Tutorial: Integrasi Microsoft Entra dengan SAP Hana

  • Artikel

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan SAP Hana dengan MICROSOFT Entra ID. Saat mengintegrasikan SAP Hana dengan Microsoft Entra ID, Anda dapat:

  • Mengontrol di MICROSOFT Entra ID siapa yang memiliki akses ke SAP Hana.
  • Memungkinkan pengguna Anda untuk masuk secara otomatis ke SAP Hana dengan akun Microsoft Entra mereka.
  • Kelola akun Anda di satu lokasi pusat.

Prasyarat

Untuk mengonfigurasi integrasi Microsoft Entra dengan SAP Hana, Anda memerlukan item berikut:

  • Langganan Microsoft Entra
  • Langganan SAP Hana yang diaktifkan akses menyeluruh (SSO)
  • Instans HANA yang berjalan pada instans besar IaaS, lokal, Azure VM, atau SAP publik di Azure
  • Antarmuka web Administrasi XSA, serta HANA Studio yang dipasang pada instans HANA

Catatan

Kami tidak merekomendasikan menggunakan lingkungan produksi SAP Hana untuk menguji langkah-langkah di tutorial ini. Uji integrasi terlebih dahulu dalam lingkungan pengembangan atau pementasan aplikasi dan kemudian gunakan lingkungan produksi.

Untuk menguji langkah-langkah dalam tutorial ini, ikuti rekomendasi berikut:

  • Langganan Microsoft Entra. Jika Anda tidak memiliki lingkungan Microsoft Entra, Anda bisa mendapatkan uji coba satu bulan di sini
  • Langganan yang diaktifkan akses menyeluruh SAP Hana

Deskripsi Skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji akses menyeluruh Microsoft Entra di lingkungan pengujian.

  • SAP Hana mendukung SSO yang diinisiasi IDP.
  • SAP Hana mendukung provisi pengguna JIT.

Catatan

Pengidentifikasi aplikasi ini adalah nilai untai tetap, sehingga hanya satu instans yang dapat dikonfigurasi dalam satu penyewa.

Untuk mengonfigurasi integrasi SAP Hana ke microsoft Entra ID, Anda perlu menambahkan SAP Hana dari galeri ke daftar aplikasi SaaS terkelola Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
  3. Di bagian Tambahkan dari galeri, ketik SAP Hana di kotak pencarian.
  4. Pilih SAP Hana dari panel hasil lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji Microsoft Entra SSO untuk SAP Hana

Konfigurasikan dan uji SSO Microsoft Entra dengan SAP Hana menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di SAP Hana.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan SAP Hana, lakukan langkah-langkah berikut:

  1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.
    1. Buat pengguna uji Microsoft Entra - untuk menguji akses menyeluruh Microsoft Entra dengan Britta Simon.
    2. Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan Britta Simon untuk menggunakan akses menyeluruh Microsoft Entra.
  2. Konfigurasi SSO SAP Hana - untuk mengonfigurasi pengaturan akses menyeluruh di sisi aplikasi.
    1. Buat pengguna uji SAP Hana - untuk memiliki mitra Britta Simon di SAP Hana yang ditautkan ke representasi Microsoft Entra pengguna.
  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Entra

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Identity>Applications>Enterprise akses>menyeluruh SAP Hana.>

  3. Di halaman Pilih metode akses menyeluruh, pilih SAML.

  4. Di halaman Menyiapkan akses menyeluruh dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

    Edit Basic SAML Configuration

  5. Di bagian Konfigurasi SAML Dasar, masukkan nilai untuk bidang berikut:

    Dalam kotak teks URL Balasan, ketik URL menggunakan pola berikut: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Catatan

    Nilai URL Balas tidak nyata. Perbarui nilainya dengan URL Balas yang sebenarnya. Hubungi tim dukungan SAP Hana Client untuk mendapatkan nilainya. Anda juga dapat merujuk ke pola yang ditampilkan di bagian Konfigurasi SAML Dasar.

  6. Aplikasi SAP Hana mengharapkan pernyataan SAML dalam format tertentu. Konfigurasikan klaim berikut untuk aplikasi ini. Anda dapat mengelola nilai atribut ini dari bagian Atribut Pengguna di halaman integrasi aplikasi. Di halaman Siapkan Akses Menyeluruh dengan SAML, klik tombol Edit untuk membuka dialog Atribut Pengguna.

    Screenshot that shows the

  7. Di bagian Atribut Pengguna pada dialog Atribut Pengguna & Klaim lakukan langkah-langkah berikut:

    a. Klik ikon Edit untuk membuka dialog Kelola klaim pengguna.

    Screenshot that shows the

    image

    b. Dari daftar Transformasi, pilih ExtractMailPrefix().

    c. Dari daftar Parameter 1, pilih user.mail.

    d. Klik Simpan.

  8. Pada halaman Siapkan Akses menyeluruh dengan SAML, pada bagian Sertifikat Penandatanganan SAML, klik Unduh untuk mengunduh XML Metadata Federasi dari pilihan yang diberikan sesuai kebutuhan anda dan simpan pada komputer anda.

