Megosztás a következőn keresztül:

Oktatóanyag: A Microsoft Entra egyszeri bejelentkezés (SSO) integrációja az SAP HANA-val

  • Cikk

Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja az SAP HANA-t a Microsoft Entra ID-val. Ha integrálja az SAP HANA-t a Microsoft Entra ID-val, az alábbiakat teheti:

  • Az SAP HANA-hoz hozzáféréssel rendelkező Microsoft Entra-azonosító vezérlése.
  • Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek az SAP HANA-ba a Microsoft Entra-fiókjukkal.
  • A fiókokat egy központi helyen kezelheti.

Előfeltételek

A Microsoft Entra SAP HANA-val való integrációjának konfigurálásához a következő elemekre van szüksége:

  • Microsoft Entra-előfizetés
  • Az egyszeri bejelentkezést (SSO) engedélyező SAP HANA-előfizetés
  • Olyan HANA-példány, amely bármely nyilvános IaaS-, helyszíni, Azure-beli virtuális vagy SAP-példányon fut az Azure-ban
  • Az XSA Administration webes felülete, valamint a HANA-példányra telepített HANA Studio

Jegyzet

Az oktatóanyag lépéseinek teszteléséhez nem javasoljuk az SAP HANA éles környezetének használatát. Először tesztelje az integrációt az alkalmazás fejlesztési vagy előkészítési környezetében, majd használja az éles környezetet.

Az oktatóanyag lépéseinek teszteléséhez kövesse az alábbi javaslatokat:

  • Microsoft Entra-előfizetés. Ha nem rendelkezik Microsoft Entra-környezettel, itt kaphat egy hónapos próbaverziót
  • SAP HANA egyszeri bejelentkezést engedélyező előfizetés

Forgatókönyv leírása

Ebben az oktatóanyagban a Microsoft Entra egyszeri bejelentkezését konfigurálja és teszteli tesztkörnyezetben.

  • Az SAP HANA támogatja az identitásszolgáltató által kezdeményezett egyszeri bejelentkezést.
  • Az SAP HANA támogatja a felhasználó igény szerinti kiépítését.

Jegyzet

Az alkalmazás azonosítója rögzített sztringérték, így egyetlen bérlőben csak egy példány konfigurálható.

Az SAP HANA Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az SAP HANA-t a katalógusból a felügyelt SaaS-alkalmazások listájához.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
  3. A Gyűjtemény hozzáadása szakaszban írja be az SAP HANA kifejezést a keresőmezőbe.
  4. Válassza az SAP HANA-t a találatok panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése az SAP HANA-hoz

A Microsoft Entra SSO konfigurálása és tesztelése az SAP HANA-val egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az SAP HANA-ban.

A Microsoft Entra SSO SAP HANA-val való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:

  1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
    1. Microsoft Entra tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez Britta Simonnal.
    2. Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy britta Simon használhassa a Microsoft Entra egyszeri bejelentkezést.
  2. Az SAP HANA egyszeri bejelentkezés konfigurálása – az egyszeri bejelentkezési beállítások alkalmazásoldali konfigurálásához.
    1. Hozzon létre SAP HANA-tesztfelhasználót , hogy az SAP HANA-ban Britta Simon megfelelője legyen, amely a felhasználó Microsoft Entra-ábrázolásához kapcsolódik.
  3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat> az SAP HANA>egyszeri bejelentkezéshez.

  3. A Select a single sign-on method page, select SAML.

  4. Az saml-alapú egyszeri bejelentkezés beállítása lapon kattintson az egyszerű SAML-konfiguráció ceruza ikonjára a beállítások szerkesztéséhez.

    Alapszintű SAML-konfiguráció szerkesztése

  5. Az Egyszerű SAML-konfiguráció szakaszban adja meg a következő mezők értékeit:

    A Válasz URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Jegyzet

    A Válasz URL-cím értéke nem valós. Frissítse az értéket a tényleges válasz URL-címmel. Az értékek lekéréséhez lépjen kapcsolatba az SAP HANA ügyféltámogatási csapatával . Az egyszerű SAML-konfiguráció szakaszban látható mintákra is hivatkozhat.

