Microsoft Entra ID を SAP HANA と統合する

  • 10 分

SAP HANA の Microsoft Entra ID との統合には、以下のような利点があります。

  • 誰が SAP HANA にアクセスできるかを Microsoft Entra ID で制御できます。
  • ユーザーが自分の Microsoft Entra アカウントを使用して SAP HANA に自動的にサインイン (シングル サインオン) できるようにすることができます。
  • 1 つの中央サイト (Azure Portal) でアカウントを管理できます。

Microsoft Entra と SAP HANA の統合を構成するには、次の項目が必要です。

  • Microsoft Entra サブスクリプション。
  • シングル サインオン (SSO) が有効になっている SAP HANA サブスクリプション。
  • 任意のパブリック IaaS、オンプレミス、または Azure 仮想マシンで実行されている HANA インスタンス。
  • XSA 管理 Web インターフェイスと、HANA インスタンスにインストールされている HANA Studio。

SAP HANA 内に Microsoft Entra が統合されていることで以下の実装が可能となります。

  • SAP HANA で、IDP によって開始される SSO がサポートされます
  • SAP HANA で、Just-In-Time ユーザー プロビジョニングがサポートされます

SAP HANA の Microsoft Entra ID への統合を構成するには、最初に、SAP HANA をギャラリーからマネージド SaaS アプリの一覧に追加します。

Microsoft Entra シングル サインオンの構成

SAP HANA での Microsoft Entra シングル サインオンを構成するには、以下の手順を完了します。

  1. Microsoft Entra シングル サインオンを構成して、ユーザーがこの機能を使用できるようにします。
  2. SAP HANA のシングル サインオンを構成して、アプリケーション側でのシングル サインオンの設定を構成します。
  3. ユーザーが Microsoft Entra シングル サインオンを使用できるように Microsoft Entra ユーザーを割り当てます。
  4. SAP HANA ユーザーを作成し、対応する Microsoft Entra ユーザー アカウントにリンクされた SAP HANA 内の対応アカウントをプロビジョニングします。

ポータルで Microsoft Entra シングル サインオンを構成する

  1. SAP HANA での Microsoft Entra シングル サインオンを構成するには、Azure portal の SAP HANA アプリケーション統合ページで、[シングル サインオン] を選択します。

  2. [シングル サインオン方式の選択] ダイアログで、[SAML/WS-Fed] モードを選んで、シングル サインオンを有効にします。

  3. [SAML によるシングル サインオンのセットアップ] ページで、[編集] アイコンを選んで、[基本的な SAML 構成] ダイアログを開きます。

  4. [SAML でシングル サインオンをセットアップします] ページで、次の手順を実行します。

    1. [識別子] ボックスに、「HA100」と入力します。
    2. [応答 URL] テキスト ボックスに、<https://Customer-SAP-instance-url/sap/hana/xs/saml/login.xscfunc> という形式で URL を入力します。 その実際の値を取得するには、SAP HANA クライアント サポート チームに問い合わせください。
    3. SAP HANA アプリケーションは、特定の形式で構成された SAML アサーションを受け入れます。 次のクレームをこのアプリケーションに構成します: givennamesurnameemailaddressname一意のユーザー識別子。 これらの属性の値は、アプリケーション統合ページの [ユーザー属性] セクションで管理できます。

  5. [SAML によるシングル サインオンのセットアップ] ページで、[編集] ボタンを選んで、[ユーザー属性] ダイアログを開きます。

  6. [ユーザー属性とクレーム] ページの [ユーザー属性] セクションで、次の手順のようにします。

    1. [編集] アイコンをクリックして、[ユーザー クレームの管理] ペインを開きます。
    2. [変換] の一覧で、ExtractMailPrefix() を選択します。
    3. [パラメーター 1] の一覧で、user.mail を選択します。
    4. 変更を保存します。

  7. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [ダウンロード] を選択して、要件のとおりに指定したオプションからフェデレーション メタデータ XML をダウンロードして、お使いのコンピューターに保存します。

SAP HANA のシングル サインオンを構成する

  1. SAP HANA 側でシングル サインオンを構成するには、それぞれの HTTPS エンドポイントにアクセスして HANA XSA Web コンソールにサインインします。

    注意

    既定の構成では、この URL で要求はサインイン画面にリダイレクトされ、認証済みの SAP HANA データベース ユーザーの資格情報を要求されます。 サインインするユーザーには、SAML 管理タスクを実行するアクセス許可が必要です。

  2. XSA Web インターフェイスで、SAML Identity Provider に移動します。 ここから画面の下部にある + ボタンを選択し、 + ウィンドウを表示します。

  3. [Add Identity Provider Info](ID プロバイダー情報の追加) ペインで、メタデータ XML (Azure portal からダウンロードしたもの) の内容を [Metadata](メタデータ) ボックスに貼り付けます。

  4. XML ドキュメントの内容が有効な場合、解析プロセスで、 [General data](全般的なデータ) 画面領域の [Subject, Entity ID, and Issuer](件名、エンティティ ID、発行者) に必要な情報が抽出されます。 また、[Destination](宛先) 画面領域の URL フィールドに必要な情報も抽出されます (たとえば、[Base URL](ベース URL) フィールドや [SingleSignOn URL (*)] フィールド)。

  5. [General Data](全般データ) 画面領域の [Name](名前) ボックスに、新しい SAML SSO ID プロバイダーの名前を入力します。

    注意

    SAML IDP の名前は必須です。また、一意にする必要があります。 使用する SAP HANA XS アプリケーションの認証方法として SAML を選択すると表示される、使用可能な SAML IGP の一覧に表示されます。 たとえば、XS Artifact Administration の [Authentication](認証) 画面領域で確認できます。

  6. [Save](保存) を選択して SAML ID プロバイダーの詳細を保存し、既知の SAML IDP の一覧に新しい SAML IDP を追加します。

  7. HANA Studio の [Configuration](構成) タブのシステム プロパティで、設定を saml でフィルター処理します。 次に、assertion_timeout を 10 秒から 120 秒に調整します。

Microsoft Entra ユーザーを割り当てる

  1. Azure portal 上で [エンタープライズ アプリケーション] を選択し、 [すべてのアプリケーション] を選択してから、 [SAP HANA] を選択します。
  2. アプリケーションの一覧で [SAP HANA] を選択します。

SAP HANA ユーザーを作成する

SAP HANA への Microsoft Entra ユーザーのサインインを有効にするには、SAP HANA でプロビジョニングする必要があります。 SAP HANA では、Just-In-Time プロビジョニングがサポートされています。この設定は、既定で有効になっています。

ユーザーを手動で作成する必要がある場合は、次の手順を実行します。

  1. 管理者として SAP HANA Studio を開き、SAML SSO の DB-User を有効にします。

  2. SAML の左側にあるチェック ボックスをオンにして、[Configure](構成) リンクを選びます。

  3. [Add](追加) を選択して SAML IDP を追加します。 適切な SAML IDP を選択してから [OK] を選択します。

  4. [External Identity](外部 ID) を追加するか、[Any](任意) を選びます。 [OK] をクリックします。

    Note

    [Any] (任意) チェック ボックスがオフの場合場合、HANA のユーザー名は、ドメイン サフィックスの前の UPN 内のユーザーの名前と完全に一致する必要があります。

  5. 関連するロールをユーザーに割り当てます。

  6. 結果を確認するには、アクセス パネルで SAP HANA のタイルを選びます。 SSO を設定した SAP HANA に自動的にサインインされるはずです。