Поделиться через


Настройка SAP HANA для единого входа с помощью идентификатора Microsoft Entra

Из этой статьи вы узнаете, как интегрировать SAP HANA с идентификатором Microsoft Entra. Интеграция SAP HANA с идентификатором Microsoft Entra позволяет:

  • Управляйте доступом к SAP HANA в Microsoft Entra ID.
  • Включите автоматический вход пользователей в SAP HANA с помощью учетных записей Microsoft Entra.
  • Управляйте своими учетными записями в одном месте.

Предварительные требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • подписка на SAP HANA с поддержкой единого входа;
  • Экземпляр HANA, работающий на любом общедоступном IaaS, в локальной среде, на виртуальной машине Azure или в решениях "Крупные экземпляры SAP в Azure";
  • Веб-интерфейс администрирования XSA и HANA Studio, установленные на экземпляре HANA.

Примечание.

Мы не рекомендуем использовать рабочую среду SAP HANA для тестирования действий, описанных в этой статье. Сначала протестируйте интеграцию в среде разработки или промежуточной среде приложения, а затем используйте ее в рабочей среде.

Чтобы протестировать действия, описанные в этой статье, следуйте приведенным ниже рекомендациям.

  • Подписка Microsoft Entra. Если у вас нет среды Microsoft Entra, вы можете получить пробную версию одного месяца здесь.
  • Подписка SAP HANA с поддержкой единого входа.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • SAP HANA поддерживает единый вход, инициированный поставщиком службы.
  • Приложение SAP HANA поддерживает подготовку пользователей в режиме реального времени.

Примечание.

Идентификатор этого приложения — фиксированное строковое значение, поэтому в одном клиенте можно настроить только один экземпляр.

Чтобы настроить интеграцию SAP HANA с идентификатором Microsoft Entra ID, необходимо добавить SAP HANA из коллекции в список управляемых приложений SaaS.

  1. Войдите в центр администрирования Microsoft Entra с учетной записью не ниже Администратора облачных приложений.
  2. Перейдите к разделу Entra ID>корпоративные приложения>Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите SAP HANA.
  4. Выберите SAP HANA в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в ваш тенант.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для SAP HANA

Настройте и проверьте единый вход Microsoft Entra в SAP HANA с помощью тестового пользователя B.Simon. Для работы единого входа в систему необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в SAP HANA.

Чтобы настроить и проверить единый вход Microsoft Entra в SAP HANA, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью Britta Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить пользователю Britta Simon использовать единый вход Microsoft Entra.
  2. Настройте SSO в SAP HANA для конфигурации параметров единого входа на стороне приложения.
    1. Создание тестового пользователя SAP HANA - для того, чтобы в SAP HANA был создан эквивалент пользователя Britta Simon, связанный с представлением пользователя в Microsoft Entra.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка SSO Microsoft Entra

Выполните следующие действия, чтобы включить SSO Microsoft Entra.

  1. Войдите в центр администрирования Microsoft Entra с учетной записью не ниже Администратора облачных приложений.

  2. Перейдите к Entra ID>приложениям предприятия>SAP HANA>Единый вход.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

    Изменение базовой конфигурации SAML

  5. На странице Базовая конфигурация SAML введите значения следующих полей.

    В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc.

    Примечание.

    Неверное значение URL-адреса ответа. Обновите значение с фактическим URL-адресом ответа. Чтобы получить значения, обратитесь в службу поддержки клиентов SAP HANA. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

  6. Приложение SAP HANA ожидает утверждения SAML в определенном формате. Настройте следующие утверждения для этого приложения. Управлять значениями этих атрибутов можно в разделе Атрибуты пользователя на странице интеграции приложения. На странице "Настройка одного Sign-On с помощью SAML" нажмите кнопку "Изменить ", чтобы открыть диалоговое окно "Атрибуты пользователя ".

    Снимок экрана, на котором показан раздел

  7. В разделе Атрибуты пользователя в диалоговом окне User Attributes & Claims (Атрибуты пользователя и утверждения) выполните следующие действия.

    a. Щелкните значок "Изменить", чтобы открыть диалоговое окно "Управление утверждениями пользователей".

    Снимок экрана, на котором показано диалоговое окно

      Изображение

    б. Из списка Преобразование выберите ExtractMailPrefix().

    с. Из списка Параметр 1 выберите user.mail.

    д. Нажмите кнопку "Сохранить".

  8. На странице «Настройка Single Sign-On с помощью SAML», в разделе «Сертификат подписи SAML», выберите «Скачать», чтобы загрузить XML-файл метаданных федерации из предложенных опций в соответствии с вашими требованиями и сохранить его на компьютере.

    Ссылка для скачивания сертификата

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в разделе «Быстрый старт: создание и назначение учетной записи пользователя», чтобы создать тестовую учетную запись под именем B.Simon.

