Freigeben über

Konfigurieren von SAP HANA für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie SAP HANA mit Microsoft Entra ID integrieren. Die Integration von SAP HANA in Microsoft Entra ID ermöglicht Folgendes:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf SAP HANA hat.
  • Sie können Ihren Benutzer*innen ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei SAP HANA anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • Ein SAP HANA-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist
  • Eine in einer öffentlichen IaaS-Umgebung, lokal, auf virtuellen Azure-Computern oder in großen SAP-Instanzen in Azure ausgeführte HANA-Instanz
  • Die XSA Administration-Webschnittstelle und HANA Studio auf der HANA-Instanz installiert

Hinweis

Es wird nicht empfohlen, eine Produktionsumgebung von SAP HANA zu verwenden, um die Schritte in diesem Artikel zu testen. Testen Sie die Integration zuerst in der Entwicklungs- oder Stagingumgebung der Anwendung, und verwenden Sie erst danach die Produktionsumgebung.

Führen Sie die folgenden Empfehlungen aus, um die Schritte in diesem Artikel zu testen:

  • Ein Microsoft Entra-Abonnement. Wenn Sie keine Microsoft Entra-Umgebung haben, können Sie hier eine einmonatige Testversion erhalten
  • SAP HANA-Abonnement, das für das einmalige Anmelden aktiviert ist

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • SAP HANA unterstützt IDP-initiiertes SSO.
  • SAP HANA unterstützt die Just-in-Time-Benutzerbereitstellung .

Hinweis

Der Bezeichner dieser Anwendung ist ein fester Zeichenfolgenwert, daher kann in einem Mandanten nur eine Instanz konfiguriert werden.

Zum Konfigurieren der Integration von SAP HANA in Microsoft Entra ID müssen Sie SAP HANA aus dem Katalog der Liste mit den verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus der Galerie hinzufügenSAP HANA in das Suchfeld ein.
  4. Wählen Sie SAP HANA aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für SAP HANA

Konfigurieren und testen Sie Microsoft Entra SSO mit SAP HANA mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in SAP HANA eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit SAP HANA die folgenden Schritte aus:

  1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit Britta Simon zu testen.
    2. Weisen Sie den Microsoft Entra-Testbenutzer zu – damit Britta Simon microsoft Entra Single Sign-On verwenden kann.
  2. Konfigurieren Sie SAP HANA SSO – um die Einstellungen für einmaliges Anmelden auf Anwendungsseite zu konfigurieren.
    1. Erstellen Sie SAP HANA-Testbenutzer – um ein Gegenstück von Britta Simon in SAP HANA zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
  3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>SAP HANA>Single Sign-On.

  3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

  4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Grundlegende SAML-Konfiguration bearbeiten

  5. Geben Sie im Abschnitt "Grundlegende SAML-Konfiguration " die Werte für die folgenden Felder ein:

    Geben Sie im Textfeld "Antwort-URL " eine URL mit dem folgenden Muster ein: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Hinweis

    Der Wert von Antwort-URL entspricht nicht dem tatsächlichen Wert. Aktualisieren Sie den Wert mit der richtigen Antwort-URL. Wenden Sie sich an das SAP HANA Client-Supportteam , um die Werte zu erhalten. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

  6. Die SAP HANA-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Konfigurieren Sie die folgenden Ansprüche für diese Anwendung. Sie können die Werte dieser Attribute über den Abschnitt " Benutzerattribute " auf der Anwendungsintegrationsseite verwalten. Wählen Sie auf der Seite " Einzelne Sign-On mit SAML einrichten " die Schaltfläche "Bearbeiten " aus, um das Dialogfeld " Benutzerattribute " zu öffnen.

    Screenshot des Abschnitts

  7. Führen Sie im Abschnitt "Benutzerattribute " im Dialogfeld " Benutzerattribute & Ansprüche " die folgenden Schritte aus:

    a) Wählen Sie das Symbol "Bearbeiten" aus, um das Dialogfeld " Benutzeransprüche verwalten" zu öffnen.

    Screenshot des Dialogfelds

    Bild

    b. Wählen Sie in der Transformation Liste ExtractMailPrefix() aus.

    Abschnitt c. Wählen Sie in der Liste "Parameter 1 " die Option "user.mail" aus.

    d. Wählen Sie "Speichern" aus.

  8. Wählen Sie auf der Seite "Einzelne Sign-On mit SAML einrichten" im Abschnitt "SAML-Signaturzertifikat" die Option "Herunterladen" aus den angegebenen Optionen, um die Federation Metadata XML herunterzuladen, und speichern Sie sie auf Ihrem Computer.

    Der Link zum Herunterladen des Zertifikats

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Richtlinien im Erstellen und Zuweisen eines Benutzerkontos Schnellstart, um ein Testbenutzerkonto mit dem Namen B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens für SAP HANA

  1. Um einmaliges Anmelden auf der SAP HANA-Seite zu konfigurieren, melden Sie sich bei Ihrer HANA XSA Web Console an, indem Sie zum jeweiligen HTTPS-Endpunkt wechseln.

    Hinweis

    In der Standardkonfiguration leitet die URL die Anforderung an einen Anmeldebildschirm weiter. Dafür sind die Anmeldeinformationen eines authentifizierten SAP HANA-Datenbankbenutzers erforderlich. Der Benutzer, der sich anmeldet, benötigt Berechtigungen zum Ausführen von SAML-Verwaltungsaufgaben.

