Delen via

Zelfstudie: Eenmalige aanmelding van Microsoft Entra integreren met SAP HANA

  • Artikel

In deze zelfstudie leert u hoe u SAP HANA integreert met Microsoft Entra ID. Wanneer u SAP HANA integreert met Microsoft Entra ID, kunt u het volgende doen:

  • In Microsoft Entra-id beheren wie toegang heeft tot SAP HANA.
  • Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij SAP HANA.
  • Beheer uw accounts op één centrale locatie.

Voorwaarden

Voor het configureren van Microsoft Entra-integratie met SAP HANA hebt u het volgende nodig:

  • Een Microsoft Entra-abonnement
  • Een SAP HANA-abonnement waarvoor eenmalige aanmelding is ingeschakeld
  • Een HANA-exemplaar dat wordt uitgevoerd op openbare IaaS-, on-premises, Azure VM- of SAP-grote instanties in Azure
  • De XSA Administration-webinterface en HANA Studio geïnstalleerd op het HANA-exemplaar

Notitie

Het is niet raadzaam om een productieomgeving van SAP HANA te gebruiken om de stappen in deze zelfstudie te testen. Test eerst de integratie in de ontwikkel- of faseringsomgeving van de toepassing en gebruik vervolgens de productieomgeving.

Volg deze aanbevelingen om de stappen in deze zelfstudie te testen:

  • Een Microsoft Entra-abonnement. Als u geen Microsoft Entra-omgeving hebt, kunt u hier een proefversie van één maand krijgen
  • Een abonnement op SAP HANA waarvoor eenmalige aanmelding is ingeschakeld

Beschrijving van scenario

In deze zelfstudie configureert en test u eenmalige aanmelding van Microsoft Entra in een testomgeving.

  • SAP HANA ondersteunt door IDP geïnitieerde eenmalige aanmelding.
  • SAP HANA biedt ondersteuning voor Just-In-Time-inrichting van gebruikers.

Notitie

De id van deze toepassing is een vaste tekenreekswaarde, zodat slechts één exemplaar in één tenant kan worden geconfigureerd.

Als u de integratie van SAP HANA in Microsoft Entra ID wilt configureren, moet u SAP HANA vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.
  3. Typ SAP HANA in het zoekvak in de sectie Toevoegen vanuit de galerie.
  4. Selecteer SAP HANA in het resultatenvenster en voeg vervolgens de app toe. Wacht enkele seconden terwijl de app is toegevoegd aan uw tenant.

U kunt ook de wizard Enterprise App Configuration gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Eenmalige aanmelding van Microsoft Entra voor SAP HANA configureren en testen

Configureer en test eenmalige aanmelding van Microsoft Entra met SAP HANA met behulp van een testgebruiker met de naam B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in SAP HANA.

Voer de volgende stappen uit om eenmalige aanmelding van Microsoft Entra met SAP HANA te configureren en te testen:

  1. Configureer eenmalige aanmelding van Microsoft Entra - zodat uw gebruikers deze functie kunnen gebruiken.
    1. Maak een Microsoft Entra-testgebruiker om eenmalige aanmelding van Microsoft Entra te testen met Britta Simon.
    2. Wijs de Microsoft Entra-testgebruiker toe : om Britta Simon in staat te stellen gebruik te maken van eenmalige aanmelding van Microsoft Entra.
  2. Eenmalige aanmelding voor SAP HANA configureren: als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
    1. Testgebruiker voor SAP HANA maken: als u een tegenhanger van Britta Simon in SAP HANA wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
  3. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Eenmalige aanmelding voor Microsoft Entra configureren

Volg deze stappen om eenmalige aanmelding van Microsoft Entra in te schakelen.

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar Identity>Applications>Enterprise-toepassingen>SAP HANA-eenmalige> aanmelding.

  3. Selecteer SAML op de pagina Een methode voor eenmalige aanmelding selecteren.

  4. Klik op de pagina Eenmalige aanmelding instellen met SAML op het potloodpictogram voor Standaard SAML-configuratie om de instellingen te bewerken.

