Dela via

Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med SAP HANA

  • Artikel

I den här självstudien får du lära dig hur du integrerar SAP HANA med Microsoft Entra-ID. När du integrerar SAP HANA med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till SAP HANA.
  • Gör så att dina användare automatiskt loggas in på SAP HANA med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Förutsättningar

För att konfigurera Microsoft Entra-integrering med SAP HANA behöver du följande:

  • En Microsoft Entra-prenumeration
  • En SAP HANA-prenumeration som är aktiverad för enkel inloggning (SSO)
  • En HANA-instans som körs på offentliga IaaS-, lokala, virtuella Azure-datorer eller SAP-stora instanser i Azure
  • Webbgränssnittet för XSA-administration samt HANA Studio installerat på HANA-instansen

Not

Vi rekommenderar inte att du använder en produktionsmiljö för SAP HANA för att testa stegen i den här självstudien. Testa integreringen först i programmets utvecklings- eller mellanlagringsmiljö och använd sedan produktionsmiljön.

Följ dessa rekommendationer för att testa stegen i den här självstudien:

  • En Microsoft Entra-prenumeration. Om du inte har någon Microsoft Entra-miljö kan du få en månads utvärderingsversion här
  • SAP HANA-prenumeration med enkel inloggning aktiverat

Scenariobeskrivning

I den här självstudien konfigurerar och testar du enkel inloggning med Microsoft Entra i en testmiljö.

  • SAP HANA stöder IDP-initierad enkel inloggning.
  • SAP HANA stöder just-in-time-användaretablering .

Not

Identifieraren för det här programmet är ett fast strängvärde så att endast en instans kan konfigureras i en klientorganisation.

För att konfigurera integreringen av SAP HANA i Microsoft Entra-ID måste du lägga till SAP HANA från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du SAP HANA i sökrutan.
  4. Välj SAP HANA i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för SAP HANA

Konfigurera och testa Microsoft Entra SSO med SAP HANA med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i SAP HANA.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med SAP HANA:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med Britta Simon.
    2. Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för Britta Simon att använda enkel inloggning med Microsoft Entra.
  2. Konfigurera SAP HANA SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa SAP HANA-testanvändare – för att ha en motsvarighet för Britta Simon i SAP HANA som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>> SAP HANA>Enkel inloggning.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  5. I avsnittet Grundläggande SAML-konfiguration anger du värdena för följande fält:

    I textrutan Svars-URL skriver du en URL med följande mönster:https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Not

    Värdet för svars-URL:en är inte verkligt. Uppdatera värdet med den faktiska svars-URL:en. Kontakta SAP HANA-klientsupporten för att hämta värdena. Du kan också referera till de mönster som visas i avsnittet Grundläggande SAML-konfiguration .

  6. SAP HANA-programmet förväntar sig SAML-försäkran i ett visst format. Konfigurera följande anspråk för det här programmet. Du kan hantera värdena för dessa attribut från avsnittet Användarattribut på programintegreringssidan. På sidan Konfigurera enkel inloggning med SAML klickar du på knappen Redigera för att öppna dialogrutan Användarattribut .

    Skärmbild som visar avsnittet

  7. Utför följande steg i avsnittet Användarattribut i dialogrutan Användarattribut och anspråk:

    a. Klicka på ikonen Redigera för att öppna dialogrutan Hantera användaranspråk .

    Skärmbild som visar dialogrutan

    bild

    b. I listan Transformering väljer du ExtractMailPrefix().

    c. I listan Parameter 1 väljer du user.mail.

    d. Klicka på Spara.

  8. På sidan Konfigurera enkel inloggning med SAML i avsnittet SAML-signeringscertifikat klickar du på Ladda ned för att ladda ned XML för federationsmetadata från de angivna alternativen enligt dina behov och sparar den på datorn.

    Länken för nedladdning av certifikat

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Bläddra till Identitetsanvändare>>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Till exempel B.Simon@contoso.com.
    3. Markera kryssrutan Visa lösenord och skriv sedan ned värdet som visas i rutan Lösenord .
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till SAP HANA.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>SAP HANA.
  3. På appens översiktssida väljer du Användare och grupper.
  4. Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
    1. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
    2. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
    3. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela .

Konfigurera SAP HANA SSO

  1. Om du vill konfigurera enkel inloggning på SAP HANA-sidan loggar du in på DIN HANA XSA-webbkonsol genom att gå till respektive HTTPS-slutpunkt.

