Интеграция единого входа Microsoft Entra с SAP HANA

В этой статье вы узнаете, как интегрировать SAP HANA с идентификатором Microsoft Entra. Интеграция SAP HANA с идентификатором Microsoft Entra позволяет:

• Управляйте доступом к SAP HANA в Microsoft Entra ID.
• Включите автоматический вход пользователей в SAP HANA с помощью учетных записей Microsoft Entra.
• Управляйте своими учетными записями в одном месте.

Предварительные требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • администратор облачных приложений
  • Владельца Приложения.

• подписка на SAP HANA с поддержкой единого входа;
• Экземпляр HANA, работающий на любом общедоступном IaaS, в локальной среде, на виртуальной машине Azure или в решениях "Крупные экземпляры SAP в Azure";
• веб-интерфейс администрирования XSA, а также среда HANA Studio, установленная на экземпляре HANA.

Чтобы протестировать действия, описанные в этой статье, следуйте приведенным ниже рекомендациям.

• Подписка Microsoft Entra. Если у вас нет среды Microsoft Entra, вы можете получить пробную версию одного месяца здесь.
• Подписка SAP HANA с поддержкой единого входа.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• SAP HANA поддерживает единый вход, инициированный поставщиком службы.
• Приложение SAP HANA поддерживает подготовку пользователей в режиме реального времени.

Добавление SAP HANA из галереи.

Чтобы настроить интеграцию SAP HANA с идентификатором Microsoft Entra ID, необходимо добавить SAP HANA из коллекции в список управляемых приложений SaaS.

1. Войдите в центр администрирования Microsoft Entra с учетной записью не ниже Администратора облачных приложений.
2. Перейдите к Идентификация>Приложения>Корпоративные приложения>Новое приложение.
3. В разделе Добавление из коллекции в поле поиска введите SAP HANA.
4. Выберите SAP HANA в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для SAP HANA

Настройте и проверьте единый вход Microsoft Entra в SAP HANA с помощью тестового пользователя B.Simon. Для работы единого входа в систему необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в SAP HANA.

Чтобы настроить и проверить единый вход Microsoft Entra в SAP HANA, выполните следующие действия.

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
   1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью Britta Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить пользователю Britta Simon использовать единый вход Microsoft Entra.
2. Настройте SSO в SAP HANA для конфигурации параметров единого входа на стороне приложения.
   1. Создать тестового пользователя SAP HANA — чтобы в SAP HANA был создан пользователь, соответствующий Бритте Саймон и связан с представлением пользователя Microsoft Entra.
3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка SSO Microsoft Entra

Выполните следующие действия, чтобы включить SSO Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор облачных приложений.

2. Перейдите к Идентичность>Приложения>Корпоративные приложения>SAP HANA>Единый вход.

3. На странице Выбрать метод единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

   

5. На странице Базовая конфигурация SAML введите значения следующих полей.

   В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc.

   Примечание.

   Значение URL-адреса ответа не является реальным. Обновите значение с фактическим URL-адресом ответа. Чтобы получить значения, обратитесь в службу поддержки клиентов SAP HANA. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

6. Приложение SAP HANA ожидает утверждения SAML в определенном формате. Настройте следующие утверждения для этого приложения. Управлять значениями этих атрибутов можно в разделе Атрибуты пользователя на странице интеграции приложения. На странице Настройка единого входа с помощью SAML нажмите кнопку Изменить, чтобы открыть диалоговое окно Атрибуты пользователя.

   

7. В разделе Атрибуты пользователя в диалоговом окне User Attributes & Claims (Атрибуты пользователя и утверждения) выполните следующие действия.

   a. Щелкните значок редактирования, чтобы открыть диалоговое окно Управление утверждениями пользователя.

   

   

   b. Из списка Преобразование выберите ExtractMailPrefix().

   с. Из списка Параметр 1 выберите user.mail.

   d. Нажмите кнопку Сохранить.

8. На странице Настройка единого входа с помощью SAML, в разделе Сертификат подписи SAML, щелкните Скачать, чтобы загрузить XML-файл метаданных федерации в соответствии с вашими требованиями и сохраните его на компьютере.