    Standaard SAML-configuratie bewerken

  5. Voer in de sectie Standaard SAML-configuratie de waarden in voor de volgende velden:

    Typ in het tekstvak Antwoord-URL een URL met het volgende patroon: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Notitie

    De waarde van de antwoord-URL is niet echt. Werk de waarde bij met de werkelijke antwoord-URL. Neem contact op met het klantondersteuningsteam van SAP HANA om de waarden op te halen. U kunt ook verwijzen naar de patronen die worden weergegeven in de sectie Standaard SAML-configuratie .

  6. In de SAP HANA-toepassing worden de SAML-asserties in een specifieke indeling verwacht. Configureer de volgende claims voor deze toepassing. U kunt de waarden van deze kenmerken beheren vanuit de sectie Gebruikerskenmerken op de integratiepagina van de toepassing. Klik op de pagina Eenmalige aanmelding instellen met SAML op de knop Bewerken om het dialoogvenster Gebruikerskenmerken te openen.

    Schermopname van de sectie 'Gebruikerskenmerken' met het pictogram 'Bewerken' geselecteerd.

  7. Voer in de sectie Gebruikerskenmerken in het dialoogvenster Gebruikerskenmerken & Claims de volgende stappen uit:

    een. Klik op het pictogram Bewerken om het dialoogvenster Gebruikersclaims beheren te openen.

    Schermopname van het dialoogvenster Gebruikerskenmerken & Claims met het pictogram Bewerken geselecteerd.

    beeld

    b. Selecteer ExtractMailPrefix() in de lijst Transformatie.

    c. Selecteer user.mail in de lijst Parameter 1.

    d. Klik op Opslaan.

  8. Klik op de pagina Eenmalige aanmelding instellen met SAML in de sectie SAML-handtekeningcertificaat op Downloaden om het XML-bestand met federatieve metagegevens te downloaden op basis van uw behoeften en sla deze op uw computer op.

    De downloadkoppeling voor het certificaat

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
  2. Blader naar Identiteitsgebruikers>>Alle gebruikers.
  3. Selecteer Nieuwe gebruiker Nieuwe gebruiker> maken bovenaan het scherm.
  4. Voer in de gebruikerseigenschappen de volgende stappen uit:
    1. Voer in het veld Weergavenaam de tekst in B.Simon.
    2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld B.Simon@contoso.com.
    3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord .
    4. Selecteer Beoordelen en maken.
  5. Selecteer Maken.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door toegang te verlenen tot SAP HANA.

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>SAP HANA.
  3. Selecteer gebruikers en groepen op de overzichtspagina van de app.
  4. Selecteer Gebruiker/groep toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
    1. Selecteer B.Simon in het dialoogvenster Gebruikers en groepen in de lijst Gebruikers en klik vervolgens op de knop Selecteren onder aan het scherm.
    2. Als u verwacht dat een rol wordt toegewezen aan de gebruikers, kunt u deze selecteren in de vervolgkeuzelijst Een rol selecteren. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
    3. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen .

Eenmalige aanmelding voor SAP HANA configureren

  1. Als u eenmalige aanmelding aan de ZIJDE van SAP HANA wilt configureren, meldt u zich aan bij uw HANA XSA-webconsole door naar het respectieve HTTPS-eindpunt te gaan.

    Notitie

    In de standaardconfiguratie leidt de URL de aanvraag om naar een aanmeldingsscherm, waarvoor de referenties van een geverifieerde SAP HANA-databasegebruiker zijn vereist. De gebruiker die zich aanmeldt, moet machtigingen hebben om SAML-beheertaken uit te voeren.

  2. Ga in de XSA-webinterface naar SAML Identity Provider. Selecteer vervolgens de + knop onderaan het scherm om het deelvenster Id-providergegevens toevoegen weer te geven. Voer vervolgens de volgende stappen uit:

    Id-provider toevoegen

    een. Plak in het deelvenster Id-providergegevens toevoegen de inhoud van het XML-bestand met metagegevens (die u hebt gedownload) in het vak Metagegevens .

    Schermopname van het deelvenster Id-providergegevens toevoegen met de vakken Metagegevens en Naam gemarkeerd.

    b. Als de inhoud van het XML-document geldig is, extraheert het parseringsproces de informatie die vereist is voor de velden Onderwerp, Entiteits-id en Verlener in het scherm Algemene gegevens . Ook worden de gegevens geëxtraheerd die nodig zijn voor de URL-velden in het schermgebied Doel , bijvoorbeeld de velden Basis-URL en SingleSignOn-URL (*) .

