Öğretici: SAP HANA ile Microsoft Entra tümleştirmesi

  • Makale

Bu öğreticide SAP HANA'yı Microsoft Entra Id ile tümleştirmeyi öğreneceksiniz. SAP HANA'yı Microsoft Entra Id ile tümleştirdiğinizde şunları yapabilirsiniz:

  • Microsoft Entra Id'de SAP HANA'ya kimlerin erişimi olduğunu denetleme.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla SAP HANA'da otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

Önkoşullar

SAP HANA ile Microsoft Entra tümleştirmesini yapılandırmak için aşağıdaki öğelere ihtiyacınız vardır:

  • Microsoft Entra aboneliği
  • Çoklu oturum açma (SSO) etkinleştirilmiş sap HANA aboneliği
  • Azure'daki genel IaaS, şirket içi, Azure VM veya SAP büyük örneklerinde çalışan bir HANA örneği
  • HANA örneğinde yüklü OLAN XSA Yönetici istration web arabiriminin yanı sıra HANA Studio

Dekont

Bu öğreticideki adımları test etmek için SAP HANA'nın üretim ortamını kullanmanızı önermeyiz. Tümleştirmeyi önce uygulamanın geliştirme veya hazırlama ortamında test edin ve ardından üretim ortamını kullanın.

Bu öğreticideki adımları test etmek için şu önerileri izleyin:

  • Microsoft Entra aboneliği. Microsoft Entra ortamınız yoksa burada bir aylık deneme sürümü alabilirsiniz
  • SAP HANA çoklu oturum açma özellikli abonelik

Senaryo açıklaması

Bu öğreticide, bir test ortamında Microsoft Entra çoklu oturum açmayı yapılandırıp test edin.

  • SAP HANA, IDP tarafından başlatılan SSO'yı destekler.
  • SAP HANA tam zamanında kullanıcı sağlamayı destekler.

Dekont

Bu uygulamanın tanımlayıcısı sabit bir dize değeridir, bu nedenle tek bir kiracıda yalnızca bir örnek yapılandırılabilir.

SAP HANA'nın Microsoft Entra ID ile tümleştirilmesini yapılandırmak için galeriden yönetilen SaaS uygulamaları listenize SAP HANA eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna SAP HANA yazın.
  4. Sonuçlar panelinden SAP HANA'yı seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

SAP HANA için Microsoft Entra SSO yapılandırma ve test

B.Simon adlı bir test kullanıcısını kullanarak SAP HANA ile Microsoft Entra SSO'yı yapılandırın ve test edin. SSO'nun çalışması için Microsoft Entra kullanıcısı ile SAP HANA'daki ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

SAP HANA ile Microsoft Entra SSO'larını yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.
    1. Britta Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. Britta Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
  2. UYGULAMA tarafında Çoklu Oturum Açma ayarlarını yapılandırmak için SAP HANA SSO'sunu yapılandırın.
    1. SAP HANA test kullanıcısı oluşturma - KULLANıCıNıN Microsoft Entra gösterimine bağlı SAP HANA'da Britta Simon'ın bir karşılığına sahip olmak için.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP HANA>Çoklu oturum açma'ya göz atın.

  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  4. SAML ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.

    Edit Basic SAML Configuration

  5. Temel SAML Yapılandırması bölümünde, aşağıdaki alanların değerlerini girin:

    Yanıt URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Dekont

    Yanıt URL'si değeri gerçek değil. Değeri gerçek Yanıt URL'si ile güncelleştirin. Değerleri almak için SAP HANA İstemcisi destek ekibine başvurun. Temel SAML Yapılandırması bölümünde gösterilen desenlere de başvurabilirsiniz.

  6. SAP HANA uygulaması, SAML onaylarını belirli bir biçimde bekler. Bu uygulama için aşağıdaki talepleri yapılandırın. Bu özniteliklerin değerlerini uygulama tümleştirme sayfasındaki Kullanıcı Öznitelikleri bölümünden yönetebilirsiniz. SAML ile Çoklu Oturum Açmayı Ayarla sayfasında Düzenle düğmesine tıklayarak Kullanıcı Öznitelikleri iletişim kutusunu açın.

    Screenshot that shows the

  7. Kullanıcı Öznitelikleri ve Talepleri iletişim kutusundaki Kullanıcı öznitelikleri bölümünde aşağıdaki adımları gerçekleştirin:

    a. Düzenle simgesine tıklayarak Kullanıcı taleplerini yönet iletişim kutusunu açın.

    Screenshot that shows the

    image

    b. Dönüştürme listesinden ExtractMailPrefix() öğesini seçin.

    c. Parametre 1 listesinden user.mail'i seçin.

    d. Kaydet'e tıklayın.

  8. SAML ile Çoklu Oturum Açmayı Ayarla sayfasındaki SAML İmzalama Sertifikası bölümünde, gereksinimlerinize göre verilen seçeneklerden Federasyon Meta Verileri XML'sini indirmek ve bilgisayarınıza kaydetmek için İndir'e tıklayın.