  6. Az SAP HANA-alkalmazás az SAML-állításokat egy adott formátumban várja. Konfigurálja az alábbi jogcímeket ehhez az alkalmazáshoz. Ezeknek az attribútumoknak az értékeit az alkalmazásintegrációs oldal Felhasználói attribútumok szakaszában kezelheti. Az egyszeri bejelentkezés beállítása SAML-lel lapon kattintson a Szerkesztés gombra a Felhasználói attribútumok párbeszédpanel megnyitásához.

    Képernyőkép a

  7. A Felhasználói attribútumok > Jogcímek párbeszédpanel Felhasználói attribútumok szakaszában hajtsa végre a következő lépéseket:

    egy. Kattintson a Szerkesztés ikonra a Felhasználói jogcímek kezelése párbeszédpanel megnyitásához.

    Képernyőkép a

    kép

    b. Az Átalakítás listában válassza az ExtractMailPrefix() lehetőséget.

    c. Az 1. paraméterlistában válassza a user.mail lehetőséget.

    d. Kattintson a Mentés gombra.

  8. Az egyszeri bejelentkezés beállítása SAML-lel lapon, az SAML aláíró tanúsítvány szakaszában kattintson a Letöltés gombra az összevonási metaadatok XML-fájljának letöltéséhez a megadott beállításokból, a követelményeknek megfelelően, és mentse a számítógépre.

    A tanúsítvány letöltési hivatkozása

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.
  2. Tallózással keresse meg az Identitásfelhasználók>>minden felhasználót.
  3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
  4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
    1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
    2. A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . Például: B.Simon@contoso.com.
    3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
    4. Válassza a Véleményezés + létrehozás lehetőséget.
  5. Válassza a Létrehozás lehetőséget.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon az SAP HANA-hoz való hozzáférés biztosításával.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat az SAP HANA-hoz.>
  3. Az alkalmazás áttekintő lapján válassza a Felhasználók és csoportok lehetőséget.
  4. Válassza a Felhasználó/csoport hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
    1. A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listában, majd kattintson a Képernyő alján található Kiválasztás gombra.
    2. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
    3. A Hozzárendelés hozzáadása párbeszédpanelen kattintson a Hozzárendelés gombra.

SAP HANA SSO konfigurálása

  1. Ha az SAP HANA oldalán szeretné konfigurálni az egyszeri bejelentkezést, jelentkezzen be a HANA XSA-webkonzolra a megfelelő HTTPS-végpontra lépve.

    Jegyzet

    Az alapértelmezett konfigurációban az URL átirányítja a kérést egy bejelentkezési képernyőre, amelyhez egy hitelesített SAP HANA-adatbázis-felhasználó hitelesítő adataira van szükség. A bejelentkező felhasználónak rendelkeznie kell az SAML felügyeleti feladatok végrehajtásához szükséges engedélyekkel.

  2. Az XSA webes felületén nyissa meg az SAML-identitásszolgáltatót. A képernyő alján található gombra kattintva + megjelenítheti az Identitásszolgáltató adatainak hozzáadása panelt. Ezután hajtsa végre a következő lépéseket:

    Identitásszolgáltató hozzáadása

    egy. Az Identitásszolgáltató adatainak hozzáadása panelen illessze be a Metaadatok mezőbe a metaadat-xml tartalmát (amelyet letöltött).

    Képernyőkép az

    b. Ha az XML-dokumentum tartalma érvényes, az elemzési folyamat kinyeri az Általános adat képernyőterület Tulajdonos, Entitásazonosító és Kiállító mezőihez szükséges információkat. Emellett kinyeri a Cél képernyőterület URL-mezőihez szükséges információkat, például az Alap URL-címet és a SingleSignOn URL-cím (*) mezőket.

    Identitásszolgáltató beállításainak hozzáadása

    c. Az Általános adatok képernyőterület Név mezőjében adja meg az új SAML SSO-identitásszolgáltató nevét.

