Konfigurowanie platformy SAP HANA na potrzeby logowania jednokrotnego przy użyciu usługi Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować platformę SAP HANA z usługą Microsoft Entra ID. Po zintegrowaniu platformy SAP HANA z usługą Microsoft Entra ID można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do platformy SAP HANA.
• Zezwalaj swoim użytkownikom na automatyczne logowanie do platformy SAP HANA przy użyciu kont Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

• Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz Utworzyć konto bezpłatnie.
• Jedna z następujących ról:
  • Administrator aplikacji
  • administrator aplikacji w chmurze
  • właściciel aplikacji.

• Subskrypcja oprogramowania SAP HANA z włączonym logowaniem jednokrotnym
• Wystąpienie HANA uruchomione na dowolnym publicznym IaaS, na miejscu, na maszynie wirtualnej Azure lub w dużych instancjach SAP na platformie Azure
• Interfejs internetowy administracyjny XSA oraz HANA Studio zainstalowane na instancji HANA.

Uwaga

Nie zalecamy używania środowiska produkcyjnego platformy SAP HANA do testowania kroków opisanych w tym artykule. Integrację należy najpierw przetestować w środowisku programistycznym lub przejściowym aplikacji, a dopiero później użyć środowiska produkcyjnego.

Aby przetestować kroki opisane w tym artykule, wykonaj następujące zalecenia:

• Subskrypcja firmy Microsoft Entra. Jeśli nie masz środowiska Microsoft Entra, możesz uzyskać jedną miesiąc wersji próbnej tutaj
• Subskrypcja oprogramowania SAP HANA z włączoną obsługą logowania jednokrotnego

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

• Platforma SAP HANA obsługuje logowanie SSO inicjowane przez dostawcę tożsamości.
• Platforma SAP HANA obsługuje aprowizację użytkowników typu just in time .

Uwaga

Identyfikator tej aplikacji jest stałym identyfikatorem ciągu znaków, więc w jednej dzierżawie można skonfigurować tylko jedną instancję aplikacji.

Dodawanie oprogramowania SAP HANA z galerii

Aby skonfigurować integrację oprogramowania SAP HANA z usługą Microsoft Entra ID, należy dodać platformę SAP HANA z galerii do listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
3. W sekcji Dodawanie z galerii wpisz SAP HANA w polu wyszukiwania.
4. Wybierz pozycję SAP HANA z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund, aż aplikacja zostanie dodana do Twojej dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o asystentach Microsoft 365.

Konfigurowanie i testowanie SSO Microsoft Entra dla platformy SAP HANA

Skonfiguruj i przetestuj Microsoft Entra SSO z SAP HANA przy użyciu użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem systemu SAP HANA.

Aby skonfigurować i przetestować Microsoft Entra SSO w oprogramowaniu SAP HANA, wykonaj następujące kroki:

1. Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
   1. Tworzenie testowego użytkownika Microsoft Entra — aby przetestować jednokrotne logowanie Microsoft Entra z Brittą Simon.
   2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić Britta Simon korzystanie z logowania jednokrotnego Microsoft Entra.
2. Konfiguracja jednokrotnego logowania SAP HANA - aby ustawić logowanie jednokrotne po stronie aplikacji.
   1. Utwórz użytkownika testowego SAP HANA — aby mieć w SAP HANA odpowiednik Britty Simon połączony z reprezentacją użytkownika w Microsoft Entra.
3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego (SSO) Microsoft Entra

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do Entra ID>Aplikacje korporacyjne>SAP HANA>Logowanie jednokrotne.

3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

4. Na stronie Konfigurowanie logowania jednokrotnego z SAML wybierz ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

   

5. W sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

   W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

   Uwaga

   Wartość Adresu URL odpowiedzi nie jest prawdziwa. Zaktualizuj ją, stosując rzeczywisty adres URL odpowiedzi. Skontaktuj się z zespołem pomocy technicznej klienta sap HANA, aby uzyskać wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

6. Aplikacja SAP HANA oczekuje asercji SAML w konkretnym formacie. Skonfiguruj następujące atrybuty dla tej aplikacji. Wartościami tych atrybutów możesz zarządzać w sekcji Atrybuty użytkownika na stronie integracji aplikacji. Na stronie Konfigurowanie pojedynczego Sign-On przy użyciu SAML wybierz przycisk Edytuj, aby otworzyć okno dialogowe Atrybuty użytkownika.

   

7. W sekcji Atrybuty użytkownika okna dialogowego Atrybuty i oświadczenia użytkownika wykonaj następujące kroki:

   a. Wybierz ikonę Edytuj , aby otworzyć okno dialogowe Zarządzanie oświadczeniami użytkowników .

   

   

   b. Z listy Przekształcenie wybierz pozycję ExtractMailPrefix().

   c. Z listy Parametr 1 wybierz pozycję user.mail.

   d. Wybierz Zapisz.

8. Na stronie Konfiguracja Single Sign-On za pomocą SAML, w sekcji Certyfikat podpisywania SAML, wybierz Pobierz, aby pobrać Federation Metadata XML z podanych opcji zgodnie z wymaganiami i zapisz go na swoim komputerze.

   

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku szybkiego startu dotyczącym tworzenia i przypisywania konta użytkownika, aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfigurowanie SSO SAP HANA

1. Aby skonfigurować logowanie jednokrotne po stronie oprogramowania SAP HANA, zaloguj się do konsoli internetowej XSA oprogramowania HANA, przechodząc do odpowiedniego punktu końcowego HTTPS.

