Megosztás a következőn keresztül:

Microsoft Entra egyszeri bejelentkezés (SSO) integrációja az SAP HANA-val

  • Cikk

Ebből a cikkből megtudhatja, hogyan integrálhatja az SAP HANA-t a Microsoft Entra ID-val. Ha integrálja az SAP HANA-t a Microsoft Entra ID-val, az alábbiakat teheti:

  • SAP HANA-hoz való hozzáférést a Microsoft Entra ID vezérli.
  • Engedélyezze a felhasználóknak, hogy automatikusan bejelentkezhessenek az SAP HANA-ba a Microsoft Entra-fiókjukkal.
  • A fiókokat egy központi helyen kezelheti.

Előfeltételek

A cikkben ismertetett forgatókönyv feltételezi, hogy már rendelkezik a következő előfeltételekkel:

  • Az egyszeri bejelentkezést (SSO) engedélyező SAP HANA-előfizetés
  • Olyan HANA-példány, amely bármely nyilvános IaaS-, helyszíni, Azure-beli virtuális vagy SAP-példányon fut az Azure-ban
  • Az XSA Administration webes felülete, valamint a HANA-példányra telepített HANA Studio

Feljegyzés

A cikkben ismertetett lépések teszteléséhez nem javasoljuk az SAP HANA éles környezetének használatát. Először tesztelje az integrációt az alkalmazás fejlesztési vagy tesztkörnyezetében, majd használja az éles környezetet.

A cikkben szereplő lépések teszteléséhez kövesse az alábbi javaslatokat:

  • Microsoft Entra-előfizetés. Ha nem rendelkezik Microsoft Entra-környezettel, itt kaphat egy hónapos próbaverziót
  • SAP HANA egyszeri bejelentkezést engedélyező előfizetés

Forgatókönyv leírása

Ebben a cikkben a Microsoft Entra egyszeri bejelentkezését konfigurálja és teszteli tesztkörnyezetben.

  • Az SAP HANA támogatja az identitásszolgáltató által kezdeményezett egyszeri bejelentkezést.
  • Az SAP HANA támogatja a felhasználó igény szerinti kiépítését.

Feljegyzés

Az alkalmazás azonosítója rögzített sztringérték, így egyetlen bérlőben csak egy példány konfigurálható.

Az SAP HANA Microsoft Entra-azonosítóba való integrálásának konfigurálásához hozzá kell adnia az SAP HANA-t a katalógusból a felügyelt SaaS-alkalmazások listájához.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Keresse meg az Identity>Applications>Új alkalmazás.
  3. Hozzáadás a galériából szakaszban írja be SAP HANA a keresőmezőbe.
  4. Válassza az SAP HANA-t a találatok panelen, majd adja hozzá az alkalmazást. Várjon néhány másodpercet, amíg az alkalmazás hozzá lesz adva a bérlőhöz.

Másik lehetőségként használhatja a Vállalati alkalmazáskonfiguráció varázslót is. Ebben a varázslóban hozzáadhat egy alkalmazást a bérlőhöz, hozzáadhat felhasználókat/csoportokat az alkalmazáshoz, szerepköröket rendelhet hozzá, valamint végigvezetheti az egyszeri bejelentkezés konfigurációját is. További információ a Microsoft 365 varázslóiról.

A Microsoft Entra SSO konfigurálása és tesztelése az SAP HANA-hoz

A Microsoft Entra SSO konfigurálása és tesztelése az SAP HANA-val egy B.Simon nevű tesztfelhasználó használatával. Ahhoz, hogy az egyszeri bejelentkezés működjön, létre kell hoznia egy kapcsolati kapcsolatot egy Microsoft Entra-felhasználó és a kapcsolódó felhasználó között az SAP HANA-ban.

