Kurz: Integrace Microsoft Entra se SAP HANA

  • Článek

V tomto kurzu se dozvíte, jak integrovat SAP HANA s Microsoft Entra ID. Když integrujete SAP HANA s Microsoft Entra ID, můžete:

  • Řízení v Microsoft Entra ID, který má přístup k SAP HANA.
  • Povolte uživatelům, aby se k SAP HANA automaticky přihlásili pomocí svých účtů Microsoft Entra.
  • Spravujte účty v jednom centrálním umístění.

Požadavky

Ke konfiguraci integrace Microsoft Entra se SAP HANA potřebujete následující položky:

  • Předplatné Microsoft Entra
  • Předplatné SAP HANA s povoleným jednotným přihlašováním
  • Instance HANA, která běží na všech veřejných instancích IaaS, místních, virtuálních počítačích Azure nebo velkých instancích SAP v Azure
  • Webové rozhraní XSA Správa istrace a také HANA Studio nainstalované v instanci HANA

Poznámka:

K otestování kroků v tomto kurzu nedoporučujeme používat produkční prostředí SAP HANA. Nejprve otestujte integraci ve vývojovém nebo přípravném prostředí aplikace a pak použijte produkční prostředí.

Pokud chcete otestovat kroky v tomto kurzu, postupujte podle těchto doporučení:

  • Předplatné Microsoft Entra. Pokud nemáte prostředí Microsoft Entra, můžete získat měsíční zkušební verzi tady.
  • Předplatné s povoleným jednotným přihlašováním SAP HANA

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

  • SAP HANA podporuje jednotné přihlašování iniciované protokolem IDP .
  • SAP HANA podporuje zřizování uživatelů za běhu .

Poznámka:

Identifikátor této aplikace je pevná řetězcová hodnota, takže v jednom tenantovi je možné nakonfigurovat pouze jednu instanci.

Pokud chcete nakonfigurovat integraci SAP HANA do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat SAP HANA z galerie.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
  3. Do části Přidat z galerie zadejte do vyhledávacího pole SAP HANA.
  4. Na panelu výsledků vyberte SAP HANA a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro SAP HANA

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s SAP HANA pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v SAP HANA.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s SAP HANA, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
    1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí Britta Simon.
    2. Přiřaďte testovacího uživatele Microsoft Entra , aby britta Simon mohl používat jednotné přihlašování Microsoft Entra.
  2. Konfigurace jednotného přihlašování SAP HANA – konfigurace nastavení jednotného přihlašování na straně aplikace
    1. Vytvořte testovacího uživatele SAP HANA – pokud chcete mít protějšek Britta Simon v SAP HANA, který je propojený s reprezentací uživatele Microsoft Entra.
  3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Přejděte k podnikovým aplikacím>identit>>SAP HANA>– Jednotné přihlašování.

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Edit Basic SAML Configuration

  5. V části Základní konfigurace SAML zadejte hodnoty pro následující pole:

    Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Poznámka:

    Hodnota adresy URL odpovědi není skutečná. Aktualizujte hodnotu skutečnou adresou URL odpovědi. Pokud chcete získat hodnoty, obraťte se na tým podpory klienta SAP HANA. Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML.

  6. Aplikace SAP HANA očekává kontrolní výrazy SAML v určitém formátu. Nakonfigurujte pro tuto aplikaci následující deklarace identity. Hodnoty těchto atributů můžete spravovat v části Atributy uživatele na stránce integrace aplikace. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte na tlačítko Upravit a otevřete dialogové okno Atributy uživatele.

    Screenshot that shows the

  7. V části Atributy uživatele v dialogovém okně Atributy a deklarace identity uživatele proveďte následující kroky:

    a. Kliknutím na ikonu Upravit otevřete dialogové okno Spravovat deklarace identity uživatelů.

    Screenshot that shows the

    image

    b. V seznamu transformace vyberte ExtractMailPrefix().

    c. V seznamu Parametr 1 vyberte user.mail.

    d. Klikněte na Uložit.

  8. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte v části Podpisový certifikát SAML na tlačítko Stáhnout a stáhněte xml federačních metadat z uvedených možností podle vašeho požadavku a uložte ho do počítače.

    The Certificate download link

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

  1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
  2. Přejděte k identitě>Uživatelé>Všichni uživatelé.
  3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
  4. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Zobrazovaný název zadejte B.Simon.
    2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
    4. Vyberte Zkontrolovat a vytvořit.
  5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k SAP HANA.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte k podnikovým aplikacím>>identit>SAP HANA.
  3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
    1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
    2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
    3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace jednotného přihlašování SAP HANA

  1. Pokud chcete nakonfigurovat jednotné přihlašování na straně SAP HANA, přihlaste se k webové konzole HANA XSA tak, že přejdete na příslušný koncový bod HTTPS.

