Udostępnij za pośrednictwem

Samouczek: integracja logowania jednokrotnego (SSO) firmy Microsoft z platformą SAP HANA

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować platformę SAP HANA z usługą Microsoft Entra ID. Po zintegrowaniu platformy SAP HANA z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do platformy SAP HANA.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do platformy SAP HANA przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Warunki wstępne

Aby skonfigurować integrację firmy Microsoft Entra z platformą SAP HANA, potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra
  • Subskrypcja platformy SAP HANA z włączoną obsługą logowania jednokrotnego
  • Wystąpienie platformy HANA uruchomione na dowolnej publicznej platformie IaaS, lokalnej, maszynie wirtualnej platformy Azure lub dużych wystąpieniach SAP na platformie Azure
  • Interfejs internetowy administracji XSA, a także program HANA Studio zainstalowany w wystąpieniu platformy HANA

Nuta

Nie zalecamy używania środowiska produkcyjnego platformy SAP HANA do testowania kroków opisanych w tym samouczku. Najpierw przetestuj integrację w środowisku deweloperskim lub przejściowym aplikacji, a następnie użyj środowiska produkcyjnego.

Aby przetestować kroki opisane w tym samouczku, wykonaj następujące zalecenia:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz środowiska Microsoft Entra, możesz uzyskać jedną miesiąc wersji próbnej tutaj
  • Subskrypcja aplikacji SAP HANA z obsługą logowania jednokrotnego

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

  • Platforma SAP HANA obsługuje logowanie jednokrotne inicjowane przez dostawcę tożsamości.
  • Platforma SAP HANA obsługuje aprowizację użytkowników typu just in time .

Nuta

Identyfikator tej aplikacji jest stałą wartością ciągu, więc w jednej dzierżawie można skonfigurować tylko jedno wystąpienie.

Aby skonfigurować integrację oprogramowania SAP HANA z usługą Microsoft Entra ID, należy dodać platformę SAP HANA z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz SAP HANA w polu wyszukiwania.
  4. Wybierz pozycję SAP HANA z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego microsoft Entra dla platformy SAP HANA

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft w oprogramowaniu SAP HANA przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem platformy SAP HANA.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft w oprogramowaniu SAP HANA, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z użytkownikiem Britta Simon.
    2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby umożliwić użytkownikowi Britta Simon korzystanie z logowania jednokrotnego firmy Microsoft Entra.
  2. Konfigurowanie logowania jednokrotnego platformy SAP HANA — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Tworzenie użytkownika testowego platformy SAP HANA — aby mieć w oprogramowaniu SAP HANA odpowiednik użytkownika Britta Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity>Applications Enterprise Applications>>— logowanie jednokrotne SAP HANA.>

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Edytowanie podstawowej konfiguracji protokołu SAML

  5. W sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

    W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Nuta

    Wartość Adresu URL odpowiedzi nie jest prawdziwa. Zaktualizuj wartość za pomocą rzeczywistego adresu URL odpowiedzi. Skontaktuj się z zespołem pomocy technicznej klienta sap HANA, aby uzyskać wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Aplikacja SAP HANA oczekuje asercji SAML w określonym formacie. Skonfiguruj następujące oświadczenia dla tej aplikacji. Wartości tych atrybutów można zarządzać w sekcji Atrybuty użytkownika na stronie integracji aplikacji. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij przycisk Edytuj , aby otworzyć okno dialogowe Atrybuty użytkownika.

    Zrzut ekranu przedstawiający sekcję

  7. W sekcji Atrybuty użytkownika w oknie dialogowym Atrybuty użytkownika i oświadczenia wykonaj następujące kroki:

    a. Kliknij ikonę Edytuj, aby otworzyć okno dialogowe Zarządzanie oświadczeniami użytkowników.

    Zrzut ekranu przedstawiający okno dialogowe

    obraz

    b. Z listy Przekształcanie wybierz pozycję ExtractMailPrefix().

    c. Z listy Parametr 1 wybierz pozycję user.mail.

    d. Kliknij przycisk Zapisz.

  8. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML kliknij przycisk Pobierz, aby pobrać kod XML metadanych federacji z podanych opcji zgodnie z wymaganiami i zapisać go na komputerze.

    Link pobierania certyfikatu

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło, a następnie zapisz wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz aplikację B.Simon, aby korzystać z logowania jednokrotnego, udzielając dostępu do platformy SAP HANA.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do witryny Identity>Applications Enterprise Applications>>SAP HANA.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie logowania jednokrotnego sap HANA

  1. Aby skonfigurować logowanie jednokrotne po stronie platformy SAP HANA, zaloguj się do konsoli internetowej platformy HANA XSA, przechodząc do odpowiedniego punktu końcowego HTTPS.

    Nuta

    W domyślnej konfiguracji adres URL przekierowuje żądanie do ekranu logowania, który wymaga poświadczeń uwierzytelnionego użytkownika bazy danych SAP HANA. Użytkownik, który się loguje, musi mieć uprawnienia do wykonywania zadań administracyjnych SAML.