A Microsoft Entra SSO SAP HANA-val való konfigurálásához és teszteléséhez hajtsa végre a következő lépéseket:

  1. Konfigurálja a Microsoft Entra egyszeri bejelentkezést , hogy a felhasználók használhassák ezt a funkciót.
    1. Microsoft Entra tesztfelhasználó létrehozása – a Microsoft Entra egyszeri bejelentkezésének teszteléséhez Britta Simonnal.
    2. Rendelje hozzá a Microsoft Entra tesztfelhasználót , hogy britta Simon használhassa a Microsoft Entra egyszeri bejelentkezést.
  2. Az SAP HANA egyszeri bejelentkezés konfigurálása – az egyszeri bejelentkezési beállítások alkalmazásoldali konfigurálásához.
    1. Hozzon létre SAP HANA-tesztfelhasználót , hogy az SAP HANA-ban Britta Simon megfelelője legyen, amely a felhasználó Microsoft Entra-ábrázolásához kapcsolódik.
  3. SSO tesztelése – annak ellenőrzéséhez, hogy a konfiguráció működik-e.

A Microsoft Entra SSO konfigurálása

A Microsoft Entra SSO engedélyezéséhez kövesse az alábbi lépéseket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Böngésszen az Identity>Applications>Vállalati alkalmazások>SAP HANA>Egyszeri bejelentkezés lehetőséghez.

  3. A 'Válasszon egypontos azonosítási módot' oldalon, válassza a SAML-t.

  4. A(z) SAML-alapú egyszeri bejelentkezés beállítása lapon kattintson a Alapvető SAML-konfiguráció ceruza ikonjára a beállítások szerkesztéséhez.

    Alapszintű SAML-konfiguráció szerkesztése

  5. Az Egyszerű SAML-konfiguráció szakaszban adja meg a következő mezők értékeit:

    A Válasz URL-cím szövegmezőbe írjon be egy URL-címet a következő mintával:https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Feljegyzés

    A Válasz URL-cím értéke nem valós. Frissítse az értéket a tényleges válasz URL-címmel. Az értékek lekéréséhez lépjen kapcsolatba az SAP HANA ügyféltámogatási csapatával . Az egyszerű SAML-konfiguráció szakaszban látható mintákra is hivatkozhat.

  6. Az SAP HANA-alkalmazás az SAML-állításokat egy adott formátumban várja. Konfigurálja az alábbi igényeket ehhez az alkalmazáshoz. Ezeknek az attribútumoknak az értékeit az alkalmazásintegrációs oldal Felhasználói attribútumok szakaszában kezelheti. Az egyszeri bejelentkezés beállítása SAML-lel lapon kattintson a Szerkesztés gombra a Felhasználói attribútumok párbeszédpanel megnyitásához.

    Képernyőkép a

  7. A Felhasználói attribútumok > Jogcímek párbeszédpanel Felhasználói attribútumok szakaszában hajtsa végre a következő lépéseket:

    a. Kattintson a Szerkesztés ikonra a Felhasználói jogcímek kezelése párbeszédpanel megnyitásához.

    Képernyőkép a

    kép

    b. Az Átalakítás listában válassza az ExtractMailPrefix() lehetőséget.

    c. Az 1. paraméterlistában válassza a user.mail lehetőséget.

    d. Kattintson a Mentés gombra.

  8. Az egyszeri bejelentkezés beállítása SAML-lel lapon, az SAML aláíró tanúsítvány szakaszában kattintson a Letöltés gombra az összevonási metaadatok XML-fájljának letöltéséhez a megadott beállításokból, a követelményeknek megfelelően, és mentse a számítógépre.

    A tanúsítvány letöltési hivatkozása

Microsoft Entra-tesztfelhasználó létrehozása

Ebben a szakaszban egy B.Simon nevű tesztfelhasználót fog létrehozni.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.
  2. Navigáljon az Identitás>Felhasználók>Minden felhasználó elemhez.
  3. Válassza az Új felhasználó>létrehozása lehetőséget a képernyő tetején.
  4. A Felhasználói tulajdonságok területen kövesse az alábbi lépéseket:
    1. A Megjelenítendő név mezőbe írja be a következőtB.Simon:
    2. A Felhasználónév mezőbe írja be a következőtusername@companydomain.extension: . Például: B.Simon@contoso.com.
    3. Jelölje be a Jelszó megjelenítése jelölőnégyzetet, majd írja be a Jelszó mezőben megjelenő értéket.
    4. Válassza az Áttekintés + létrehozás lehetőséget.
  5. Válassza a Létrehozás lehetőséget.

