Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con SAP HANA
En este tutorial, descubrirá cómo integrar SAP HANA con Microsoft Entra ID. Al integrar SAP HANA con Microsoft Entra ID, puede:
- Controlar en Microsoft Entra ID quién tiene acceso a SAP HANA.
- Permitir que los usuarios puedan iniciar sesión automáticamente en SAP HANA con sus cuentas de Microsoft Entra.
- Administre sus cuentas en una ubicación central.
Requisitos previos
Para configurar la integración de Microsoft Entra con SAP HANA, necesita lo siguiente:
- Una suscripción a Microsoft Entra
- Una suscripción de SAP HANA habilitada para el inicio de sesión único (SSO)
- Una instancia de HANA en ejecución en cualquier IaaS pública, instancias locales, VM de Azure o instancias grandes de SAP en Azure
- La interfaz web de administración de XSA, así como HANA Studio instalados en la instancia HANA
Nota:
Para probar los pasos de este tutorial, no se recomienda el uso de un entorno de producción de SAP HANA. Pruebe primero la integración en el entorno de desarrollo o de ensayo de la aplicación y, después, use el entorno de producción.
Para probar los pasos de este tutorial, siga estas recomendaciones:
- Una suscripción a Microsoft Entra. Si no tiene un entorno de Microsoft Entra, puede obtener una versión de evaluación de un mes aquí.
- Una suscripción habilitada para el inicio de sesión único en SAP HANA
Descripción del escenario
En este tutorial se configura y prueba el inicio de sesión único de Microsoft Entra en un entorno de prueba.
- SAP HANA admite el inicio de sesión único iniciado por IDP.
- SAP HANA admite el aprovisionamiento de usuarios cuando es necesario.
Nota:
El identificador de esta aplicación es un valor de cadena fijo, por lo que solo se puede configurar una instancia en un inquilino.
Incorporación de SAP HANA desde la galería
Para configurar la integración de SAP HANA en Microsoft Entra ID, será preciso que agregue SAP HANA desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería, escriba SAP HANA en el cuadro de búsqueda.
- Seleccione SAP HANA en el panel de resultados y, después, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
Si lo desea, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.
Configuración y prueba del inicio de sesión único de Microsoft Entra para SAP HANA
Configure y pruebe el inicio de sesión único de Microsoft Entra con SAP HANA mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de SAP HANA.
Para configurar y probar el inicio de sesión único de Microsoft Entra con SAP HANA, complete los siguientes pasos:
- Configurar el SSO de Microsoft Entra para que los usuarios puedan usar esta característica.
- Crear un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con Britta Simon.
- Asignar el usuario de prueba de Microsoft Entra para que Britta Simon pueda usar el inicio de sesión único de Microsoft Entra.
- Configurar el inicio de sesión único en SAP HANA para configurar los valores de inicio de sesión único en la aplicación.
- Crear un usuario de prueba de SAP HANA para tener un homólogo de Britta Simon en SAP HANA que esté vinculado a la representación del usuario en Microsoft Entra.
- Probar el SSO para comprobar si la configuración funciona.
Configuración del SSO de Microsoft Entra
Siga estos pasos para habilitar el SSO de Microsoft Entra.
Inicie sesión en el Centro de administración Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>SAP HANA>Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.
En la sección Configuración básica de SAML, especifique los valores de los siguientes campos:
En el cuadro de texto URL de respuesta, escriba una dirección URL con el siguiente patrón:
https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc
Nota:
El valor de dirección URL de respuesta no es real. Actualícelo con la dirección URL de respuesta real. Póngase en contacto con el equipo de soporte al cliente de SAP HANA para obtener los valores. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML.
La aplicación SAP HANA espera las aserciones de SAML en un formato específico. Configure las siguientes notificaciones para esta aplicación. Puede administrar los valores de estos atributos en la sección Atributos de usuario de la página de integración de aplicaciones. En la página Configurar el inicio de sesión único con SAML, haga clic en el botón Editar para abrir el cuadro de diálogo Atributos de usuario.
En la sección Atributos del usuario del cuadro de diálogo Atributos y notificaciones de usuario, siga estos pasos:
a. Haga clic en el icono Editar para abrir el cuadro de diálogo Administrar las notificaciones del usuario.
b. En la lista Transformación, seleccione ExtractMailPrefix().
c. En la lista Parámetro 1, seleccione user.mail.
d. Haga clic en Save (Guardar).
En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, haga clic en Descargar para descargar el XML de metadatos de federación de las opciones proporcionadas según sus requisitos y guárdelo en el equipo.
Creación de un usuario de prueba de Microsoft Entra
En esta sección, se crea un usuario de prueba llamado B.Simon.
- Inicie sesión en el Centro de administración Microsoft Entra al menos como Administrador de usuario.
- Ve a Identidad>Usuarios>Todos los usuarios.
- Seleccione Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
- En las propiedades del usuario, siga estos pasos:
- En el campo Nombre para mostrar, escriba
B.Simon
. - En el campo Nombre principal de usuario, escriba username@companydomain.extension. Por ejemplo,
B.Simon@contoso.com
. - Seleccione la casilla Mostrar contraseña y, después, anote el valor que se muestra en el cuadro Contraseña.
- Seleccione Revisar + crear.
- En el campo Nombre para mostrar, escriba
- Seleccione Crear.