   

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в центр администрирования Microsoft Entra как минимум в роли Администратор пользователей.
2. Перейдите в раздел Идентификатор>Пользователи>Все пользователи.
3. Выберите "Создать пользователя>" в верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле имени пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
   4. Выберите Просмотреть и создать.
5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к SAP HANA.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к Identity>Applications>Enterprise applications>SAP HANA.
3. На странице обзора приложения выберите "Пользователи" и "Группы".
4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
   1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
   2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
   3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка SSO для SAP HANA

1. Для настройки единого входа на стороне SAP HANA войдите в веб-консоль XSA HANA, перейдя к соответствующей конечной точке HTTPS.

   Примечание.

   В конфигурации по умолчанию URL-адрес перенаправляет запрос на экран входа, который требует учетные данные прошедшего проверку подлинности пользователя базы данных SAP HANA. Пользователь, который входит в систему, должен иметь разрешения, необходимые для выполнения задач администрирования SAML.

2. В веб-интерфейсе XSA перейдите к поставщику удостоверений SAML. Нажмите кнопку + в нижней части экрана, чтобы отобразить область Добавление сведений о поставщике удостоверений. Затем выполните следующие действия:

   

   a. В области "Добавление сведений о поставщике удостоверений" вставьте содержимое XML-файла метаданных (который вы скачали) в поле метаданных.

   

   b. Если содержимое XML-документа является допустимым, процесс синтаксического анализа извлечет сведения, необходимые для полей темы, идентификатора сущности и издателя в области экрана Общие данные. Он извлекает сведения, необходимые для полей URL-адреса в области экрана Destination (Место назначения), например базовый URL-адрес и URL-адрес единого входа (*).

   

   с. В поле Name на экране General Data введите имя для нового поставщика удостоверений единого входа SAML.

   Примечание.

   Имя поставщика удостоверений SAML является обязательным и должно быть уникальным. Оно появится в списке доступных поставщиков удостоверений SAML, который отображается при выборе SAML в качестве метода проверки подлинности для приложений XS SAP HANA. Например, в области экрана Authentication (Проверка подлинности) средства управления артефактами XS.

3. Нажмите кнопку Save (Сохранить), чтобы сохранить сведения о поставщике удостоверений SAML и добавить нового поставщика удостоверений SAML в список известных поставщиков удостоверений SAML.

   

4. В HANA Studio откройте системные свойства и на вкладке Configuration (Конфигурация) примените для параметров фильтр по строке saml. Затем измените значение параметра assertion_timeout с 10 секунд на 120 секунд.

   

Создание тестового пользователя SAP HANA

Чтобы пользователи Microsoft Entra могли войти в SAP HANA, необходимо зарегистрировать их в SAP HANA. SAP HANA поддерживает подготовку по требованию, которая включена по умолчанию.

Если необходимо создать пользователя вручную, выполните приведенные ниже действия.

1. Откройте SAP HANA Studio от имени администратора и включите SAML SSO для пользователя БД.

2. Выберите невидимый флажок слева от SAML, затем выберите ссылку Настроить.

3. Выберите Добавить, чтобы добавить поставщика удостоверений SAML. Выберите соответствующий IDP SAML и нажмите ОК.

4. Добавьте Внешнюю личность (в данном случае: BrittaSimon). Затем выберите OK.

   Примечание.

   Необходимо заполнить поле внешнего удостоверения для пользователя, и это значение должно соответствовать полю NameID в токене SAML из идентификатора Microsoft Entra ID. Флажок "Любой" не должен быть установлен, так как этот параметр требует, чтобы поставщик удостоверений (IDP) отправлял свойство SPProviderID в поле NameID, что в настоящее время не поддерживается Microsoft Entra ID. Дополнительные сведения см. в разделе "Единый вход с помощью SAML 2.0".

5. Для тестирования назначьте все роли XS пользователю.

   

   Совет

   Следует предоставить разрешения, которые подходят только для вашего варианта использования.

6. Сохраните пользователя.

Проверка SSO

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

• Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение SAP HANA, для которого настроили единый вход.

• Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку SAP HANA на портале "Мои приложения", вы автоматически войдете в приложение SAP HANA, для которого настроили единый вход. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Связанное содержимое

Предоставление из облачных служб удостоверений SAP в SAP HANA — это бета-функция, доступная на платформе SAP Business Technology. Дополнительные сведения см. в статьях о настройке предоставления пользователей из Microsoft Entra ID в SAP Cloud Identity Services и о настройке предоставления пользователей из SAP Cloud Identity Services в базу данных SAP HANA (Beta).

После настройки единого входа SAP HANA вы можете применить функцию управления сеансами, которая предотвращает кражу и несанкционированный доступ к конфиденциальным данным вашей организации в режиме реального времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.