A Microsoft Entra tesztfelhasználó hozzárendelése

Ebben a szakaszban engedélyezi, hogy B.Simon egyszeri bejelentkezést használjon az SAP HANA-hoz való hozzáférés biztosításával.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Böngésszen el az Identity>Applications>Enterprise alkalmazások>SAP HANA részhez.
  3. Az alkalmazás áttekintő lapján válassza a Felhasználók és csoportok lehetőséget.
  4. Válassza a Felhasználó/csoport hozzáadása lehetőséget, majd válassza a Felhasználók és csoportok lehetőséget a Hozzárendelés hozzáadása párbeszédpanelen.
    1. A Felhasználók és csoportok párbeszédpanelen válassza a B.Simon lehetőséget a Felhasználók listában, majd kattintson a Képernyő alján található Kiválasztás gombra.
    2. Ha egy szerepkört szeretne hozzárendelni a felhasználókhoz, a Szerepkör kiválasztása legördülő listából választhatja ki. Ha nincs beállítva szerepkör ehhez az alkalmazáshoz, az "Alapértelmezett hozzáférés" szerepkör van kiválasztva.
    3. Hozzárendelés hozzáadása párbeszédpanelen kattintson a Hozzárendelés gombra.

SAP HANA SSO konfigurálása

  1. Ha az SAP HANA oldalán szeretné konfigurálni az egyszeri bejelentkezést, jelentkezzen be a HANA XSA-webkonzolra a megfelelő HTTPS-végpontra lépve.

    Feljegyzés

    Az alapértelmezett konfigurációban az URL átirányítja a kérést egy bejelentkezési képernyőre, amelyhez egy hitelesített SAP HANA-adatbázis-felhasználó hitelesítő adataira van szükség. A bejelentkező felhasználónak rendelkeznie kell az SAML felügyeleti feladatok végrehajtásához szükséges engedélyekkel.

  2. Az XSA webes felületén nyissa meg az SAML-identitásszolgáltatót. A képernyő alján található gombra kattintva + megjelenítheti az Identitásszolgáltató adatainak hozzáadása panelt. Ezután hajtsa végre a következő lépéseket:

    Identitásszolgáltató hozzáadása

    a. Az Identitásszolgáltató adatainak hozzáadása panelen illessze be a Metaadatok mezőbe a metaadat-xml tartalmát (amelyet letöltött).

    Képernyőkép az

    b. Ha az XML-dokumentum tartalma érvényes, az elemzési folyamat kinyeri az Általános adat képernyőterület Tulajdonos, Entitásazonosító és Kiállító mezőihez szükséges információkat. Emellett kinyeri a Cél képernyőterület URL-mezőihez szükséges információkat, például az Alap URL-címet és a SingleSignOn URL-cím (*) mezőket.

    Identitásszolgáltató beállításainak hozzáadása

    c. Az Általános adatok képernyőterület Név mezőjében adja meg az új SAML SSO-identitásszolgáltató nevét.

    Megjegyzés

    Az SAML-azonosító neve kötelező, és egyedinek kell lennie. Megjelenik az elérhető SAML-azonosítók listájában, amelyek akkor jelennek meg, amikor az SAML-t választja a használni kívánt SAP HANA XS-alkalmazások hitelesítési módszereként. Ezt például az XS Artifact Administration eszköz Hitelesítési képernyőterületén teheti meg.

  3. A Mentés gombra kattintva mentse az SAML-identitásszolgáltató adatait, és adja hozzá az új SAML-azonosítót az ismert SAML-azonosítók listájához.