    Not

    I standardkonfigurationen omdirigerar URL:en begäran till en inloggningsskärm, vilket kräver autentiseringsuppgifterna för en autentiserad SAP HANA-databasanvändare. Användaren som loggar in måste ha behörighet att utföra SAML-administrationsuppgifter.

  2. I XSA-webbgränssnittet går du till SAML-identitetsprovider. Därifrån väljer du + knappen längst ned på skärmen för att visa fönstret Lägg till identitetsproviderinformation . Utför sedan följande steg:

    Lägg till identitetsprovider

    a. I fönstret Lägg till information om identitetsprovider klistrar du in innehållet i metadata-XML (som du laddade ned) i rutan Metadata .

    Skärmbild som visar fönstret

    b. Om innehållet i XML-dokumentet är giltigt extraherar parsningsprocessen den information som krävs för fälten Ämne, Entitets-ID och Utfärdare i området Allmänt dataskärm . Den extraherar också den information som krävs för URL-fälten i området Målskärm, till exempel fälten Base URL och SingleSignOn URL (*).

    Lägga till inställningar för identitetsprovider

    c. I rutan Namn i skärmområdet Allmänna data anger du ett namn för den nya SAML SSO-identitetsprovidern.

    Not

    Namnet på SAML IDP är obligatoriskt och måste vara unikt. Den visas i listan över tillgängliga SAML-IDP:er som visas när du väljer SAML som autentiseringsmetod för SAP HANA XS-program som ska användas. Du kan till exempel göra detta i skärmområdet Autentisering i XS Artifact Administration-verktyget.

  3. Välj Spara för att spara information om SAML-identitetsprovidern och lägg till den nya SAML-IDP:n i listan över kända SAML-IDP:er.

    Knappen Spara

  4. I HANA Studio filtrerar du inställningarna efter saml i systemegenskaperna på fliken Konfiguration. Justera sedan assertion_timeout från 10 sek till 120 sek.

    assertion_timeout inställning

Skapa SAP HANA-testanvändare

Om du vill göra det möjligt för Microsoft Entra-användare att logga in på SAP HANA måste du etablera dem i SAP HANA. SAP HANA stöder just-in-time-etablering, vilket är aktiverat som standard.

Om du behöver skapa en användare manuellt utför du följande steg:

Not

Du kan ändra den externa autentisering som användaren använder. De kan autentisera med ett externt system som Kerberos. Kontakta domänadministratören om du vill ha detaljerad information om externa identiteter.

  1. Öppna SAP HANA Studio som administratör och aktivera sedan DB-User för SAML SSO.

  2. Markera den osynliga kryssrutan till vänster om SAML och välj sedan länken Konfigurera .

  3. Välj Lägg till för att lägga till SAML IDP. Välj lämplig SAML IDP och välj sedan OK.

  4. Lägg till den externa identiteten (i det här fallet BrittaSimon). Välj sedan OK.

    Not

    Du måste fylla i fältet Extern identitet för användaren och det värdet måste matcha fältet NameID i SAML-token från Microsoft Entra ID. Kryssrutan Alla bör inte markeras eftersom det här alternativet kräver att IDP skickar en SPProviderID-egenskap i fältet NameID, som för närvarande inte stöds av Microsoft Entra-ID. Mer information finns i Enkel inloggning med SAML 2.0.

  5. I testsyfte tilldelar du alla XS-roller till användaren.

    Tilldela roller

    Dricks

    Du bör endast ge behörigheter som är lämpliga för dina användningsfall.

  6. Spara användaren.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

  • Klicka på Testa det här programmet så bör du automatiskt loggas in på SAP HANA som du har konfigurerat enkel inloggning för

  • Du kan använda Microsoft Mina appar. När du klickar på SAP HANA-panelen i Mina appar bör du automatiskt loggas in på SAP HANA som du har konfigurerat enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

Etablering från SAP Cloud Identity Services till SAP HANA är en betafunktion som är tillgänglig på SAP Business Technology Platform. Mer information finns i konfigurera etablering av användare från Microsoft Entra-ID till SAP Cloud Identity Services och hur du konfigurerar etablering av användare från SAP Cloud Identity Services till SAP HANA Database (Beta).

När du har konfigurerat SAP HANA för enkel inloggning kan du framtvinga sessionskontroll, vilket förhindrar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.