Sdílet prostřednictvím

Kurz: Integrace jednotného přihlašování (SSO) Microsoft Entra se SAP HANA

  • Článek

V tomto kurzu se dozvíte, jak integrovat SAP HANA s Microsoft Entra ID. Když integrujete SAP HANA s Microsoft Entra ID, můžete:

  • Řízení v Microsoft Entra ID, který má přístup k SAP HANA.
  • Povolte uživatelům, aby se k SAP HANA automaticky přihlásili pomocí svých účtů Microsoft Entra.
  • Spravujte účty v jednom centrálním umístění.

Požadavky

Ke konfiguraci integrace Microsoft Entra se SAP HANA potřebujete následující položky:

  • Předplatné Microsoft Entra
  • Předplatné SAP HANA s povoleným jednotným přihlašováním
  • Instance HANA, která běží na všech veřejných instancích IaaS, místních, virtuálních počítačích Azure nebo velkých instancích SAP v Azure
  • Webové rozhraní XSA Správa istrace a také HANA Studio nainstalované v instanci HANA

Poznámka:

K otestování kroků v tomto kurzu nedoporučujeme používat produkční prostředí SAP HANA. Nejprve otestujte integraci ve vývojovém nebo přípravném prostředí aplikace a pak použijte produkční prostředí.

Pokud chcete otestovat kroky v tomto kurzu, postupujte podle těchto doporučení:

  • Předplatné Microsoft Entra. Pokud nemáte prostředí Microsoft Entra, můžete získat měsíční zkušební verzi tady.
  • Předplatné s povoleným jednotným přihlašováním SAP HANA

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

  • SAP HANA podporuje jednotné přihlašování iniciované protokolem IDP .
  • SAP HANA podporuje zřizování uživatelů za běhu .

Poznámka:

Identifikátor této aplikace je pevná řetězcová hodnota, takže v jednom tenantovi je možné nakonfigurovat pouze jednu instanci.

Pokud chcete nakonfigurovat integraci SAP HANA do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat SAP HANA z galerie.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
  3. Do části Přidat z galerie zadejte do vyhledávacího pole SAP HANA.
  4. Na panelu výsledků vyberte SAP HANA a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro SAP HANA

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s SAP HANA pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v SAP HANA.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s SAP HANA, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
    1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí Britta Simon.
    2. Přiřaďte testovacího uživatele Microsoft Entra , aby britta Simon mohl používat jednotné přihlašování Microsoft Entra.
  2. Konfigurace jednotného přihlašování SAP HANA – konfigurace nastavení jednotného přihlašování na straně aplikace
    1. Vytvořte testovacího uživatele SAP HANA – pokud chcete mít protějšek Britta Simon v SAP HANA, který je propojený s reprezentací uživatele Microsoft Entra.
  3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Přejděte k podnikovým aplikacím>identit>>SAP HANA>– Jednotné přihlašování.

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Upravit základní konfiguraci SAML

  5. V části Základní konfigurace SAML zadejte hodnoty pro následující pole:

    Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Poznámka:

    Hodnota adresy URL odpovědi není skutečná. Aktualizujte hodnotu skutečnou adresou URL odpovědi. Pokud chcete získat hodnoty, obraťte se na tým podpory klienta SAP HANA. Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML.

  6. Aplikace SAP HANA očekává kontrolní výrazy SAML v určitém formátu. Nakonfigurujte pro tuto aplikaci následující deklarace identity. Hodnoty těchto atributů můžete spravovat v části Atributy uživatele na stránce integrace aplikace. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte na tlačítko Upravit a otevřete dialogové okno Atributy uživatele.

    Snímek obrazovky znázorňující oddíl Atributy uživatele s vybranou ikonou Upravit

  7. V části Atributy uživatele v dialogovém okně Atributy a deklarace identity uživatele proveďte následující kroky:

    a. Kliknutím na ikonu Upravit otevřete dialogové okno Spravovat deklarace identity uživatelů.

    Snímek obrazovky znázorňující dialogové okno Atributy a deklarace identity uživatele s vybranou ikonou Upravit

    image

    b. V seznamu transformace vyberte ExtractMailPrefix().

    c. V seznamu Parametr 1 vyberte user.mail.

    d. Klikněte na Uložit.

  8. Na stránce Nastavit jednotné přihlašování pomocí SAML klikněte v části Podpisový certifikát SAML na tlačítko Stáhnout a stáhněte xml federačních metadat z uvedených možností podle vašeho požadavku a uložte ho do počítače.

    Odkaz ke stažení certifikátu

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

  1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
  2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
  3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
  4. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Zobrazovaný název zadejte B.Simon.
    2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
    4. Vyberte Zkontrolovat a vytvořit.
  5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k SAP HANA.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte k podnikovým aplikacím>>identit>SAP HANA.
  3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
    1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
    2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
    3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace jednotného přihlašování SAP HANA

  1. Pokud chcete nakonfigurovat jednotné přihlašování na straně SAP HANA, přihlaste se k webové konzole HANA XSA tak, že přejdete na příslušný koncový bod HTTPS.