    The Certificate download link

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda akan membuat pengguna uji bernama B.Simon.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
  2. Telusuri ke Pengguna>Identitas>Semua pengguna.
  3. Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
  4. Di properti Pengguna, ikuti langkah-langkah berikut:
    1. Di bidang Nama tampilan, masukkan B.Simon.
    2. Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya:B.Simon@contoso.com
    3. Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
    4. Pilih Tinjau + buat.
  5. Pilih Buat.

Menetapkan pengguna uji Microsoft Entra

Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh dengan memberikan akses ke SAP Hana.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi >Identity>Applications>Enterprise SAP Hana.
  3. Di halaman gambaran umum aplikasi, pilih Pengguna dan grup.
  4. Pilih Tambahkan pengguna/grup, kemudian pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
    1. Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
    2. Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" yang dipilih.
    3. Dalam dialog Tambah Penugasan, klik tombol Tetapkan.

Mengonfigurasi SSO SAP Hana

  1. Untuk mengonfigurasi akses menyeluruh di sisi SAP Hana, masuk ke Konsol Web HANA XSA Anda dengan masuk ke titik akhir HTTPS masing-masing.

    Catatan

    Dalam konfigurasi default, URL mengalihkan permintaan ke layar masuk, yang memerlukan kredensial pengguna database SAP Hana yang diautentikasi. Pengguna yang masuk harus memiliki izin untuk melakukan tugas administrasi SAML.

  2. Di Antarmuka Web XSA, buka IdP SAML. Dari sana, pilih + tombol di bagian bawah layar untuk menampilkan panel Tambahkan Info IdP. Lalu, Ikuti langkah-langkah berikut:

    Add Identity Provider

    a. Di panel Tambahkan Info Penyedia Identitas, tempelkan konten XML Metadata (yang Anda unduh) ke dalam kotak Metadata .

    Screenshot that shows the

    b. Jika konten dokumen XML valid, proses penguraian mengekstrak informasi yang diperlukan untuk bidang Subjek, ID Entitas, dan Penerbit di area layar Data umum. Ini juga mengekstrak informasi yang diperlukan untuk bidang URL di area layar Tujuan, misalnya, URL Dasar dan bidang URL SingleSignOn (*).

    Add Identity Provider settings

    c. Dalam kotak Nama dari area layar Data Umum, masukkan nama untuk IdP SAML SSO yang baru.

    Catatan

    Nama IDP SAML wajib dan harus unik. Muncul dalam daftar IDP SAML yang tersedia yang ditampilkan saat Anda memilih SAML sebagai metode autentikasi untuk digunakan aplikasi SAP Hana XS. Misalnya, Anda dapat melakukan ini di area layarAutentikasi alat Administrasi Artefak XS.

  3. Pilih Simpan untuk menyimpan detail IdP SAML dan untuk menambahkan IDP SAML baru ke daftar IDP SAML yang diketahui.

    Save button

  4. Di HANA Studio, di dalam properti sistem dari tab Konfigurasi, filter setelan menurut saml. Kemudian sesuaikan assertion_timeoutdari 10 detik menjadi 120 dtk.

    assertion_timeout setting

Buat pengguna uji SAP Hana

Untuk memungkinkan pengguna Microsoft Entra masuk ke SAP Hana, Anda harus menyediakannya di SAP Hana. SAP Hana mendukung provisi just-in-time, yang diaktifkan secara default.

Jika Anda perlu membuat pengguna secara manual, lakukan langkah-langkah berikut:

Catatan

Anda bisa mengubah autentikasi eksternal yang digunakan pengguna. Mereka dapat mengautentikasi dengan sistem eksternal seperti Kerberos. Untuk informasi detail tentang identitas eksternal, hubungi administrator domain Anda.

  1. Buka SAP Hana Studio sebagai administrator, lalu aktifkan aplikasi DB-User SAML SSO.

    Create user

  2. Pilih kotak centang tak terlihat di sebelah kiri SAML, lalu pilih tautan Konfigurasi.

  3. Pilih Tambahkan untuk menambahkan IDP SAML. Pilih IDP SAML yang sesuai, lalu pilih OK.

  4. Tambahkan Identitas Eksternal (dalam hal ini, BrittaSimon). Kemudian pilih OK.

    Catatan

    Anda harus mengisi bidang Identitas Eksternal untuk pengguna dan yang harus cocok dengan bidang NameID di token SAML dari ID Microsoft Entra. Kotak centang apa pun tidak boleh dicentang karena opsi ini mengharuskan IDP untuk mengirim properti SPProvderID di Bidang NameID yang sekarang tidak didukung oleh ID Microsoft Entra. Silakan tinjau dokumen ini untuk detail selengkapnya.

  5. Untuk tujuan pengujian, tetapkan semua peran XS kepada pengguna.

    Assigning roles

    Tip

    Anda harus memberikan izin yang sesuai untuk kasus penggunaan Anda saja.

  6. Simpan pengguna.

Menguji akses menyeluruh

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.

  • Klik Uji aplikasi ini, dan Anda akan secara otomatis masuk ke SAP Hana tempat Anda menyiapkan SSO

  • Anda dapat menggunakan Aplikasi Saya Microsoft. Saat Anda mengklik petak peta SAP Hana di Aplikasi Saya, Anda harus masuk secara otomatis ke SAP Hana tempat Anda mengatur SSO. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.

Langkah berikutnya

Setelah mengonfigurasi SAP Hana, Anda dapat memberlakukan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi secara real time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.