Bagikan melalui

Tutorial: Integrasi akses menyeluruh (SSO) Microsoft Entra dengan SAP Hana

  • Artikel

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan SAP Hana dengan MICROSOFT Entra ID. Saat mengintegrasikan SAP Hana dengan Microsoft Entra ID, Anda dapat:

  • Mengontrol di MICROSOFT Entra ID siapa yang memiliki akses ke SAP Hana.
  • Memungkinkan pengguna Anda untuk masuk secara otomatis ke SAP Hana dengan akun Microsoft Entra mereka.
  • Kelola akun Anda di satu lokasi pusat.

Prasyarat

Untuk mengonfigurasi integrasi Microsoft Entra dengan SAP Hana, Anda memerlukan item berikut:

  • Langganan Microsoft Entra
  • Langganan SAP Hana yang diaktifkan akses menyeluruh (SSO)
  • Instans HANA yang berjalan pada instans besar IaaS, lokal, Azure VM, atau SAP publik di Azure
  • Antarmuka web Administrasi XSA, serta HANA Studio yang dipasang pada instans HANA

Catatan

Kami tidak merekomendasikan menggunakan lingkungan produksi SAP Hana untuk menguji langkah-langkah di tutorial ini. Uji integrasi terlebih dahulu dalam lingkungan pengembangan atau pementasan aplikasi dan kemudian gunakan lingkungan produksi.

Untuk menguji langkah-langkah dalam tutorial ini, ikuti rekomendasi berikut:

  • Langganan Microsoft Entra. Jika Anda tidak memiliki lingkungan Microsoft Entra, Anda bisa mendapatkan uji coba satu bulan di sini
  • Langganan yang diaktifkan akses menyeluruh SAP Hana

Deskripsi Skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji akses menyeluruh Microsoft Entra di lingkungan pengujian.

  • SAP Hana mendukung SSO yang diinisiasi IDP.
  • SAP Hana mendukung provisi pengguna JIT.

Catatan

Pengidentifikasi aplikasi ini adalah nilai untai tetap, sehingga hanya satu instans yang dapat dikonfigurasi dalam satu penyewa.

Untuk mengonfigurasi integrasi SAP Hana ke microsoft Entra ID, Anda perlu menambahkan SAP Hana dari galeri ke daftar aplikasi SaaS terkelola Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
  3. Di bagian Tambahkan dari galeri, ketik SAP Hana di kotak pencarian.
  4. Pilih SAP Hana dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji Microsoft Entra SSO untuk SAP Hana

Konfigurasikan dan uji SSO Microsoft Entra dengan SAP Hana menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di SAP Hana.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan SAP Hana, lakukan langkah-langkah berikut:

  1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.
    1. Buat pengguna uji Microsoft Entra - untuk menguji akses menyeluruh Microsoft Entra dengan Britta Simon.
    2. Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan Britta Simon untuk menggunakan akses menyeluruh Microsoft Entra.
  2. Konfigurasikan SSO SAP Hana - untuk mengonfigurasi pengaturan akses menyeluruh di sisi aplikasi.
    1. Buat pengguna uji SAP Hana - untuk memiliki mitra Britta Simon di SAP Hana yang ditautkan ke representasi Microsoft Entra pengguna.
  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Entra

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Identity>Applications>Enterprise akses>menyeluruh SAP Hana.>

  3. Di halaman Pilih metode akses menyeluruh, pilih SAML.

  4. Di halaman Menyiapkan akses menyeluruh dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

    Mengedit Konfigurasi SAML Dasar

  5. Di bagian Konfigurasi SAML Dasar, masukkan nilai untuk bidang berikut:

    Dalam kotak teks URL Balasan, ketik URL menggunakan pola berikut: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Catatan

    Nilai URL Balas tidak nyata. Perbarui nilainya dengan URL Balas yang sebenarnya. Hubungi tim dukungan SAP Hana Client untuk mendapatkan nilainya. Anda juga dapat merujuk ke pola yang ditampilkan di bagian Konfigurasi SAML Dasar.

  6. Aplikasi SAP Hana mengharapkan pernyataan SAML dalam format tertentu. Konfigurasikan klaim berikut untuk aplikasi ini. Anda dapat mengelola nilai atribut ini dari bagian Atribut Pengguna di halaman integrasi aplikasi. Di halaman Siapkan Akses Menyeluruh dengan SAML, klik tombol Edit untuk membuka dialog Atribut Pengguna.

    Cuplikan layar yang menunjukkan bagian

  7. Di bagian Atribut Pengguna pada dialog Atribut Pengguna & Klaim lakukan langkah-langkah berikut:

    a. Klik ikon Edit untuk membuka dialog Kelola klaim pengguna.

    Cuplikan layar yang memperlihatkan dialog

    gambar

    b. Dari daftar Transformasi, pilih ExtractMailPrefix().

    c. Dari daftar Parameter 1, pilih user.mail.

    d. Klik Simpan.

  8. Pada halaman Siapkan Akses menyeluruh dengan SAML, pada bagian Sertifikat Penandatanganan SAML, klik Unduh untuk mengunduh XML Metadata Federasi dari pilihan yang diberikan sesuai kebutuhan anda dan simpan pada komputer anda.

    Tautan pengunduhan Sertifikat

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda akan membuat pengguna uji bernama B.Simon.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
  2. Telusuri ke Pengguna>Identitas>Semua pengguna.
  3. Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
  4. Di properti Pengguna, ikuti langkah-langkah berikut:
    1. Di bidang Nama tampilan, masukkan B.Simon.
    2. Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya:B.Simon@contoso.com
    3. Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
    4. Pilih Tinjau + buat.
  5. Pilih Buat.