    Poznámka:

    Ve výchozí konfiguraci adresa URL přesměruje požadavek na přihlašovací obrazovku, která vyžaduje přihlašovací údaje ověřeného uživatele databáze SAP HANA. Uživatel, který se přihlásí, musí mít oprávnění k provádění úloh správy SAML.

  2. Ve webovém rozhraní XSA přejděte ke zprostředkovateli identity SAML. Odtud vyberte + tlačítko v dolní části obrazovky a zobrazte podokno Přidat informace o zprostředkovateli identity. Pak postupujte následovně:

    Add Identity Provider

    a. V podokně Přidat informace o zprostředkovateli identity vložte obsah XML metadat (který jste stáhli) do pole Metadata.

    Screenshot that shows the

    b. Pokud je obsah dokumentu XML platný, proces analýzy extrahuje informace, které jsou požadovány pro pole Předmět, ID entity a Vystavitel v oblasti Obecná datová obrazovka. Extrahuje také informace potřebné pro pole adresy URL v oblasti cílové obrazovky, například pole Základní adresa URL a Adresa URL singleSignOn (*).

    Add Identity Provider settings

    c. Do pole Název v oblasti Obecné data zadejte název nového zprostředkovatele identity jednotného přihlašování SAML.

    Poznámka:

    Název ZDP SAML je povinný a musí být jedinečný. Zobrazí se v seznamu dostupných zprostředkovatele IDENTITY SAML, které se zobrazí při výběru SAML jako metody ověřování pro aplikace SAP HANA XS, které se mají použít. Můžete to například provést v oblasti ověřovací obrazovky nástroje Správa istrace artefaktů XS.

  3. Výběrem možnosti Uložit uložte podrobnosti o zprostředkovateli identity SAML a přidejte nový PROTOKOL IDP SAML do seznamu známých zprostředkovatelů IDENTITY SAML.

    Save button

  4. V nástroji HANA Studio v rámci systémových vlastností na kartě Konfigurace vyfiltrujte nastavení podle saml. Potom upravte assertion_timeout od 10 sekund do 120 sekund.

    assertion_timeout setting

Vytvoření testovacího uživatele SAP HANA

Pokud chcete uživatelům Microsoft Entra povolit přihlášení k SAP HANA, musíte je zřídit v SAP HANA. SAP HANA podporuje zřizování za běhu, které je ve výchozím nastavení povolené.

Pokud potřebujete uživatele vytvořit ručně, postupujte následovně:

Poznámka:

Můžete změnit externí ověřování, které uživatel používá. Můžou se ověřit pomocí externího systému, jako je kerberos. Podrobné informace o externích identitách získáte od správce domény.

  1. Otevřete SAP HANA Studio jako správce a povolte uživatele DB-User pro jednotné přihlašování SAML.

    Create user

  2. Zaškrtněte neviditelné políčko vlevo od SAML a pak vyberte odkaz Konfigurovat .

  3. Vyberte Přidat a přidejte protokol IDP SAML. Vyberte příslušný protokol IDP SAML a pak vyberte OK.

  4. Přidejte externí identitu (v tomto případě BrittaSimon). Pak vyberte OK.

    Poznámka:

    Musíte vyplnit pole Externí identita pro uživatele, které musí odpovídat poli NameID v tokenu SAML z Id Microsoft Entra. Toto políčko by nemělo být zaškrtnuté, protože tato možnost vyžaduje, aby IDP odeslal vlastnost SPProvderID v poli NameID, která není nyní podporována Id Microsoft Entra. Další podrobnosti najdete v tomto dokumentu.

  5. Pro účely testování přiřaďte uživateli všechny role XS .

    Assigning roles

    Tip

    Měli byste udělit oprávnění, která jsou vhodná jenom pro vaše případy použití.

  6. Uložte uživatele.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

  • Klikněte na Otestovat tuto aplikaci a měli byste být automaticky přihlášení k SAP HANA, pro kterou jste nastavili jednotné přihlašování.

  • Můžete použít Microsoft Moje aplikace. Když kliknete na dlaždici SAP HANA v Moje aplikace, měli byste být automaticky přihlášení k SAP HANA, pro kterou jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Po konfiguraci SAP HANA můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.