Поделиться через

Руководство по интеграции единого входа Microsoft Entra с SAP HANA

  • Статья

В этом руководстве вы узнаете, как интегрировать SAP HANA с идентификатором Microsoft Entra. Интеграция SAP HANA с идентификатором Microsoft Entra позволяет:

  • Контроль доступа к SAP HANA с помощью идентификатора Microsoft Entra.
  • Включите автоматический вход пользователей в SAP HANA с помощью учетных записей Microsoft Entra.
  • Управление учетными записями в одном центральном расположении.

Необходимые условия

Чтобы настроить интеграцию Microsoft Entra с SAP HANA, вам потребуется:

  • Подписка Microsoft Entra
  • Подписка SAP HANA с поддержкой единого входа
  • Экземпляр HANA, работающий на всех общедоступных экземплярах IaaS, локальной среде, виртуальной машине Azure или SAP больших экземпляров в Azure
  • Веб-интерфейс администрирования XSA, а также HANA Studio, установленный в экземпляре HANA

Заметка

Мы не рекомендуем использовать рабочую среду SAP HANA для тестирования действий, описанных в этом руководстве. Сначала протестируйте интеграцию в среде разработки или промежуточной среды приложения, а затем используйте рабочую среду.

Чтобы протестировать действия, описанные в этом руководстве, следуйте приведенным ниже рекомендациям.

  • Подписка Microsoft Entra. Если у вас нет среды Microsoft Entra, вы можете получить пробную версию одного месяца здесь.
  • Подписка SAP HANA с поддержкой единого входа

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • SAP HANA поддерживает единый вход, инициированный поставщиком удостоверений .
  • SAP HANA поддерживает JIT-подготовку пользователей.

Заметка

Идентификатор этого приложения является фиксированным строковым значением, поэтому в одном клиенте можно настроить только один экземпляр.

Чтобы настроить интеграцию SAP HANA с идентификатором Microsoft Entra ID, необходимо добавить SAP HANA из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе "Добавление из коллекции" в поле поиска введите SAP HANA.
  4. Выберите SAP HANA на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в клиент.

Кроме того, можно использовать мастер корпоративной Конфигурация приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для SAP HANA

Настройте и проверьте единый вход Microsoft Entra в SAP HANA с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в SAP HANA.

Чтобы настроить и проверить единый вход Microsoft Entra в SAP HANA, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью Britta Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить пользователю Britta Simon использовать единый вход Microsoft Entra.
  2. Настройте единый вход SAP HANA, чтобы настроить параметры единого входа на стороне приложения.
    1. Создание тестового пользователя SAP HANA требуется для того, чтобы в SAP HANA был связан пользователь Britta Simon, связанный с представлением пользователя Microsoft Entra.
  3. Проверьте единый вход , чтобы проверить, работает ли конфигурация.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям>Identity>Applications>Enterprise SAP HANA>с единым входом.

  3. На странице "Выбор метода единого входа" выберите SAML.

  4. На странице "Настройка единого входа" на странице SAML щелкните значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

    Изменение базовой конфигурации SAML

  5. В разделе "Базовая конфигурация SAML" введите значения для следующих полей:

    В текстовом поле "URL-адрес ответа" введите URL-адрес, используя следующий шаблон: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Заметка

    Значение URL-адреса ответа не является реальным. Обновите значение с фактическим URL-адресом ответа. Чтобы получить значения, обратитесь в службу поддержки клиентов SAP HANA. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

  6. Приложение SAP HANA ожидает утверждения SAML в определенном формате. Настройте следующие утверждения для этого приложения. Значения этих атрибутов можно управлять из раздела "Атрибуты пользователя" на странице интеграции с приложением. На странице "Настройка единого входа с помощью SAML" нажмите кнопку "Изменить", чтобы открыть диалоговое окно "Атрибуты пользователей".

    Снимок экрана: раздел

  7. В разделе "Атрибуты пользователя" диалогового окна "Атрибуты пользователя" и "Утверждения" выполните следующие действия.

    a. Щелкните значок "Изменить", чтобы открыть диалоговое окно "Управление утверждениями пользователей".

    Снимок экрана: диалоговое окно

    образ

    b. В списке преобразований выберите ExtractMailPrefix().

    c. В списке параметров 1 выберите user.mail.

    d. Нажмите кнопку " Сохранить".

  8. На странице "Настройка единого входа с помощью SAML" в разделе "Сертификат подписи SAML" нажмите кнопку "Скачать", чтобы скачать XML-файл метаданных федерации из заданных параметров в соответствии с вашим требованием и сохранить его на компьютере.

    Ссылка на скачивание сертификата

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
  2. Перейдите ко всем пользователям удостоверений>>.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
    3. Установите флажок "Показать пароль", а затем запишите значение, отображаемое в поле "Пароль".
    4. Выберите "Рецензирование и создание".
  5. Нажмите кнопку "Создать".

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к SAP HANA.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к >приложениям>Identity Applications>Enterprise SAP HANA.
  3. На странице обзора приложения выберите "Пользователи" и "Группы".
  4. Выберите " Добавить пользователя или группу", а затем выберите "Пользователи" и "Группы " в диалоговом окне "Добавить назначение ".
    1. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
    2. Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке "Выбор роли ". Если для этого приложения не настроена роль, вы увидите выбранную роль "Доступ по умолчанию".
    3. В диалоговом окне "Добавление назначения" нажмите кнопку "Назначить".