  2. Wechseln Sie in der XSA-Webschnittstelle zu SAML-Identitätsanbieter. Klicken Sie dort am unteren Rand des Bildschirms auf die Schaltfläche + , um den Bereich + (Identitätsanbieterinformationen hinzufügen) anzuzeigen. Führen Sie dann die folgenden Schritte aus:

    Identitätsanbieter hinzufügen

    a) Fügen Sie im Infobereich " Identitätsanbieter hinzufügen " den Inhalt der Metadaten-XML (die Sie heruntergeladen haben) in das Feld "Metadaten " ein.

    Screenshot des Bereichs

    b. Wenn der Inhalt des XML-Dokuments gültig ist, extrahiert der Analyseprozess die Informationen, die für die Felder "Betreff", "Entitäts-ID" und "Aussteller " im Bereich " Allgemeine Daten " erforderlich sind. Außerdem werden die Informationen extrahiert, die für die URL-Felder im Zielbildschirmbereich erforderlich sind, z. B. die Felder "Basis-URL" und "SingleSignOn-URL (*)" .

    Hinzufügen von Identitätsanbietereinstellungen

    Abschnitt c. Geben Sie im Feld "Name " des Bildschirmbereichs " Allgemeine Daten " einen Namen für den neuen SAML-SSO-Identitätsanbieter ein.

    Hinweis

    Der Name des SAML-IDP ist zwingend erforderlich und muss eindeutig sein. Sie wird in der Liste der verfügbaren SAML-IDPs angezeigt, die angezeigt werden, wenn Sie SAML als Authentifizierungsmethode für zu verwendende SAP HANA XS-Anwendungen auswählen. Dies können Sie beispielsweise im Authentifizierungsbildschirmbereich des Tools für die XS-Artefaktverwaltung ausführen.

  3. Wählen Sie "Speichern" aus, um die Details des SAML-Identitätsanbieters zu speichern und den neuen SAML-IDP zur Liste der bekannten SAML-IDPs hinzuzufügen.

    Schaltfläche

  4. Filtern Sie in HANA Studio innerhalb der Systemeigenschaften auf der Registerkarte Konfiguration die Einstellungen nach saml. Passen Sie dann die assertion_timeout von 10 Sek . auf 120 Sek. an.

    Einstellung für Überprüfungs-Timeout

Erstellen eines SAP HANA-Testbenutzers

Um für Microsoft Entra-Benutzer das Anmelden bei SAP HANA zu aktivieren, müssen Sie sie in SAP HANA bereitstellen. SAP HANA unterstützt die Just-in-Time-Bereitstellung, die standardmäßig aktiviert ist.

Wenn Sie manuell einen Benutzer erstellen müssen, führen Sie die folgenden Schritte aus:

Hinweis

Sie können die vom Benutzer verwendete externe Authentifizierung ändern. Die Benutzer können sich mit einem externen System wie Kerberos authentifizieren. Für detaillierte Informationen zu externen Identitäten wenden Sie sich an Ihren Domänenadministrator.

  1. Öffnen Sie sap HANA Studio als Administrator, und aktivieren Sie dann den DB-User für SAML SSO.

  2. Aktivieren Sie das unsichtbare Kontrollkästchen links neben SAML, und wählen Sie dann den Link "Konfigurieren" aus.

  3. Wählen Sie "Hinzufügen" aus, um den SAML-IDP hinzuzufügen. Wählen Sie den entsprechenden SAML-IDP und dann "OK" aus.

  4. Fügen Sie die externe Identität hinzu (in diesem Fall BrittaSimon). Wählen Sie dann OK aus.

    Hinweis

    Sie müssen das Feld "Externe Identität " für den Benutzer auffüllen, und dieser Wert muss mit dem Feld "NameID " im SAML-Token von Microsoft Entra ID übereinstimmen. Das Kontrollkästchen "Any " sollte nicht aktiviert werden, da diese Option erfordert, dass der IDP eine SPProviderID-Eigenschaft im NameID-Feld sendet, die derzeit nicht von Microsoft Entra ID unterstützt wird. Weitere Informationen finden Sie unter Single Sign-On Using SAML 2.0.

  5. Weisen Sie dem Benutzer zu Testzwecken alle XS-Rollen zu.

    Zuweisen von Rollen

    Tipp

    Sie sollten nur die Berechtigungen zuweisen, die für Ihre Anwendungsfälle erforderlich sind.

  6. Speichern Sie den Benutzer.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

  • Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch bei sap HANA angemeldet sein, für das Sie das SSO einrichten.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die SAP HANA-Kachel in den "Meine Apps" auswählen, sollten Sie automatisch bei der SAP HANA angemeldet sein, für die Sie das SSO einrichten. Weitere Informationen zu "Meine Apps" finden Sie in der Einführung in "Meine Apps".

Verwandte Inhalte

Die Bereitstellung von SAP Cloud Identity Services auf SAP HANA ist ein Betafeature, das auf der SAP Business Technology Platform zur Verfügung steht. Weitere Informationen finden Sie unter Konfigurieren der Bereitstellung von Benutzern von Microsoft Entra ID an SAP Cloud Identity Services und wie Sie die Bereitstellung von Benutzern von SAP Cloud Identity Services in SAP HANA Database (Beta) konfigurieren.

Nach dem Konfigurieren von SAP HANA für SSO können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.