Руководство по интеграции Microsoft Entra с SAP HANA

В этом руководстве вы узнаете, как интегрировать SAP HANA с идентификатором Microsoft Entra. Интеграция SAP HANA с идентификатором Microsoft Entra позволяет:

• Контроль доступа к SAP HANA с помощью идентификатора Microsoft Entra.
• Включите автоматический вход пользователей в SAP HANA с помощью учетных записей Microsoft Entra.
• Управление учетными записями в одном центральном расположении.

Необходимые компоненты

Чтобы настроить интеграцию Microsoft Entra с SAP HANA, вам потребуется:

• Подписка Microsoft Entra
• подписка на SAP HANA с поддержкой единого входа;
• экземпляр HANA, выполняемый на любой общедоступной IaaS, локально, на виртуальной машине Azure или в решении "Крупные экземпляры SAP в Azure";
• веб-интерфейс администрирования XSA, а также среда HANA Studio, установленная на экземпляре HANA.

Примечание.

Мы не рекомендуем использовать рабочую среду SAP HANA для проверки действий в этом руководстве. Сначала протестируйте интеграцию в среде разработки или промежуточной среде приложения, а затем используйте ее в рабочей среде.

При проверке действий в этом руководстве соблюдайте следующие рекомендации:

• Подписка Microsoft Entra. Если у вас нет среды Microsoft Entra, вы можете получить пробную версию одного месяца здесь.
• Подписка SAP HANA с поддержкой единого входа.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• SAP HANA поддерживает единый вход, инициированный поставщиком службы.
• Приложение SAP HANA поддерживает JIT-подготовку пользователей.

Примечание.

Идентификатор этого приложения — фиксированное строковое значение, поэтому в одном клиенте можно настроить только один экземпляр.

Добавление SAP HANA из коллекции.

Чтобы настроить интеграцию SAP HANA с идентификатором Microsoft Entra ID, необходимо добавить SAP HANA из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
3. В разделе Добавление из коллекции в поле поиска введите SAP HANA.
4. Выберите SAP HANA в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для SAP HANA

Настройте и проверьте единый вход Microsoft Entra в SAP HANA с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в SAP HANA.

Чтобы настроить и проверить единый вход Microsoft Entra в SAP HANA, выполните следующие действия.

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью Britta Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить пользователю Britta Simon использовать единый вход Microsoft Entra.
2. Настройка единого входа в SAP HANA необходима, чтобы настроить параметры единого входа на стороне приложения.
   1. Создание тестового пользователя SAP HANA требуется для того, чтобы в SAP HANA был связан пользователь Britta Simon, связанный с представлением пользователя Microsoft Entra.
3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Перейдите к приложениям>Identity>Applications>Enterprise SAP HANA>с единым входом.

3. На странице Выбрать метод единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

   

5. На странице Базовая конфигурация SAML введите значения следующих полей.

   В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc.

   Примечание.

   Значение URL-адреса ответа приведено для примера. Вместо него нужно указать фактический URL-адрес ответа. Чтобы получить значения, обратитесь в службу поддержки клиентов SAP HANA. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

6. Приложение SAP HANA ожидает утверждения SAML в определенном формате. Настройте следующие утверждения для этого приложения. Управлять значениями этих атрибутов можно в разделе Атрибуты пользователя на странице интеграции приложения. На странице Настройка единого входа с помощью SAML нажмите кнопку Изменить, чтобы открыть диалоговое окно Атрибуты пользователя.

   

7. В разделе Атрибуты пользователя в диалоговом окне User Attributes & Claims (Атрибуты пользователя и утверждения) выполните следующие действия.

   a. Щелкните значок редактирования, чтобы открыть диалоговое окно Управление утверждениями пользователя.

   

   

   b. Из списка Преобразование выберите ExtractMailPrefix().

   c. Из списка Параметр 1 выберите user.mail.

   d. Нажмите кнопку Сохранить.

8. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML щелкните Скачать, чтобы скачать нужный вам XML-файл метаданных федерации, и сохраните его на компьютере.

   

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
2. Перейдите ко всем пользователям удостоверений>>.
3. Выберите "Создать пользователя>" в верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
   4. Выберите Review + create (Просмотреть и создать).
5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к SAP HANA.

