Oktatóanyag: A Microsoft Entra integrációja az SAP HANA-val

  • Cikk

Ebben az oktatóanyagban megtudhatja, hogyan integrálhatja az SAP HANA-t a Microsoft Entra ID-val. Ha integrálja az SAP HANA-t a Microsoft Entra ID-val, az alábbiakat teheti:

  • Az SAP HANA-hoz hozzáféréssel rendelkező Microsoft Entra-azonosító vezérlése.
  • Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek az SAP HANA-ba a Microsoft Entra-fiókjukkal.
  • A fiókokat egy központi helyen kezelheti.

Előfeltételek

A Microsoft Entra SAP HANA-val való integrációjának konfigurálásához a következő elemekre van szüksége:

  • Microsoft Entra-előfizetés
  • Az egyszeri bejelentkezést (SSO) engedélyező SAP HANA-előfizetés
  • Olyan HANA-példány, amely bármely nyilvános IaaS-, helyszíni, Azure-beli virtuális vagy SAP-példányon fut az Azure-ban
  • Az XSA Rendszergazda istration webes felülete, valamint a HANA-példányra telepített HANA Studio

Megjegyzés:

Az oktatóanyag lépéseinek teszteléséhez nem javasoljuk az SAP HANA éles környezetének használatát. Először tesztelje az integrációt az alkalmazás fejlesztési vagy előkészítési környezetében, majd használja az éles környezetet.

Az oktatóanyag lépéseinek teszteléséhez kövesse az alábbi javaslatokat:

  • Microsoft Entra-előfizetés. Ha nem rendelkezik Microsoft Entra-környezettel, itt kaphat egy hónapos próbaverziót
  • SAP HANA egyszeri bejelentkezést engedélyező előfizetés

Forgatókönyv leírása

Ebben az oktatóanyagban a Microsoft Entra egyszeri bejelentkezését konfigurálja és teszteli tesztkörnyezetben.

  • Az SAP HANA támogatja az identitásszolgáltató által kezdeményezett egyszeri bejelentkezést.
  • Az SAP HANA támogatja a felhasználó igény szerinti kiépítését.

Megjegyzés:

Az alkalmazás azonosítója rögzített sztringérték, így egyetlen bérlőben csak egy példány konfigurálható.

Az SAP HANA Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az SAP HANA-t a katalógusból a felügyelt SaaS-alkalmazások listájához.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Új alkalmazás.
  3. A Gyűjtemény hozzáadása szakaszban írja be az SAP HANA kifejezést a keresőmezőbe.
  4. Válassza az SAP HANA-t a találatok panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése az SAP HANA-hoz

A Microsoft Entra SSO konfigurálása és tesztelése az SAP HANA-val egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az SAP HANA-ban.

A Microsoft Entra SSO SAP HANA-val való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:

  1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
    1. Microsoft Entra tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez Britta Simonnal.
    2. Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy britta Simon használhassa a Microsoft Entra egyszeri bejelentkezést.
  2. Konfigurálja az SAP HANA egyszeri bejelentkezést – az egyszeri bejelentkezés beállításainak konfigurálásához az alkalmazás oldalán.
    1. Hozzon létre SAP HANA-tesztfelhasználót , hogy az SAP HANA-ban Britta Simon megfelelője legyen, amely a felhasználó Microsoft Entra-ábrázolásához kapcsolódik.
  3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat> az SAP HANA>egyszeri bejelentkezéshez.

  3. A Select a single sign-on method page, select SAML.

  4. Az saml-alapú egyszeri bejelentkezés beállítása lapon kattintson az egyszerű SAML-konfiguráció ceruza ikonjára a beállítások szerkesztéséhez.