    Mentés gomb

  4. A HANA Studióban a Konfiguráció lap rendszertulajdonságaibanszűrje a beállításokat saml alapján. Ezután állítsa be a assertion_timeout 10 másodpercről120 másodpercre.

    assertion_timeout beállítás

SAP HANA-tesztfelhasználó létrehozása

Ahhoz, hogy a Microsoft Entra-felhasználók bejelentkezhessenek az SAP HANA-ba, ki kell őket építenie az SAP HANA-ban. Az SAP HANA támogatja az igény szerinti üzembe helyezést, amely alapértelmezés szerint engedélyezve van.

Ha manuálisan kell létrehoznia egy felhasználót, hajtsa végre a következő lépéseket:

Feljegyzés

Módosíthatja a felhasználó által használt külső hitelesítést. Hitelesítést végezhetnek külső rendszerekkel, például Kerberossal. A külső identitásokkal kapcsolatos részletes információkért forduljon a tartományi rendszergazdához.

  1. Nyissa meg rendszergazdaként az SAP HANA Studiót , majd engedélyezze a DB-felhasználót az SAML SSO-hoz.

  2. Jelölje be az SAML bal oldalán található láthatatlan jelölőnégyzetet, majd válassza a Konfigurálás hivatkozást.

  3. Válassza a Hozzáadás lehetőséget az SAML IDP hozzáadásához. Válassza ki a megfelelő SAML-azonosítót, majd kattintson az OK gombra.

  4. Adja hozzá a külső identitást (ebben az esetben BrittaSimon). Ezután válassza az OK gombra.

    Feljegyzés

    Ki kell töltenie a felhasználó Külső identitás mezőjét, és ennek az értéknek meg kell egyeznie a Microsoft Entra ID SAML-jogkivonatának NameID mezőjével. A Bármely jelölőnégyzetet nem kell bejelölni, mivel ehhez a beállításhoz az IDP-nek spProviderIDtulajdonságot kell küldenie a NameID mezőben, amelyet a Microsoft Entra ID jelenleg nem támogat. További információ: Egyszeri bejelentkezés AZ SAML 2.0 használatával.

  5. Tesztelési célokból rendelje hozzá az összes XS-szerepkört a felhasználóhoz.

    Szerepkörök hozzárendelése

    Tipp.

    Csak a használati esetekhez megfelelő engedélyeket kell megadnia.

  6. Mentse a felhasználót.

SSO teszt

Ebben a szakaszban az alábbi beállításokkal tesztelheti a Microsoft Entra egyszeri bejelentkezési konfigurációját.

  • Kattintson az alkalmazás tesztelésére, és automatikusan be kell jelentkeznie ahhoz az SAP HANA-hoz, amelyhez beállította az egyszeri bejelentkezést

  • Használhatja a Microsoft Saját alkalmazások. Amikor a Saját alkalmazások az SAP HANA csempére kattint, automatikusan be kell jelentkeznie ahhoz az SAP HANA-hoz, amelyhez beállította az egyszeri bejelentkezést. További információt a Saját alkalmazásokról a következő oldalon talál: Bevezetés a Saját alkalmazásokba.

Kapcsolódó tartalom

Az SAP Cloud Identity Servicesből az SAP HANA-ba történő kiépítés az SAP Business Technology Platformon elérhető bétaszolgáltatás. További információkért tekintse meg, hogyan konfigurálhatja a felhasználók kiépítését a Microsoft Entra ID-ból az SAP Cloud Identity Servicesbe, és hogyan konfigurálhatja a felhasználók kiépítését az SAP Cloud Identity Servicesből az SAP HANA Database-be (bétaverzió).

Miután konfigurálta az SAP HANA-t az egyszeri bejelentkezéshez, kényszerítheti a munkamenet-vezérlést, amely megakadályozza a szervezet bizalmas adatainak valós idejű kiszivárgását és beszivárgását. A munkamenet-vezérlés a feltételes hozzáféréstől terjed ki. Megtudhatja, hogyan kényszerítheti a munkamenet-vezérlést az Felhőhöz készült Microsoft Defender Apps használatával.