    The Certificate download link

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcıları Tüm kullanıcılar'a> göz atın.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur’u seçin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, SAP HANA'ya erişim vererek B.Simon'un çoklu oturum açma özelliğini kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>SAP HANA'ya göz atın.
  3. Uygulamanın genel bakış sayfasında Kullanıcılar ve gruplar'ı seçin.
  4. Kullanıcı/grup ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ıseçin.
    1. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın.
    2. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmamışsa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
    3. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

SAP HANA SSO'sını yapılandırma

  1. SAP HANA tarafında çoklu oturum açmayı yapılandırmak için ilgili HTTPS uç noktasına giderek HANA XSA Web Konsolunuzda oturum açın.

    Dekont

    Varsayılan yapılandırmada URL, isteği kimliği doğrulanmış sap HANA veritabanı kullanıcısının kimlik bilgilerini gerektiren bir oturum açma ekranına yönlendirir. Oturum açan kullanıcının SAML yönetim görevlerini gerçekleştirme izinleri olmalıdır.

  2. XSA Web Arabirimi'nde SAML Kimlik Sağlayıcısı'na gidin. Buradan, ekranın alt kısmındaki düğmeyi seçerek + Kimlik Sağlayıcısı Bilgileri Ekle bölmesini görüntüleyin. Aşağıdaki adımları izleyin:

    Add Identity Provider

    a. Kimlik Sağlayıcısı Bilgisi Ekle bölmesinde Meta Veri XML'sinin (indirdiğiniz) içeriğini Meta Veri kutusuna yapıştırın.

    Screenshot that shows the

    b. XML belgesinin içeriği geçerliyse, ayrıştırma işlemi Genel veri ekranı alanındaki Konu, Varlık Kimliği ve Veren alanları için gereken bilgileri ayıklar. Ayrıca Hedef ekran alanındaki URL alanları için gerekli olan bilgileri (örneğin, Temel URL ve SingleSignOn URL (*) alanları) ayıklar.

    Add Identity Provider settings

    c. Genel Veri ekranı alanının Ad kutusuna yeni SAML SSO kimlik sağlayıcısı için bir ad girin.

    Dekont

    SAML IDP adı zorunludur ve benzersiz olmalıdır. KULLANıLACAK SAP HANA XS uygulamalarının kimlik doğrulama yöntemi olarak SAML'yi seçtiğinizde görüntülenen kullanılabilir SAML IDP'leri listesinde görünür. Örneğin, bunu XS Artifact Yönetici istration aracının Kimlik Doğrulama ekranı alanında yapabilirsiniz.

  3. SAML kimlik sağlayıcısının ayrıntılarını kaydetmek ve yeni SAML IDP'sini bilinen SAML IDP'leri listesine eklemek için Kaydet'i seçin.

    Save button

  4. HANA Studio'da, Yapılandırma sekmesinin sistem özelliklerinde ayarları saml'ye göre filtreleyin. Ardından assertion_timeout 10 sn'den 120 sn'yeayarlayın.

    assertion_timeout setting

SAP HANA test kullanıcısı oluşturma

Microsoft Entra kullanıcılarının SAP HANA'da oturum açmasını sağlamak için bunları SAP HANA'da sağlamanız gerekir. SAP HANA, varsayılan olarak etkin olan tam zamanında sağlamayı destekler.

El ile kullanıcı oluşturmanız gerekiyorsa aşağıdaki adımları izleyin:

Dekont

Kullanıcının kullandığı dış kimlik doğrulamasını değiştirebilirsiniz. Kerberos gibi bir dış sistemle kimlik doğrulaması yapabilir. Dış kimlikler hakkında ayrıntılı bilgi için etki alanı yöneticinize başvurun.

  1. SAP HANA Studio'yu yönetici olarak açın ve ARDıNDAN SAML SSO için DB-User'ı etkinleştirin.

    Create user

  2. SAML'nin solundaki görünmez onay kutusunu seçin ve ardından Yapılandır bağlantısını seçin.

  3. SAML IDP'sini eklemek için Ekle'yi seçin. Uygun SAML IDP'yi ve ardından Tamam'ı seçin.

  4. Dış Kimliği ekleyin (bu örnekte BrittaSimon). Ardından Tamam'ı seçin.

    Dekont

    Kullanıcının Dış Kimlik alanını doldurmanız ve bunun Microsoft Entra Id'den SAML belirtecindeki NameID alanıyla eşleşmesi gerekir. Bu seçenek IDP'nin AdKimliği Alanı'nda SPProvderID özelliğini göndermesini gerektirdiğinden, şu anda Microsoft Entra Id tarafından desteklenmeyen onay kutuları işaretlenmemelidir. Daha fazla bilgi için bu belgeye bakın.

  5. Test amacıyla tüm XS rollerini kullanıcıya atayın.

    Assigning roles

    Bahşiş

    Yalnızca kullanım örneklerinize uygun izinler vermelisiniz.

  6. Kullanıcıyı kaydedin.

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

  • Bu uygulamayı test et'e tıkladığınızda SSO'nun ayarlandığı SAP HANA'da otomatik olarak oturum açmanız gerekir

  • Microsoft Uygulamalarım kullanabilirsiniz. Uygulamalarım SAP HANA kutucuğuna tıkladığınızda, SSO'nun ayarlandığı SAP HANA'da otomatik olarak oturum açmanız gerekir. Uygulamalarım hakkında daha fazla bilgi için bkz. Uygulamalarım giriş.

Sonraki adımlar

SAP HANA'yı yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.