    Edit Basic SAML Configuration

  5. Az Egyszerű SAML-konfiguráció szakaszban adja meg a következő mezők értékeit:

    A Válasz URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Megjegyzés:

    A Válasz URL-cím értéke nem valós. Frissítse az értéket a tényleges válasz URL-címmel. Az értékek lekéréséhez lépjen kapcsolatba az SAP HANA ügyféltámogatási csapatával . Az egyszerű SAML-konfiguráció szakaszban látható mintákra is hivatkozhat.

  6. Az SAP HANA-alkalmazás az SAML-állításokat egy adott formátumban várja. Konfigurálja az alábbi jogcímeket ehhez az alkalmazáshoz. Ezeknek az attribútumoknak az értékeit az alkalmazásintegrációs oldal Felhasználói attribútumok szakaszában kezelheti. Az egyszeri bejelentkezés beállítása SAML-lel lapon kattintson a Szerkesztés gombra a Felhasználói attribútumok párbeszédpanel megnyitásához.

    Screenshot that shows the

  7. A Felhasználói attribútumok > Jogcímek párbeszédpanel Felhasználói attribútumok szakaszában hajtsa végre a következő lépéseket:

    a. Kattintson a Szerkesztés ikonra a Felhasználói jogcímek kezelése párbeszédpanel megnyitásához.

    Screenshot that shows the

    image

    b. Az Átalakítás listában válassza az ExtractMailPrefix() lehetőséget.

    c. Az 1. paraméterlistában válassza a user.mail lehetőséget.

    d. Kattintson a Mentés gombra.

  8. Az egyszeri bejelentkezés beállítása SAML-lel lapon, az SAML aláíró tanúsítvány szakaszában kattintson a Letöltés gombra az összevonási metaadatok XML-fájljának letöltéséhez a megadott beállításokból, a követelményeknek megfelelően, és mentse a számítógépre.

    The Certificate download link

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói Rendszergazda istratorként.
  2. Tallózással keresse meg az Identitásfelhasználók>>minden felhasználót.
  3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
  4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
    1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
    2. A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . For example, B.Simon@contoso.com.
    3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
    4. Select Review + create.
  5. Select Create.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon az SAP HANA-hoz való hozzáférés biztosításával.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat az SAP HANA-hoz.>
  3. Az alkalmazás áttekintő lapján válassza a Felhasználók és csoportok lehetőséget.
  4. Válassza a Felhasználó/csoport hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
    1. A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listában, majd kattintson a Képernyő alján található Kiválasztás gombra.
    2. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
    3. A Hozzárendelés hozzáadása párbeszédpanelen kattintson a Hozzárendelés gombra.

SAP HANA SSO konfigurálása

  1. Ha az SAP HANA oldalán szeretné konfigurálni az egyszeri bejelentkezést, jelentkezzen be a HANA XSA-webkonzolra a megfelelő HTTPS-végpontra lépve.

    Megjegyzés:

    Az alapértelmezett konfigurációban az URL átirányítja a kérést egy bejelentkezési képernyőre, amelyhez egy hitelesített SAP HANA-adatbázis-felhasználó hitelesítő adataira van szükség. A bejelentkező felhasználónak rendelkeznie kell az SAML felügyeleti feladatok végrehajtásához szükséges engedélyekkel.

  2. Az XSA webes felületén nyissa meg az SAML-identitásszolgáltatót. A képernyő alján található gombra kattintva + megjelenítheti az Identitásszolgáltató adatainak hozzáadása panelt. Then take the following steps:

    Add Identity Provider

    a. Az Identitásszolgáltató adatainak hozzáadása panelen illessze be a Metaadatok mezőbe a metaadat-xml tartalmát (amelyet letöltött).

    Screenshot that shows the

    b. Ha az XML-dokumentum tartalma érvényes, az elemzési folyamat kinyeri az Általános adat képernyőterület Tulajdonos, Entitásazonosító és Kiállító mezőihez szükséges információkat. Emellett kinyeri a Cél képernyőterület URL-mezőihez szükséges információkat, például az Alap URL-címet és a SingleSignOn URL-cím (*) mezőket.