    Jegyzet

    Az SAML-azonosító neve kötelező, és egyedinek kell lennie. Megjelenik az elérhető SAML-azonosítók listájában, amelyek akkor jelennek meg, amikor az SAML-t választja a használni kívánt SAP HANA XS-alkalmazások hitelesítési módszereként. Ezt például az XS Artifact Administration eszköz Hitelesítési képernyőterületén teheti meg.

  3. A Mentés gombra kattintva mentse az SAML-identitásszolgáltató adatait, és adja hozzá az új SAML-azonosítót az ismert SAML-azonosítók listájához.

    Mentés gomb

  4. A HANA Studióban a Konfiguráció lap rendszertulajdonságaiban szűrje a beállításokat saml alapján. Ezután állítsa be a assertion_timeout 10 másodpercről 120 másodpercre.

    assertion_timeout beállítás

SAP HANA-tesztfelhasználó létrehozása

Ahhoz, hogy a Microsoft Entra-felhasználók bejelentkezhessenek az SAP HANA-ba, ki kell őket építenie az SAP HANA-ban. Az SAP HANA támogatja az igény szerinti üzembe helyezést, amely alapértelmezés szerint engedélyezve van.

Ha manuálisan kell létrehoznia egy felhasználót, hajtsa végre a következő lépéseket:

Jegyzet

Módosíthatja a felhasználó által használt külső hitelesítést. Hitelesítést végezhetnek külső rendszerekkel, például Kerberossal. A külső identitásokkal kapcsolatos részletes információkért forduljon a tartományi rendszergazdához.

  1. Nyissa meg rendszergazdaként az SAP HANA Studiót , majd engedélyezze a DB-felhasználót az SAML SSO-hoz.

  2. Jelölje be az SAML bal oldalán található láthatatlan jelölőnégyzetet, majd válassza a Konfigurálás hivatkozást.

  3. Válassza a Hozzáadás lehetőséget az SAML-azonosító hozzáadásához. Válassza ki a megfelelő SAML-azonosítót, majd kattintson az OK gombra.

  4. Adja hozzá a külső identitást (ebben az esetben BrittaSimon). Ezután válassza az OK gombot.

    Jegyzet

    Ki kell töltenie a felhasználó Külső identitás mezőjét, és ennek az értéknek meg kell egyeznie a Microsoft Entra ID SAML-jogkivonatának NameID mezőjével. A Bármely jelölőnégyzetet nem kell bejelölni, mivel ehhez a beállításhoz az IDP-nek spProviderID tulajdonságot kell küldenie a NameID mezőben, amelyet a Microsoft Entra ID jelenleg nem támogat. További információ: Egyszeri bejelentkezés AZ SAML 2.0 használatával.

  5. Tesztelési célokból rendelje hozzá az összes XS-szerepkört a felhasználóhoz.

    Szerepkörök hozzárendelése

    Borravaló

    Csak a használati esetekhez megfelelő engedélyeket kell megadnia.

  6. Mentse a felhasználót.

Egyszeri bejelentkezés tesztelése

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

  • Kattintson az alkalmazás tesztelésére, és automatikusan be kell jelentkeznie ahhoz az SAP HANA-hoz, amelyhez beállította az egyszeri bejelentkezést

  • Használhatja a Microsoft Saját alkalmazások. Amikor a Saját alkalmazások az SAP HANA csempére kattint, automatikusan be kell jelentkeznie ahhoz az SAP HANA-hoz, amelyhez beállította az egyszeri bejelentkezést. A Saját alkalmazások további információ: Bevezetés a Saját alkalmazások.

Következő lépések

Az SAP Cloud Identity Servicesből az SAP HANA-ba történő kiépítés az SAP Business Technology Platformon elérhető bétaszolgáltatás. További információkért tekintse meg, hogyan konfigurálhatja a felhasználók kiépítését a Microsoft Entra ID-ból az SAP Cloud Identity Servicesbe, és hogyan konfigurálhatja a felhasználók kiépítését az SAP Cloud Identity Servicesből az SAP HANA Database-be (bétaverzió).

Miután konfigurálta az SAP HANA-t az egyszeri bejelentkezéshez, kényszerítheti a munkamenet-vezérlést, amely megakadályozza a szervezet bizalmas adatainak valós idejű kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.