  2. W interfejsie internetowym XSA przejdź do pozycji Dostawca tożsamości SAML. W tym miejscu wybierz + przycisk w dolnej części ekranu, aby wyświetlić okienko Dodawanie informacji o dostawcy tożsamości. Następnie wykonaj następujące czynności:

    Dodawanie dostawcy tożsamości

    a. W okienku Dodawanie informacji o dostawcy tożsamości wklej zawartość kodu XML metadanych (który został pobrany) w polu Metadane.

    Zrzut ekranu przedstawiający okienko

    b. Jeśli zawartość dokumentu XML jest prawidłowa, proces analizowania wyodrębnia informacje wymagane dla pól Podmiot, Identyfikator jednostki i Wystawca w obszarze Ekranu Ogólne dane . Wyodrębnia również informacje niezbędne dla pól adresu URL w obszarze ekranu Docelowy , na przykład pola Podstawowy adres URL i Adres URL singleSignOn (*) .

    Dodawanie ustawień dostawcy tożsamości

    c. W polu Nazwa obszaru Ekranu Ogólne dane wprowadź nazwę nowego dostawcy tożsamości logowania jednokrotnego SAML.

    Nuta

    Nazwa dostawcy tożsamości SAML jest obowiązkowa i musi być unikatowa. Zostanie ona wyświetlona na liście dostępnych dostawców tożsamości SAML wyświetlanych podczas wybierania protokołu SAML jako metody uwierzytelniania dla aplikacji SAP HANA XS do użycia. Można to zrobić na przykład w obszarze ekranie Uwierzytelnianie narzędzia XS Artifact Administration.

  3. Wybierz pozycję Zapisz , aby zapisać szczegóły dostawcy tożsamości SAML i dodać nowy dostawcę tożsamości SAML do listy znanych dostawców tożsamości SAML.

    Przycisk Zapisz

  4. W programie HANA Studio we właściwościach systemu na karcie Konfiguracja przefiltruj ustawienia według języka saml. Następnie dostosuj assertion_timeout z 10 s do 120 sekund.

    ustawienie assertion_timeout

Tworzenie użytkownika testowego oprogramowania SAP HANA

Aby umożliwić użytkownikom firmy Microsoft Entra logowanie się do platformy SAP HANA, należy aprowizować je w oprogramowaniu SAP HANA. Platforma SAP HANA obsługuje aprowizację typu just in time, która jest domyślnie włączona.

Jeśli musisz ręcznie utworzyć użytkownika, wykonaj następujące czynności:

Nuta

Możesz zmienić uwierzytelnianie zewnętrzne używane przez użytkownika. Mogą uwierzytelniać się za pomocą systemu zewnętrznego, takiego jak Kerberos. Aby uzyskać szczegółowe informacje o tożsamościach zewnętrznych, skontaktuj się z administratorem domeny.

  1. Otwórz program SAP HANA Studio jako administrator, a następnie włącz usługę DB-User dla logowania jednokrotnego SAML.

  2. Zaznacz niewidoczne pole wyboru po lewej stronie protokołu SAML, a następnie wybierz link Konfiguruj .

  3. Wybierz pozycję Dodaj , aby dodać dostawcę tożsamości SAML. Wybierz odpowiednie dostawcę tożsamości SAML, a następnie wybierz przycisk OK.

  4. Dodaj tożsamość zewnętrzną (w tym przypadku BrittaSimon). Następnie wybierz przycisk OK.

    Nuta

    Musisz wypełnić pole Tożsamość zewnętrzna dla użytkownika i ta wartość musi być zgodna z polem NameID w tokenie SAML z identyfikatora Entra firmy Microsoft. Pole wyboru Dowolne nie powinno być zaznaczone, ponieważ ta opcja wymaga od dostawcy tożsamości wysłania właściwości SPProviderID w polu NameID , która nie jest obecnie obsługiwana przez identyfikator Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Logowanie jednokrotne przy użyciu protokołu SAML 2.0.

  5. Do celów testowych przypisz wszystkie role XS do użytkownika.

    Przypisywanie ról

    Napiwek

    Należy nadać uprawnienia, które są odpowiednie tylko dla Twoich przypadków użycia.

  6. Zapisz użytkownika.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do platformy SAP HANA, dla której skonfigurowano logowanie jednokrotne

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka SAP HANA w Moje aplikacje powinno nastąpić automatyczne zalogowanie do platformy SAP HANA, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Aprowizowanie z usług SAP Cloud Identity Services do platformy SAP HANA to funkcja beta dostępna na platformie SAP Business Technology Platform. Aby uzyskać więcej informacji, zobacz jak skonfigurować aprowizowanie użytkowników z usługi Microsoft Entra ID do usług SAP Cloud Identity Services oraz jak skonfigurować aprowizowanie użytkowników z usług SAP Cloud Identity Services do bazy danych SAP HANA Database (beta).

Po skonfigurowaniu platformy SAP HANA na potrzeby logowania jednokrotnego można wymusić kontrolę sesji, co uniemożliwia eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.