Asignación del usuario de prueba de Microsoft Entra
En esta sección va a permitir que B.Simon utilice el inicio de sesión único concediéndole acceso a SAP HANA.
- Inicie sesión en el Centro de administración Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>SAP HANA.
- En la página de información general de la aplicación, seleccione Usuarios y grupos.
- Selecciona Agregar usuario o grupo y luego, en el cuadro de diálogo Agregar asignación, selecciona Usuarios y grupos.
- En el cuadro de diálogo Usuarios y grupos, selecciona B.Simon de la lista de usuarios y haz clic en el botón Seleccionar de la parte inferior de la pantalla.
- Si esperas que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verás seleccionado el rol "Acceso predeterminado".
- En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.
Configuración del inicio de sesión único de SAP HANA
Para configurar el inicio de sesión único en SAP HANA, inicie sesión en la consola web de HANA XSA en el punto de conexión HTTPS respectivo.
Nota:
En la configuración predeterminada, la dirección URL redirige la solicitud a una pantalla de inicio de sesión, que requiere las credenciales de un usuario de base de datos de SAP HANA autenticado. El usuario que inicie sesión debe tener los permisos para realizar las tareas de administración de SAML.
En la interfaz web de XSA, vaya al proveedor de identidades SAML. A partir de ahí, seleccione el botón + en la parte inferior de la pantalla para mostrar el panel Add Identity Provider Info (Agregar información del proveedor de identidades). Después, siga estos pasos:
a. En el panel Add Identity Provider Info (Agregar información del proveedor de identidades), pegue el contenido del archivo XML de metadatos que descargó en el cuadro Metadatos.
b. Si el contenido del documento XML es válido, el proceso de análisis extrae la información necesaria para los campos Asunto, Id. de entidad y Emisor del área de pantalla Datos generales. También extrae la información necesaria para los campos de dirección URL del área de pantalla Destino, por ejemplo, los campos URL base y Dirección URL de inicio de sesión único (*).
c. En el cuadro Nombre del área de pantalla Datos generales, escriba un nombre para el nuevo proveedor de identidades de SSO de SAML.
Nota:
El nombre del proveedor de identidades de SAML es obligatorio y debe ser único. Aparece en la lista de proveedores de identidades de SAML disponibles que se muestra cuando se selecciona SAML como método de autenticación que debe usarse para aplicaciones SAP HANA XS. Por ejemplo, puede hacer eso en el área de pantalla Autenticación de la herramienta XS Artifact Administration.
Seleccione Guardar para guardar los detalles del proveedor de identidades de SAML y para agregar el nuevo proveedor de identidades de SAML a la lista de conocidos.
En HANA Studio, en las propiedades del sistema de la pestaña Configuration (Configuración), filtre los valores porsaml. Después, ajuste assertion_timeout de 10 s a 120 s.
Creación de un usuario de prueba en SAP HANA
Para permitir que los usuarios de Microsoft Entra inicien sesión en SAP HANA, debe aprovisionarlos en SAP HANA. SAP HANA admite el aprovisionamiento cuando es necesario, que está habilitado de forma predeterminada.
Si tiene que crear manualmente un usuario, siga los pasos siguientes:
Nota:
Puede cambiar la autenticación externa que usa el usuario. Pueden autenticarse con un sistema externo, como Kerberos. Para obtener información detallada acerca de las identidades externas, póngase en contacto con su administrador de dominio.
Abra SAP HANA Studio como administrador y, después, active el usuario de base de datos de SSO de SAML.
Seleccione la casilla invisible a la izquierda de SAML y, después, seleccione el vínculo Configurar.
Seleccione Agregar para agregar el proveedor de identidades de SAML. Seleccione el proveedor de identidades de SAML adecuado y, después, seleccione Aceptar.
Agregue el valor de External Identity (Identidad externa) (en este caso, BrittaSimon). Después, seleccione Aceptar.
Nota:
Debe rellenar el campo Identidad externa del usuario y ese valor debe coincidir con el campo NameID del token SAML de Microsoft Entra ID. La casilla Cualquiera no se debe activar, ya que esta opción requiere que el IDP envíe una propiedad SPProviderID al campo NameID, que actualmente no es compatible con Microsoft Entra ID. Para obtener más información, vea Inicio de sesión único con SAML 2.0.
Para realizar pruebas, asigne todos los roles de XS para el usuario.
Sugerencia
Debe conceder permisos adecuados solo para los casos de uso.
Guarde el usuario.
Prueba de SSO
En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.
Al hacer clic en Probar esta aplicación debería iniciar sesión automáticamente en la instancia de SAP HANA para la que ha configurado el SSO
Puede usar Mis aplicaciones de Microsoft. Al hacer clic en el icono de SAP HANA en Aplicaciones, debería iniciar sesión automáticamente en la versión de SAP HANA para la que configuró el inicio de sesión único. Para más información acerca de Aplicaciones, vea Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.
Pasos siguientes
El aprovisionamiento desde SAP Cloud Identity Services a SAP HANA es una característica beta disponible en SAP Business Technology Platform. Para obtener más información, vea cómo configurar el aprovisionamiento de usuarios Microsoft Entra ID a SAP Cloud Identity Services y cómo configurar el aprovisionamiento de usuarios desde SAP Cloud Identity Services a una base de datos SAP HANA (versión beta).
Una vez configurado SAP HANA para el inicio de sesión único, puede aplicar el control de sesión, que impide la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender for Cloud Apps.