Настройка SSO для SAP HANA

  1. Для настройки единого входа на стороне SAP HANA войдите в веб-консоль XSA HANA, перейдя к соответствующей конечной точке HTTPS.

    Примечание.

    В конфигурации по умолчанию URL-адрес перенаправляет запрос на экран входа, который требует учетные данные прошедшего проверку подлинности пользователя базы данных SAP HANA. Пользователь, который входит в систему, должен иметь разрешения, необходимые для выполнения задач администрирования SAML.

  2. В веб-интерфейсе XSA перейдите к поставщику удостоверений SAML. Нажмите кнопку + в нижней части экрана, чтобы отобразить область Добавление сведений о поставщике удостоверений. Затем выполните следующие действия:

    Добавить поставщика удостоверений

    a. В области "Добавление сведений о поставщике удостоверений" вставьте содержимое XML-файла метаданных (который вы скачали) в поле метаданных.

    Снимок экрана, на котором показана панель добавления сведений о поставщике удостоверений с выделенными полями для ввода метаданных и имени.

    б. Если содержимое XML-документа является допустимым, процесс синтаксического анализа извлечет сведения, необходимые для полей темы, идентификатора сущности и издателя в области экрана Общие данные. Он извлекает сведения, необходимые для полей URL-адреса в области экрана Destination (Место назначения), например базовый URL-адрес и URL-адрес единого входа (*).

    Добавьте параметры поставщика удостоверений

    с. В поле Name на экране General Data введите имя для нового поставщика удостоверений единого входа SAML.

    Примечание.

    Имя поставщика удостоверений SAML является обязательным и должно быть уникальным. Он отображается в списке доступных поставщиков удостоверений SAML, отображаемых при выборе SAML в качестве метода проверки подлинности для используемых приложений SAP HANA XS. Например, в области экрана Authentication (Проверка подлинности) средства управления артефактами XS.

  3. Нажмите кнопку Save (Сохранить), чтобы сохранить сведения о поставщике удостоверений SAML и добавить нового поставщика удостоверений SAML в список известных поставщиков удостоверений SAML.

    Кнопка

  4. В HANA Studio откройте системные свойства и на вкладке Configuration (Конфигурация) примените для параметров фильтр по строке saml. Затем измените значение параметра assertion_timeout с 10 секунд на 120 секунд.

    Параметр assertion_timeout

Создание тестового пользователя SAP HANA

Чтобы пользователи Microsoft Entra могли войти в SAP HANA, необходимо зарегистрировать их в SAP HANA. SAP HANA поддерживает подготовку по требованию, которая включена по умолчанию.

Если необходимо создать пользователя вручную, выполните приведенные ниже действия.

Примечание.

Можно изменить метод внешней проверки, используемый пользователем. Они могут пройти проверку подлинности с помощью внешней системы, такой как Kerberos. Чтобы получить дополнительные сведения о внешних идентификациях, свяжитесь со своим администратором домена.

  1. Откройте SAP HANA Studio от имени администратора и включите SAML SSO для пользователя БД.

  2. Выберите невидимый флажок слева от SAML, затем выберите ссылку Настроить.

  3. Выберите Добавить, чтобы добавить поставщика удостоверений SAML. Выберите соответствующий IDP SAML и нажмите ОК.

  4. Добавьте Внешнюю личность (в данном случае: BrittaSimon). Затем выберите OK.

    Примечание.

    Необходимо заполнить поле внешнего удостоверения для пользователя, и это значение должно соответствовать полю NameID в токене SAML из идентификатора Microsoft Entra ID. Флажок Any не должен быть установлен, так как этот параметр требует, чтобы поставщик удостоверений отправлял свойство SPProviderID в поле NameID, что в настоящее время не поддерживается идентификатором Microsoft Entra. Дополнительные сведения см. в разделе "Единый вход с помощью SAML 2.0".

  5. Для тестирования назначьте все роли XS пользователю.

    Назначение ролей

    Совет

    Следует предоставить разрешения, которые подходят только для вашего варианта использования.

  6. Сохраните пользователя.

Проверка SSO

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

  • Выберите "Тестировать это приложение", и вы автоматически войдете в приложение SAP HANA, для которого настроили единый вход

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. При выборе плитки SAP HANA в разделе "Мои приложения" вы автоматически войдете в приложение SAP HANA, для которого настроили единый вход. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Предоставление из облачных служб удостоверений SAP в SAP HANA — это бета-функция, доступная на платформе SAP Business Technology. Дополнительные сведения см. в статьях о настройке предоставления пользователей из Microsoft Entra ID в SAP Cloud Identity Services и о настройке предоставления пользователей из SAP Cloud Identity Services в базу данных SAP HANA (Beta).

После настройки единого входа SAP HANA вы можете применить функцию управления сеансами, которая предотвращает кражу и несанкционированный доступ к конфиденциальным данным вашей организации в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.