使用 Microsoft Entra 識別碼設定 SAP HANA 以進行單一登錄

在本文中，您將瞭解如何整合 SAP HANA 與 Microsoft Entra 識別碼。 將 SAP HANA 與 Microsoft Entra ID 整合時，您可以：

• 在 Microsoft Entra ID 中控制可存取 SAP HANA 的人員。
• 讓您的使用者以其 Microsoft Entra 帳戶自動登入 SAP HANA。
• 在一個集中式位置管理您的帳戶。

必要條件

本文中所述的案例假設您已經具備下列必要條件：

• 具有有效訂閱的 Microsoft Entra 使用者帳戶。 如果您還沒有帳戶，您可以 免費建立帳戶。
• 下列其中一個角色：
  • 應用程式管理員
  • 雲端應用程式管理員
  • 應用程式擁有者。

• 已啟用單一登入 (SSO) 的 SAP Hana 訂用帳戶
• 執行於任何公有 IaaS、本地部署、Azure VM 或 Azure 中的 SAP 大規模執行個體上的 HANA 執行個體
• 安裝在 HANA 實例上的 XSA 系統管理 Web 介面和 HANA Studio

注意

不建議使用SAP HANA的生產環境來測試本文中的步驟。 先在應用程式的開發或預備環境中測試整合，然後使用生產環境。

若要測試本文中的步驟，請遵循下列建議：

• Microsoft Entra 訂用帳戶。 若您沒有 Microsoft Entra 環境，可以在此處取得一個月試用
• 已啟用 SAP HANA 單一登入的訂用帳戶

案例描述

在本文中，您會在測試環境中設定及測試Microsoft Entra 單一登錄。

• SAP Hana 支援由 IDP 起始的 SSO。
• SAP HANA 支援 Just-in-Time 使用者佈建。

注意

此應用程式的識別碼是固定的字串值，因此一個租用戶中只能設定一個執行個體。

從藝廊新增 SAP HANA

若要設定將 SAP HANA 整合到 Microsoft Entra ID 中，您需要從資源庫將 SAP HANA 新增到您的受控 SaaS app 清單。

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
2. 請流覽至 Entra ID>企業應用程式>新增應用程式。
3. 在 從圖庫新增 區段的搜尋方塊中輸入 SAP HANA。
4. 從結果面板選取 [SAP HANA]，然後新增應用程式。 將應用程式新增至您的租用戶時，請稍等幾秒。

或者，您也可以使用企業應用程式組態精靈。 在此精靈中，您可以將應用程式新增至租戶，將使用者或群組新增至應用程式，指派角色，以及完成 SSO 設定。 深入了解 Microsoft 365 精靈。

設定及測試適用於 SAP Hana 的 Microsoft Entra SSO

以名為 B.Simon 的測試使用者，設定及測試使用 SAP Hana 的 Microsoft Entra SSO。 若要讓 SSO 能夠運作，您必須建立 Microsoft Entra 使用者與 SAP Hana 中相關使用者之間的連結關聯性。

若要設定及測試使用 SAP HANA 的 Microsoft Entra SSO，請執行下列步驟：

1. 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
   1. 建立 Microsoft Entra 測試使用者 - 使用 Britta Simon 測試Microsoft Entra 單一登錄。
   2. 指派Microsoft Entra 測試使用者 - 讓 Britta Simon 能夠使用 Microsoft Entra 單一登錄。
2. 設定 SAP HANA SSO：在應用程式端設定單一登入設定。
   1. 建立 SAP HANA 測試使用者 - 以在 SAP HANA 中創建一個對應於 Britta Simon 的使用者，並將其與 Microsoft Entra 中該使用者的表示連結。
3. 測試 SSO - 確認組態是否正常運作。

設定 Microsoft Entra SSO

遵循下列步驟來啟用 Microsoft Entra SSO。

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 Entra ID>Enterprise 應用程式>SAP HANA>單一登入。

3. 在 [選取單一登入方法] 頁面上，選取 [SAML]。

4. 在 [設定使用 SAML 單一登入] 頁面上，選取 [基本 SAML 組態] 的鉛筆圖示來編輯設定。

   

5. 在 [基本 SAML 組態] 區段上，輸入下列欄位的值：

   在 [回覆 URL] 文字方塊中，使用下列模式來輸入 URL：https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

   注意

   [回復 URL] 值不是真實的。 請使用實際的「回覆 URL」來更新此值。 請連絡 SAP HANA 客戶支援小組以取得這些值。 您也可以參考 基本 SAML 設定 一節中所示的模式。

6. SAP Hana 應用程式需要特定格式的 SAML 判斷提示。 設定此應用程式的下列要求。 您可以在應用程式整合頁面的 [使用者屬性] 區段中，管理這些屬性的值。 在 [ 使用 SAML 設定單一 Sign-On ] 頁面上，選取 [ 編輯 ] 按鈕以開啟 [使用者屬性] 對話框。

   

7. 在 [使用者屬性與宣告] 對話方塊的 [使用者屬性] 區段中，執行下列步驟：

   一。 選取 [編輯] 圖示 以開啟 [管理使用者宣告] 對話框。

   