   Uwaga

   W przypadku konfiguracji domyślnej adres URL przekierowuje żądanie do ekranu logowania, który wymaga poświadczeń uwierzytelnionego użytkownika bazy danych SAP HANA. Logujący się użytkownik musi mieć uprawnienia do wykonywania zadań administracyjnych dotyczących technologii SAML.

2. W interfejsie internetowym XSA wybierz pozycję SAML Identity Provider (Dostawca tożsamości SAML). W tym miejscu wybierz przycisk + w dolnej części ekranu, aby wyświetlić okienko Add Identity Provider Info (Dodawanie informacji o dostawcy tożsamości). Następnie wykonaj następujące kroki:

   

   a. W okienku Dodawania informacji o dostawcy tożsamości, wklej zawartość kodu XML metadanych (który został pobrany) w polu Metadane.

   

   b. Jeśli zawartość dokumentu XML jest prawidłowa, proces analizy wyodrębni informacje wymagane dla pól Subject (Podmiot), Entity ID (Identyfikator jednostki) i Issuer (Wystawca) w obszarze ekranu General data (Dane ogólne). Wyodrębni także informacje niezbędne dla pól adresu URL w obszarze ekranu Destination (Cel), na przykład Base URL (Podstawowy adres URL) i SingleSignOn URL (Adres URL logowania jednokrotnego) (*).

   

   c. W polu Name (Nazwa) obszaru ekranu General Data (Dane ogólne) podaj nazwę dla nowego dostawcy tożsamości SAML SSO.

   Uwaga

   Nazwa IDP SAML jest wymagana i musi być unikatowa. Zostanie ona wyświetlona na liście dostępnych dostawców tożsamości SAML wyświetlanych podczas wybierania protokołu SAML jako metody uwierzytelniania dla aplikacji SAP HANA XS do użycia. Na przykład możesz to zrobić w obszarze ekranu Authentication (Uwierzytelnianie) narzędzia XS Artifact Administration.

3. Wybierz polecenie Save (Zapisz), aby zapisać szczegóły dostawcy tożsamości SAML i dodać nowego dostawcę tożsamości SAML do listy znanych dostawców tożsamości SAML.

   

4. W programie Studio HANA, na karcie właściwości systemowych Configuration przefiltruj ustawienia według saml. Następnie dostosuj parametr assertion_timeout, zmieniając wartość 10 sec na 120 sec.

   

Tworzenie użytkownika testowego oprogramowania SAP HANA

Aby umożliwić użytkownikom firmy Microsoft Entra logowanie się do platformy SAP HANA, należy aprowizować je w oprogramowaniu SAP HANA. Oprogramowanie SAP HANA obsługuje dostarczanie just-in-time, które jest domyślnie aktywne.

Jeśli potrzebujesz utworzyć użytkownika ręcznie, wykonaj następujące kroki:

Uwaga

Opcjonalnie zmień uwierzytelnianie zewnętrzne używane przez użytkownika. Uwierzytelnianie można przeprowadzać za pomocą systemu zewnętrznego, takiego jak Kerberos. Aby uzyskać szczegółowe informacje o tożsamościach zewnętrznych, skontaktuj się z administratorem domeny.

1. Otwórz program SAP HANA Studio jako administrator, a następnie włącz SAML SSO dla użytkownika bazy danych.

2. Zaznacz niewidoczne pole wyboru po lewej stronie pozycji SAML, a następnie wybierz link Configure (Konfiguruj).

3. Wybierz Add (Dodaj), aby dodać IDP SAML. Wybierz odpowiedniego dostawcę tożsamości SAML, a następnie wybierz pozycję OK.

4. Dodaj zewnętrzną tożsamość (w tym przypadku BrittaSimon). Następnie wybierz opcję OK.

   Uwaga

   Musisz wypełnić pole Tożsamość zewnętrzna dla użytkownika, a ta wartość musi być zgodna z polem NameID w tokenie SAML z Microsoft Entra ID. Pole wyboru Dowolne nie powinno być wybrane, ponieważ ta opcja wymaga, aby IdP wysłał właściwość SPProviderID w polu NameID, która nie jest obecnie obsługiwana przez Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz Logowanie jednokrotne przy użyciu protokołu SAML 2.0.

5. Dla celów testowych przypisz wszystkie role XS do użytkownika.

   

   Napiwek

   Należy udzielić tylko uprawnień odpowiednich dla danego przypadku użycia.

6. Zapisz użytkownika.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację Microsoft Entra do jednokrotnego logowania przy użyciu następujących opcji.

• Wybierz pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do platformy SAP HANA, dla której skonfigurowano logowanie jednokrotne

• Możesz użyć usługi Microsoft Moje aplikacje. Po wybraniu kafelka SAP HANA w obszarze Moje aplikacje powinno nastąpić automatyczne zalogowanie do platformy SAP HANA, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Powiązana zawartość

Aprowizowanie z usług SAP Cloud Identity Services do platformy SAP HANA to funkcja beta dostępna na platformie SAP Business Technology Platform. Aby uzyskać więcej informacji, zobacz jak skonfigurować aprowizowanie użytkowników z usługi Microsoft Entra ID do usług SAP Cloud Identity Services oraz jak skonfigurować aprowizowanie użytkowników z usług SAP Cloud Identity Services do bazy danych SAP HANA Database (beta).

Po skonfigurowaniu platformy SAP HANA na potrzeby logowania jednokrotnego można wymusić kontrolę sesji, co uniemożliwia eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wprowadzić kontrolę sesji za pomocą Microsoft Defender dla aplikacji w chmurze.