Настройка единого входа SAP HANA

  1. Чтобы настроить единый вход на стороне SAP HANA, войдите в веб-консоль HANA XSA, перейдя в соответствующую конечную точку HTTPS.

    Заметка

    В конфигурации по умолчанию URL-адрес перенаправляет запрос на экран входа, для которого требуются учетные данные пользователя базы данных SAP HANA, прошедшего проверку подлинности. Пользователь, который входит в систему, должен иметь разрешения на выполнение задач администрирования SAML.

  2. В веб-интерфейсе XSA перейдите к поставщику удостоверений SAML. В нижней части экрана нажмите + кнопку, чтобы отобразить панель "Добавить сведения о поставщике удостоверений". Затем выполните следующие действия.

    Добавление поставщика удостоверений

    a. В области "Добавление сведений о поставщике удостоверений" вставьте содержимое XML-файла метаданных (который вы скачали) в поле метаданных.

    Снимок экрана: панель

    b. Если содержимое XML-документа допустимо, процесс синтаксического анализа извлекает сведения, необходимые для полей субъекта, идентификатора сущности и издателя в области экрана "Общие данные ". Он также извлекает сведения, необходимые для полей URL-адреса в области целевого экрана, например базовый URL-адрес и URL-адрес SingleSignOn (*).

    Добавление параметров поставщика удостоверений

    c. В поле "Имя" области "Общие данные" введите имя нового поставщика удостоверений единого входа SAML.

    Заметка

    Имя поставщика удостоверений SAML является обязательным и должно быть уникальным. Он отображается в списке доступных поставщиков удостоверений SAML, отображаемых при выборе SAML в качестве метода проверки подлинности для используемых приложений SAP HANA XS. Например, это можно сделать в области экрана проверки подлинности средства администрирования артефактов XS.

  3. Нажмите кнопку "Сохранить ", чтобы сохранить сведения о поставщике удостоверений SAML и добавить новый поставщик удостоверений SAML в список известных поставщиков удостоверений SAML.

    Кнопка

  4. В HANA Studio в системных свойствах вкладки "Конфигурация" отфильтруйте параметры по saml. Затем настройте assertion_timeout от 10 с до 120 с.

    параметр assertion_timeout

Создание тестового пользователя SAP HANA

Чтобы пользователи Microsoft Entra входить в SAP HANA, необходимо подготовить их в SAP HANA. SAP HANA поддерживает JIT-подготовку, которая включена по умолчанию.

Если вам нужно создать пользователя вручную, сделайте следующее:

Заметка

Вы можете изменить внешнюю проверку подлинности, которую использует пользователь. Они могут проходить проверку подлинности с помощью внешней системы, например Kerberos. Для получения подробных сведений о внешних удостоверениях обратитесь к администратору домена.

  1. Откройте SAP HANA Studio в качестве администратора и включите единый вход DB-User для SAML.

  2. Установите невидимый флажок слева от SAML и выберите ссылку "Настройка ".

  3. Нажмите кнопку "Добавить", чтобы добавить поставщика удостоверений SAML. Выберите соответствующий поставщик удостоверений SAML и нажмите кнопку "ОК".

  4. Добавьте внешнее удостоверение (в данном случае BrittaSimon). Затем нажмите кнопку "ОК".

    Заметка

    Необходимо заполнить поле внешнего удостоверения для пользователя, и это значение должно соответствовать полю NameID в токене SAML из идентификатора Microsoft Entra ID. Флажок "Любой " не должен быть установлен, так как этот параметр требует, чтобы поставщик удостоверений отправлял свойство SPProviderID в поле NameID , которое в настоящее время не поддерживается идентификатором Microsoft Entra. Дополнительные сведения см. в разделе "Единый вход с помощью SAML 2.0".

  5. Для тестирования назначьте пользователю все роли XS .

    Назначение ролей

    Кончик

    Вы должны предоставить разрешения, подходящие только для вариантов использования.

  6. Сохраните пользователя.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

  • Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение SAP HANA, для которого настроили единый вход.

  • Вы можете использовать microsoft Мои приложения. Щелкнув плитку SAP HANA в Мои приложения, вы автоматически войдете в приложение SAP HANA, для которого настроили единый вход. Дополнительные сведения о Мои приложения см. в статье "Введение в Мои приложения".

Дальнейшие действия

Подготовка служб облачных удостоверений SAP к SAP HANA — это бета-версия, доступная на платформе SAP Business Technology. Дополнительные сведения см. в статье о настройке подготовки пользователей из идентификатора Microsoft Entra в sap Cloud Identity Services и настройке подготовки пользователей из облачных удостоверений SAP в базу данных SAP HANA (бета-версия).

После настройки единого входа SAP HANA вы можете применить функцию управления сеансами, которая предотвращает кражу и несанкционированный доступ к конфиденциальным данным вашей организации в режиме реального времени. Элемент управления сеансом расширяется от условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облака Apps.