   

   b。 從 [轉換] 清單中，選取 [ExtractMailPrefix()]。

   丙. 從 [參數 1] 清單中，選取 [user.mail]。

   d。 選取 [儲存]。

8. 在設定 SAML 單一登入頁面上的SAML 簽署憑證區段中，選取下載，從指定選項下載聯邦中繼資料 XML，並根據需要將其儲存於您的電腦上。

   

建立並指派Microsoft Entra 測試使用者

請遵循 建立並指派用戶帳戶 快速入門中的指導方針，以建立名為 B.Simon 的測試用戶帳戶。

設定 SAP HANA SSO

1. 若要在 SAP Hana 端設定單一登入，請瀏覽至個別的 HTTPS 端點以登入您的 HANA XSA Web 主控台。

   注意

   在預設組態中，URL 會將要求重新導向到登入畫面，這需要已驗證 SAP Hana 資料庫使用者的認證。 登入的使用者必須有執行 SAML 系統管理工作的權限。

2. 在 XSA Web 介面中，前往 SAML 識別提供者。 從該處的畫面底部選取 + 按鈕，以顯示 [新增識別提供者資訊] 窗格。 然後採取下列步驟：

   

   一。 在 [新增識別提供者資訊] 窗格中，將中繼資料 XML 內容 (您已下載) 貼到 [中繼資料] 方塊中。

   

   b。 如果 XML 文件的內容有效，剖析程序會擷取 [一般資料] 畫面區域中的 [主旨]、[實體識別碼] 和 [簽發者] 欄位所需的資訊。 該程序也會擷取 [目的地] 畫面區域中 URL 欄位的所需資訊，例如 [基底 URL] 和 [SingleSignOn URL]\(*) 欄位。

   

   丙. 在 [一般資料] 畫面區域的 [名稱] 方塊中，輸入新 SAML SSO 識別提供者的名稱。

   注意

   SAML IDP 的名稱是必要項目，且必須是唯一的。 該名稱會顯示在可用 SAML IDP 清單中，該清單會在您選取 SAML 作為要使用的 SAP Hana XS 應用程式驗證方法時顯示。 例如，您可以在 XS Artifact Administration 工具的 [驗證] 畫面區域中執行此操作。

3. 選取 [儲存] 以儲存 SAML 識別提供者的詳細資料，並且將新的 SAML IDP 新增至已知 SAML IDP 清單。

   

4. 在 HANA Studio 中 [設定] 索引標籤的系統屬性內，依 saml 篩選設定。 然後將 assertion_timeout 從 10 秒調整為 120 秒。

   

建立 SAP Hana 測試使用者

若要讓 Microsoft Entra 使用者登入 SAP HANA，您必須在 SAP HANA 中佈建這些使用者。 SAP HANA 支援即時佈建，該功能預設即啟用。

如果您需要手動建立使用者，請採取下列步驟：

注意

您可以變更使用者所使用的外部驗證。 他們可以使用外部系統 (例如 Kerberos) 進行驗證。 如需外部身分識別的詳細資訊，請連絡網域系統管理員。

1. 以系統管理員身分開啟 SAP Hana Studio，然後為 SAML SSO 啟用 DB-User。

2. 選取 [SAML] 左側的隱藏核取方塊，並選取 [設定] 連結。

3. 請點選新增以新增 SAML IDP。 選取適當的 SAML IDP，然後選取 [確定]。

4. 新增 [外部身分識別] (在此情況下為 BrittaSimon)。 然後選取確定。

   注意

   您必須填寫使用者的 外部身分識別 欄位，且該值必須與 Microsoft Entra ID 的 SAML 權杖中的 NameID 欄位相符。 不應核取 [任何] 複選框，因為此選項需要IDP在 NameID欄位中傳送SPProviderID 屬性，而此欄位目前不支援Microsoft Entra ID。 如需詳細資訊，請參閱 使用 SAML 2.0 單一登入。

5. 為了進行測試，請對使用者指派所有 XS 角色。

   

   提示

   您只應該提供適用於您使用案例的權限。

6. 儲存使用者的資料。

測試 SSO

在本節中，您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。

• 選取 [測試此應用程式]，您應該會自動登入您已設定 SSO 的 SAP HANA

• 您可以使用 Microsoft 我的應用程式。 當您在 [我的應用程式] 中選取 [SAP HANA] 圖格時，應該會自動登入您已設定 SSO 的 SAP HANA。 如需「我的應用程式」的詳細資訊，請參閱我的應用程式簡介。

相關內容

從 SAP 雲端身分識別服務佈建至 SAP HANA 是在 SAP 商業技術平台上提供的 Beta 版本功能。 如需詳細資訊，請參閱如何設定將使用者從 Microsoft Entra ID 佈建至 SAP 雲端身分識別服務，以及如何設定將使用者從 SAP 雲端身分識別服務佈建至 SAP Hana 資料庫 (Beta)。

設定 SAP HANA 的 SSO 之後，您可以強制執行工作階段控制項，以即時防止組織的敏感資料遭到外洩和滲透。 工作階段控制延伸自條件式存取。 了解如何使用 Microsoft Defender for 雲端應用程式來強制執行會話控制。