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
2. Перейдите к >приложениям>Identity Applications>Enterprise SAP HANA.
3. На странице обзора приложения выберите "Пользователи" и "Группы".
4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
   1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
   2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
   3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа для SAP HANA

1. Для настройки единого входа на стороне SAP HANA войдите в веб-консоль XSA HANA, перейдя к соответствующей конечной точке HTTPS.

   Примечание.

   В конфигурации по умолчанию URL-адрес перенаправляет запрос на экран входа, который требует учетные данные прошедшего проверку подлинности пользователя базы данных SAP HANA. Пользователь, который входит в систему, должен иметь разрешения, необходимые для выполнения задач администрирования SAML.

2. В веб-интерфейсе XSA перейдите к поставщику удостоверений SAML. Нажмите кнопку + в нижней части экрана, чтобы отобразить область Add Identity Provider Info (Добавление сведений о поставщике удостоверений). Затем выполните следующие действия:

   

   a. В области "Добавление сведений о поставщике удостоверений" вставьте содержимое XML-файла метаданных (который вы скачали) в поле метаданных.

   

   b. Если содержимое XML-документа является допустимым, процесс синтаксического анализа извлечет сведения, необходимые для вставки в поля темы, идентификатора сущности и издателя в области экрана General Data (Общие данные). Он извлекает сведения, необходимые для полей URL-адреса в области экрана Destination (Место назначения), например базовый URL-адрес и URL-адрес единого входа (*).

   

   c. В поле Name (Имя) области экрана General Data (Общие данные) введите имя нового поставщика удостоверений единого входа SAML.

   Примечание.

   Имя поставщика удостоверений SAML является обязательным и должно быть уникальным. Оно появится в списке доступных поставщиков удостоверений SAML, который отображается при выборе SAML в качестве метода проверки подлинности для приложений XS SAP HANA. Например, в области экрана Authentication (Проверка подлинности) средства управления артефактом XS.

3. Нажмите кнопку Save (Сохранить), чтобы сохранить сведения о поставщике удостоверений SAML и добавить нового поставщика удостоверений SAML в список известных поставщиков удостоверений SAML.

   

4. В HANA Studio откройте системные свойства и на вкладке Configuration (Конфигурация) примените для параметров фильтр по строке saml. Затем измените значение параметра assertion_timeout с 10 секунд на 120 секунд.

   

Создание тестового пользователя SAP HANA

Чтобы пользователи Microsoft Entra входить в SAP HANA, необходимо подготовить их в SAP HANA. SAP HANA поддерживает JIT-подготовку. Эта функция включена по умолчанию.

Если необходимо создать пользователя вручную, выполните приведенные ниже действия.

Примечание.

Можно изменить метод внешней проверки, используемый пользователем. Внешние пользователи могут пройти проверку подлинности с помощью внешней системы, например Kerberos. Чтобы получить дополнительные сведения о внешних удостоверениях, свяжитесь со своим администратором домена.

1. Откройте SAP HANA Studio от имени администратора и включите пользователя базы данных для единого входа SAML.

   

2. Установите флажок слева от SAML и перейдите по ссылке для настройки.

3. Нажмите кнопку Add (Добавить), чтобы добавить поставщика удостоверений SAML. Выберите соответствующего поставщика удостоверений SAML и нажмите кнопку ОК.

4. Добавьте внешнее удостоверение (в нашем случае — BrittaSimon). Затем выберите OK.

   Примечание.

   Необходимо заполнить поле внешнего удостоверения для пользователя и совпадать с полем NameID в токене SAML из идентификатора Microsoft Entra. Любое проверка box не должно быть проверка, так как этот параметр требует от поставщика удостоверений отправлять свойство SPProvderID в поле NameID, которое сейчас не поддерживается идентификатором Microsoft Entra. Дополнительные сведения см. в этом документе.

5. Для тестирования назначьте все роли XS пользователю.

   

   Совет

   Следует предоставить разрешения, которые подходят только для вашего варианта использования.

6. Сохраните пользователя.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

• Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение SAP HANA, для которого настроили единый вход.

• Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку SAP HANA на портале "Мои приложения", вы автоматически войдете в приложение SAP HANA, для которого настроили единый вход. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Следующие шаги

После настройки SAP HANA вы можете применить управление сеансами, которое защищает от хищения конфиденциальных данных вашей организации и несанкционированного доступа к ним в реальном времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.