Entra 單一登入

  1. 若要使用 SAP HANA 設定 Microsoft Entra 單一登入,請在 Azure 入口網站的 SAP HANA 應用程式整合頁面上,選取 [單一登入]

  2. 在 [選取單一登入方法] 對話方塊中,選取 [SAML/WS-Fed] 模式以啟用單一登入。

  3. 在 [以 SAML 設定單一登入] 頁面上選取 [編輯] 圖示,以開啟 [基本 SAML 設定] 對話方塊。

  4. 在 [設定使用 SAML 的單一登入] 頁面上,執行下列步驟:

    1. 在 [識別碼] 文字方塊中,輸入 HA100
    2. 在 [回覆 URL] 文字方塊中,以 <https://Customer-SAP-instance-url/sap/hana/xs/saml/login.xscfunc> 格式輸入 URL。 若要取得其實際值,您可以連絡 SAP Hana 用戶端支援小組
    3. SAP Hana 應用程式需要特定格式的 SAML 判斷提示。 設定此應用程式的下列宣告:givennamesurnameemailaddressname 和 [不重複使用者識別碼]。 您可以在應用程式整合頁面的 [使用者屬性] 區段中管理這些屬性的值。

  5. 在 [以 SAML 設定單一登入] 頁面上選取 [編輯] 按鈕,以開啟 [使用者屬性] 對話方塊。

  6. 在 [使用者屬性與宣告] 頁面上的 [使用者屬性] 區段中,執行下列步驟:

    1. 按一下 [編輯] 圖示以開啟 [管理使用者宣告] 窗格。
    2. 從 [轉換] 清單中,選取 [ExtractMailPrefix()]
    3. 從 [參數 1] 清單中,選取 [user.mail]
    4. 儲存您的變更。

  7. 在 [以 SAML 設定單一登入] 頁面的 [SAML 簽署憑證] 區段中,選取 [下載],以依據您的需求從指定選項下載同盟中繼資料 XML,並儲存在您的電腦上。

設定 SAP Hana 單一登入

  1. 若要在 SAP Hana 端設定單一登入,請瀏覽至個別的 HTTPS 端點,登入您的 HANA XSA Web 主控台。

    注意

    在預設組態中,URL 會將要求重新導向到登入畫面,這需要已驗證 SAP Hana 資料庫使用者的認證。 登入的使用者必須有執行 SAML 系統管理工作的權限。

  2. 在 XSA Web 介面中,前往 [SAML 識別提供者]。 從該處的畫面底部選取 + 按鈕,以顯示 [新增識別提供者資訊] 窗格。

  3. 在 [新增識別提供者資訊] 窗格中,將中繼資料 XML 內容 (從 Azure 入口網站下載) 貼到 [中繼資料] 方塊中。

  4. 如果 XML 文件的內容有效,剖析流程會擷取 [一般資料] 畫面區域中的 [主旨]、[實體識別碼] 和 [簽發者] 欄位所需的資訊。 該流程也會擷取 [目的地] 畫面區域中 URL 欄位所需資訊,例如 [基底 URL] 和 [SingleSignOn URL (*)] 欄位。

  5. 在 [一般資料] 畫面區域的 [名稱] 方塊中,輸入新 SAML SSO 識別提供者的名稱。

    注意

    SAML IDP 的名稱是必要項目,且必須是唯一的。 該名稱會顯示在可用 SAML IDP 清單中,該清單會在您選取 SAML 作為要使用的 SAP Hana XS 應用程式驗證方法時顯示。 例如,您可以在 XS Artifact Administration 工具的 [驗證] 畫面區域中執行此操作。

  6. 選取 [儲存] 以儲存 SAML 識別提供者的詳細資料,並且將新的 SAML IDP 新增至已知 SAML IDP 清單。

  7. 在 HANA Studio 中 [設定] 索引標籤的系統屬性內,依 saml 篩選設定。 然後將 assertion_timeout 從 10 秒調整為 120 秒。

指派 Microsoft Entra 使用者

  1. 在 Azure 入口網站中,依序選取 [企業應用程式]、[所有應用程式] 及 [SAP Hana]
  2. 在應用程式清單中,選取 [SAP Hana]

建立 SAP Hana 使用者

若要讓 Microsoft Entra 使用者登入 SAP HANA,您必須在 SAP HANA 中佈建這些使用者。 SAP Hana 支援預設啟用的 Just-In-Time 佈建。

如果您需要手動建立使用者,請採取下列步驟:

  1. 以系統管理員身分開啟 SAP HANA Studio,然後為 SAML SSO 啟用 DB-User。

  2. 選取 SAML 左邊的核取方塊,然後選取 [設定] 連結。

  3. 選取 [新增] 以新增 SAML IDP。 選取適當的 SAML IDP,然後選取 [確定]

  4. 新增 [外部身分識別] 或選擇 [任何]。 然後選取確定

    注意

    如果未選取 [任何] 核取方塊,則 HANA 中的使用者名稱必須完全符合 UPN 中網域尾碼前面的使用者名稱。

  5. 將相關角色指派給使用者。

  6. 若要確認結果,請在存取面板中選取 [SAP Hana] 圖格。 您應會自動登入已設定 SSO 的 SAP Hana。