    Poznámka:

    Ve výchozí konfiguraci adresa URL přesměruje požadavek na přihlašovací obrazovku, která vyžaduje přihlašovací údaje ověřeného uživatele databáze SAP HANA. Uživatel, který se přihlásí, musí mít oprávnění k provádění úloh správy SAML.

  2. Ve webovém rozhraní XSA přejděte ke zprostředkovateli identity SAML. Odtud vyberte + tlačítko v dolní části obrazovky a zobrazte podokno Přidat informace o zprostředkovateli identity. Pak postupujte následovně:

    Přidání zprostředkovatele identity

    a. V podokně Přidat informace o zprostředkovateli identity vložte obsah XML metadat (který jste stáhli) do pole Metadata.

    Snímek obrazovky znázorňující podokno Přidat informace o zprostředkovateli identity se zvýrazněnými poli Metadata a Název

    b. Pokud je obsah dokumentu XML platný, proces analýzy extrahuje informace, které jsou požadovány pro pole Předmět, ID entity a Vystavitel v oblasti Obecná datová obrazovka. Extrahuje také informace potřebné pro pole adresy URL v oblasti cílové obrazovky, například pole Základní adresa URL a Adresa URL singleSignOn (*).

    Přidání nastavení zprostředkovatele identity

    c. Do pole Název v oblasti Obecné data zadejte název nového zprostředkovatele identity jednotného přihlašování SAML.

    Poznámka:

    Název ZDP SAML je povinný a musí být jedinečný. Zobrazí se v seznamu dostupných zprostředkovatele IDENTITY SAML, které se zobrazí při výběru SAML jako metody ověřování pro aplikace SAP HANA XS, které se mají použít. Můžete to například provést v oblasti ověřovací obrazovky nástroje Správa istrace artefaktů XS.

  3. Výběrem možnosti Uložit uložte podrobnosti o zprostředkovateli identity SAML a přidejte nový PROTOKOL IDP SAML do seznamu známých zprostředkovatelů IDENTITY SAML.

    Tlačítko Uložit

  4. V nástroji HANA Studio v rámci systémových vlastností na kartě Konfigurace vyfiltrujte nastavení podle saml. Potom upravte assertion_timeout od 10 sekund do 120 sekund.

    nastavení assertion_timeout

Vytvoření testovacího uživatele SAP HANA

Pokud chcete uživatelům Microsoft Entra povolit přihlášení k SAP HANA, musíte je zřídit v SAP HANA. SAP HANA podporuje zřizování za běhu, které je ve výchozím nastavení povolené.

Pokud potřebujete uživatele vytvořit ručně, postupujte následovně:

Poznámka:

Můžete změnit externí ověřování, které uživatel používá. Můžou se ověřit pomocí externího systému, jako je kerberos. Podrobné informace o externích identitách získáte od správce domény.

  1. Otevřete SAP HANA Studio jako správce a povolte uživatele DB-User pro jednotné přihlašování SAML.

    Vytvořit uživatele

  2. Zaškrtněte neviditelné políčko vlevo od SAML a pak vyberte odkaz Konfigurovat .

  3. Vyberte Přidat a přidejte protokol IDP SAML. Vyberte příslušný protokol IDP SAML a pak vyberte OK.

  4. Přidejte externí identitu (v tomto případě BrittaSimon). Pak vyberte OK.

    Poznámka:

    Musíte vyplnit pole Externí identita uživatele a tato hodnota musí odpovídat poli NameID v tokenu SAML z Microsoft Entra ID. Zaškrtávací políčko Any by nemělo být zaškrtnuto, protože tato možnost vyžaduje, aby IDP odeslal vlastnost SPProviderID v poli NameID, která není aktuálně podporována Microsoft Entra ID. Další informace najdete v tématu Jednotné přihlašování pomocí SAML 2.0.

  5. Pro účely testování přiřaďte uživateli všechny role XS .

    Přiřazení rolí

    Tip

    Měli byste udělit oprávnění, která jsou vhodná jenom pro vaše případy použití.

  6. Uložte uživatele.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

  • Klikněte na Otestovat tuto aplikaci a měli byste být automaticky přihlášení k SAP HANA, pro kterou jste nastavili jednotné přihlašování.

  • Můžete použít Microsoft Moje aplikace. Když kliknete na dlaždici SAP HANA v Moje aplikace, měli byste být automaticky přihlášení k SAP HANA, pro kterou jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Zřizování ze služeb SAP Cloud Identity Services pro SAP HANA je beta funkce dostupná na platformě SAP Business Technology Platform. Další informace najdete v tématu konfigurace zřizování uživatelů z Microsoft Entra ID do SAP Cloud Identity Services a konfigurace zřizování uživatelů ze sap Cloud Identity Services do databáze SAP HANA (beta verze).

Jakmile nakonfigurujete SAP HANA pro jednotné přihlašování, můžete vynutit řízení relace, které brání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.