    Add Identity Provider settings

    c. Az Általános adatok képernyőterület Név mezőjében adja meg az új SAML SSO-identitásszolgáltató nevét.

    Megjegyzés:

    Az SAML-azonosító neve kötelező, és egyedinek kell lennie. Megjelenik az elérhető SAML-azonosítók listájában, amelyek akkor jelennek meg, amikor az SAML-t választja a használni kívánt SAP HANA XS-alkalmazások hitelesítési módszereként. Ezt például az XS Artifact Rendszergazda istration eszköz hitelesítési képernyőterületén teheti meg.

  3. A Mentés gombra kattintva mentse az SAML-identitásszolgáltató adatait, és adja hozzá az új SAML-azonosítót az ismert SAML-azonosítók listájához.

    Save button

  4. A HANA Studióban a Konfiguráció lap rendszertulajdonságaibanszűrje a beállításokat saml alapján. Ezután állítsa be a assertion_timeout 10 másodpercről120 másodpercre.

    assertion_timeout setting

SAP HANA-tesztfelhasználó létrehozása

Ahhoz, hogy a Microsoft Entra-felhasználók bejelentkezhessenek az SAP HANA-ba, ki kell őket építenie az SAP HANA-ban. Az SAP HANA támogatja az igény szerinti üzembe helyezést, amely alapértelmezés szerint engedélyezve van.

Ha manuálisan kell létrehoznia egy felhasználót, hajtsa végre a következő lépéseket:

Megjegyzés:

Módosíthatja a felhasználó által használt külső hitelesítést. Hitelesítést végezhetnek külső rendszerekkel, például Kerberossal. A külső identitásokkal kapcsolatos részletes információkért forduljon a tartományi rendszergazdához.

  1. Nyissa meg rendszergazdaként az SAP HANA Studiót , majd engedélyezze a DB-felhasználót az SAML SSO-hoz.

    Create user

  2. Jelölje be az SAML bal oldalán található láthatatlan jelölőnégyzetet, majd válassza a Konfigurálás hivatkozást.

  3. Válassza a Hozzáadás lehetőséget az SAML-azonosító hozzáadásához. Válassza ki a megfelelő SAML-azonosítót, majd kattintson az OK gombra.

  4. Adja hozzá a külső identitást (ebben az esetben BrittaSimon). Ezután válassza az OK gombra.

    Megjegyzés:

    Ki kell töltenie a felhasználó Külső identitás mezőjét, amelynek meg kell egyeznie a Microsoft Entra ID-ból származó SAML-jogkivonat NévAZONOSÍTÓ mezőjével. A jelölőnégyzeteket nem szabad bejelölni, mivel ehhez a beállításhoz az IDP-nek SPProvderID tulajdonságot kell küldenie a NameID mezőben, amelyet jelenleg nem támogat a Microsoft Entra ID. További részletekért tekintse meg ezt a dokumentumot.

  5. Tesztelési célokból rendelje hozzá az összes XS-szerepkört a felhasználóhoz.

    Assigning roles

    Tipp.

    Csak a használati esetekhez megfelelő engedélyeket kell megadnia.

  6. Mentse a felhasználót.

Egyszeri bejelentkezés tesztelése

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

  • Kattintson az alkalmazás tesztelésére, és automatikusan be kell jelentkeznie ahhoz az SAP HANA-hoz, amelyhez beállította az egyszeri bejelentkezést

  • Használhatja a Microsoft Saját alkalmazások. Amikor a Saját alkalmazások az SAP HANA csempére kattint, automatikusan be kell jelentkeznie ahhoz az SAP HANA-hoz, amelyhez beállította az egyszeri bejelentkezést. A Saját alkalmazások további információ: Bevezetés a Saját alkalmazások.

További lépések

Az SAP HANA konfigurálása után kényszerítheti a munkamenet-vezérlést, amely valós időben védi a szervezet bizalmas adatainak kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.