    Instellingen voor id-provider toevoegen

    c. Voer in het vak Naam van het scherm Algemene gegevens een naam in voor de nieuwe SAML SSO-id-provider.

    Notitie

    De naam van de SAML IDP is verplicht en moet uniek zijn. Deze wordt weergegeven in de lijst met beschikbare SAML-ID's die worden weergegeven wanneer u SAML selecteert als verificatiemethode voor SAP HANA XS-toepassingen die u wilt gebruiken. U kunt dit bijvoorbeeld doen in het scherm Verificatie van het hulpprogramma XS Artifact Administration.

  3. Selecteer Opslaan om de details van de SAML-id-provider op te slaan en om de nieuwe SAML IDP toe te voegen aan de lijst met bekende SAML-ID's.

    Knop Opslaan

  4. Filter in HANA Studio, binnen de systeemeigenschappen van het tabblad Configuratie , de instellingen op saml. Pas vervolgens de assertion_timeout aan van 10 sec tot 120 sec.

    instelling voor assertion_timeout

SAP HANA-testgebruiker maken

Als u wilt dat Microsoft Entra-gebruikers zich kunnen aanmelden bij SAP HANA, moet u ze inrichten in SAP HANA. SAP HANA biedt ondersteuning voor Just-In-Time-inrichting. Deze functie is standaard ingeschakeld.

Als u handmatig een gebruiker moet maken, voert u de volgende stappen uit:

Notitie

U kunt de externe verificatie wijzigen die de gebruiker gebruikt. Ze kunnen worden geverifieerd met een extern systeem, zoals Kerberos. Neem contact op met uw domeinbeheerder voor gedetailleerde informatie over externe identiteiten.

  1. Open SAP HANA Studio als beheerder en schakel de DB-User voor SAML SSO in.

  2. Schakel het onzichtbare selectievakje links van SAML in en selecteer vervolgens de koppeling Configureren .

  3. Selecteer Toevoegen om de SAML IDP toe te voegen. Selecteer de juiste SAML IDP en selecteer VERVOLGENS OK.

  4. Voeg de externe identiteit toe (in dit geval BrittaSimon). Selecteer vervolgens OK.

    Notitie

    U moet het veld Externe identiteit voor de gebruiker invullen en die waarde moet overeenkomen met het veld NameID in het SAML-token van Microsoft Entra-id. Het selectievakje Alle selectievakjes mag niet worden ingeschakeld, omdat deze optie vereist dat de IDP een SPProviderID-eigenschap verzendt in het veld NameID, dat momenteel niet wordt ondersteund door Microsoft Entra ID. Zie Eenmalige aanmelding met SAML 2.0 voor meer informatie.

  5. Wijs voor testdoeleinden alle XS-rollen toe aan de gebruiker.

    Rollen toewijzen

    Fooi

    U moet alleen machtigingen verlenen die geschikt zijn voor uw gebruiksvoorbeelden.

  6. Sla de gebruiker op.

Eenmalige aanmelding testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

  • Klik op Deze toepassing testen en u wordt automatisch aangemeld bij het SAP HANA-exemplaar waarvoor u eenmalige aanmelding hebt ingesteld

  • U kunt Microsoft Mijn apps gebruiken. Wanneer u in de Mijn apps op de tegel SAP HANA klikt, wordt u automatisch aangemeld bij de exemplaar van SAP HANA waarvoor u eenmalige aanmelding hebt ingesteld. Zie Inleiding tot de Mijn apps voor meer informatie over de Mijn apps.

Volgende stappen

Inrichten van SAP Cloud Identity Services naar SAP HANA is een bètafunctie die beschikbaar is op SAP Business Technology Platform. Zie voor meer informatie het inrichten van gebruikers van Microsoft Entra ID configureren voor SAP Cloud Identity Services en het configureren van het inrichten van gebruikers van SAP Cloud Identity Services voor SAP HANA Database (bèta).

Zodra u SAP HANA voor eenmalige aanmelding hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden voorkomen. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.