Menetapkan pengguna uji Microsoft Entra

Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh dengan memberikan akses ke SAP Hana.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi >Identity>Applications>Enterprise SAP Hana.
  3. Di halaman gambaran umum aplikasi, pilih Pengguna dan grup.
  4. Pilih Tambahkan pengguna/grup, kemudian pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
    1. Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
    2. Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" yang dipilih.
    3. Dalam dialog Tambah Penugasan, klik tombol Tetapkan.

Mengonfigurasi SSO SAP Hana

  1. Untuk mengonfigurasi akses menyeluruh di sisi SAP Hana, masuk ke Konsol Web HANA XSA Anda dengan masuk ke titik akhir HTTPS masing-masing.

    Catatan

    Dalam konfigurasi default, URL mengalihkan permintaan ke layar masuk, yang memerlukan kredensial pengguna database SAP Hana yang diautentikasi. Pengguna yang masuk harus memiliki izin untuk melakukan tugas administrasi SAML.

  2. Di Antarmuka Web XSA, buka IdP SAML. Dari sana, pilih + tombol di bagian bawah layar untuk menampilkan panel Tambahkan Info IdP. Lalu, Ikuti langkah-langkah berikut:

    Tambahkan IdP

    a. Di panel Tambahkan Info Penyedia Identitas, tempelkan konten XML Metadata (yang Anda unduh) ke dalam kotak Metadata .

    Cuplikan layar yang memperlihatkan panel

    b. Jika konten dokumen XML valid, proses penguraian mengekstrak informasi yang diperlukan untuk bidang Subjek, ID Entitas, dan Penerbit di area layar Data umum. Ini juga mengekstrak informasi yang diperlukan untuk bidang URL di area layar Tujuan, misalnya, URL Dasar dan bidang URL SingleSignOn (*).

    Tambahkan Pengaturan IdP

    c. Dalam kotak Nama dari area layar Data Umum, masukkan nama untuk IdP SAML SSO yang baru.

    Catatan

    Nama IDP SAML wajib dan harus unik. Muncul dalam daftar IDP SAML yang tersedia yang ditampilkan saat Anda memilih SAML sebagai metode autentikasi untuk digunakan aplikasi SAP Hana XS. Misalnya, Anda dapat melakukan ini di area layarAutentikasi alat Administrasi Artefak XS.

  3. Pilih Simpan untuk menyimpan detail IdP SAML dan untuk menambahkan IDP SAML baru ke daftar IDP SAML yang diketahui.

    Tombol simpan

  4. Di HANA Studio, di dalam properti sistem dari tab Konfigurasi, filter setelan menurut saml. Kemudian sesuaikan assertion_timeoutdari 10 detik menjadi 120 dtk.

    pengaturan assertion_timeout

Buat pengguna uji SAP Hana

Untuk memungkinkan pengguna Microsoft Entra masuk ke SAP Hana, Anda harus menyediakannya di SAP Hana. SAP Hana mendukung provisi just-in-time, yang diaktifkan secara default.

Jika Anda perlu membuat pengguna secara manual, lakukan langkah-langkah berikut:

Catatan

Anda bisa mengubah autentikasi eksternal yang digunakan pengguna. Mereka dapat mengautentikasi dengan sistem eksternal seperti Kerberos. Untuk informasi detail tentang identitas eksternal, hubungi administrator domain Anda.

  1. Buka SAP Hana Studio sebagai administrator, lalu aktifkan aplikasi DB-User SAML SSO.

    Buat pengguna

  2. Pilih kotak centang tak terlihat di sebelah kiri SAML, lalu pilih tautan Konfigurasi.

  3. Pilih Tambahkan untuk menambahkan IDP SAML. Pilih IDP SAML yang sesuai, lalu pilih OK.

  4. Tambahkan Identitas Eksternal (dalam hal ini, BrittaSimon). Kemudian pilih OK.

    Catatan

    Anda harus mengisi bidang Identitas Eksternal untuk pengguna, dan nilai tersebut harus cocok dengan bidang NameID di token SAML dari ID Microsoft Entra. Kotak centang Apa pun tidak boleh dicentang, karena opsi ini memerlukan IDP untuk mengirim properti SPProviderID di Bidang NameID, yang saat ini tidak didukung oleh ID Microsoft Entra. Untuk informasi selengkapnya, lihat Akses Menyeluruh Menggunakan SAML 2.0.

  5. Untuk tujuan pengujian, tetapkan semua peran XS kepada pengguna.

    Menetapkan peran

    Tip

    Anda harus memberikan izin yang sesuai untuk kasus penggunaan Anda saja.

  6. Simpan pengguna.

Menguji akses menyeluruh

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.

  • Klik Uji aplikasi ini, dan Anda akan secara otomatis masuk ke SAP Hana tempat Anda menyiapkan SSO

  • Anda dapat menggunakan Aplikasi Saya Microsoft. Saat Anda mengklik petak peta SAP Hana di Aplikasi Saya, Anda harus masuk secara otomatis ke SAP Hana tempat Anda mengatur SSO. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.

Langkah berikutnya

Provisi dari SAP Cloud Identity Services ke SAP Hana adalah fitur beta yang tersedia di Platform Teknologi Bisnis SAP. Untuk informasi selengkapnya, lihat cara mengonfigurasi provisi pengguna dari ID Microsoft Entra ke SAP Cloud Identity Services, dan cara mengonfigurasi provisi pengguna dari SAP Cloud Identity Services ke SAP Hana Database (Beta).

Setelah mengonfigurasi SAP Hana untuk SSO, Anda dapat menerapkan kontrol sesi, yang mencegah eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.