Kurz: Azure Active Directory integrace s SAP HANA

  • Článek
  • 7 min ke čtení

V tomto kurzu se dozvíte, jak integrovat SAP HANA s Azure Active Directory (Azure AD). Při integraci SAP HANA s Azure AD můžete:

  • Řízení ve službě Azure AD, která má přístup k SAP HANA.
  • Povolte uživatelům, aby se automaticky přihlásili k SAP HANA pomocí svých účtů Azure AD.
  • Spravujte své účty v jednom centrálním umístění – v Azure Portal.

Požadavky

Pokud chcete nakonfigurovat integraci Azure AD SAP HANA, potřebujete následující položky:

  • Předplatné Azure AD
  • Předplatné SAP HANA s povoleným jednotným přihlašováním
  • Instance HANA, která běží na jakémkoli veřejném IaaS, místním prostředí, virtuálním počítači Azure nebo velkých instancích SAP v Azure
  • Webové rozhraní pro správu XSA a také HANA Studio nainstalované na instanci HANA

Poznámka

K testování kroků v tomto kurzu nedoporučujeme SAP HANA produkčního prostředí. Nejprve otestujte integraci ve vývojovém nebo pracovním prostředí aplikace a pak použijte produkční prostředí.

Pokud chcete otestovat kroky v tomto kurzu, postupujte podle těchto doporučení:

  • Předplatné Azure AD. Pokud nemáte prostředí Azure AD, můžete tady získat měsíční zkušební verzi.
  • SAP HANA předplatné s povoleným jednotným přihlašováním

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Azure AD v testovacím prostředí.

  • SAP HANA podporuje jednotné přihlašování iniciované dp.
  • SAP HANA podporuje zřizování uživatelů za běhu.

Poznámka

Identifikátor této aplikace je pevná řetězcová hodnota, takže v jednom tenantovi je možné nakonfigurovat pouze jednu instanci.

Pokud chcete nakonfigurovat integraci SAP HANA do Azure AD, musíte přidat SAP HANA z galerie do seznamu spravovaných aplikací SaaS.

  1. Přihlaste se k Azure Portal pracovním nebo školním účtem nebo osobním účet Microsoft.
  2. V levém navigačním podokně vyberte Azure Active Directory.
  3. Přejděte na Enterprise a pak vyberte Všechny aplikace.
  4. Pokud chcete přidat novou aplikaci, vyberte Nová aplikace.
  5. V části Přidat z galerie zadejte SAP HANA do vyhledávacího pole.
  6. Na SAP HANA výsledků vyberte a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Konfigurace a testování jednotného přihlašování Azure AD pro SAP HANA

Nakonfigurujte a otestujte jednotné přihlašování k Azure AD SAP HANA pomocí testovacího uživatele B.Simona. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Azure AD a souvisejícím uživatelem v SAP HANA.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Azure AD SAP HANA, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Azure AD, aby uživatelé tuto funkci používejte.
    1. Vytvoření testovacího uživatele Azure AD – k otestování jednotného přihlašování Azure AD s využitím Britty Simonové.
    2. Přiřazení testovacího uživatele Azure AD – pokud chcete Brittě Simon povolit použití jednotného přihlašování Azure AD.
  2. Nakonfigurujte SAP HANA jednotné přihlašování – nakonfigurujte nastavení jednotného Sign-On na straně aplikace.
    1. Vytvořte SAP HANA uživatele – pokud chcete mít protějšek Britty Simonové v SAP HANA, která je propojená s reprezentací uživatele v Azure AD.
  3. Testování jednotného přihlašování – k ověření, jestli konfigurace funguje.

Konfigurace jednotného přihlašování v Azure AD

Postupujte podle těchto kroků a povolte jednotné přihlašování Azure AD v Azure Portal.

  1. V Azure Portal na stránce integrace SAP HANA aplikace vyhledejte část Spravovat a vyberte jednotné přihlašování.

  2. Na stránce Vyberte metodu jednotného přihlašování vyberte SAML.

  3. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Úprava základní konfigurace SAML

  4. V části Základní konfigurace SAML zadejte hodnoty pro následující pole:

    Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Poznámka

    Hodnota Adresa URL odpovědi není skutečná. Aktualizujte hodnotu skutečnou adresou URL odpovědi. Pokud SAP HANA získat hodnoty, obraťte se na tým podpory klienta. Můžete si také prostudovat vzory uvedené v části Základní konfigurace SAML v Azure Portal.

  5. SAP HANA aplikace očekává kontrolní výrazy SAML v určitém formátu. Nakonfigurujte pro tuto aplikaci následující deklarace identity. Hodnoty těchto atributů můžete spravovat v části Atributy uživatele na stránce integrace aplikace. Na stránce Set up Single Sign-On with SAML klikněte na tlačítko Edit (Upravit). Otevře se dialogové okno Atributy uživatele.

    Snímek obrazovky znázorňuje část Atributy uživatele s vybranou ikonou Upravit

  6. V části Atributy uživatele v dialogovém & deklarace identity proveďte následující kroky:

    a. Kliknutím na ikonu Upravit otevřete dialogové okno Spravovat deklarace identity uživatelů.

    Snímek obrazovky s dialogem Atributy & deklarací identity s vybranou ikonou Upravit

    image

    b. V seznamu Transformace vyberte ExtractMailPrefix().

    c. V seznamu Parametr 1 vyberte user.mail.

    d. Klikněte na Uložit.

  7. Na stránce Set up Single Sign-On with SAML (Nastavení jednotného přihlašování pomocí SAML) klikněte v části Saml Signing Certificate (Podpisový certifikát SAML) na Download (Stáhnout) a stáhněte si XML federačních metadat z uvedených možností podle svých požadavků a uložte ho do počítače.

    Odkaz na stažení certifikátu

Vytvoření testovacího uživatele Azure AD

V této části vytvoříte testovacího uživatele ve virtuálním Azure Portal B.Simon.

  1. V levém podokně v okně Azure Portal vyberte Azure Active Directory, vyberte Uživatelé a pak vyberte Všichni uživatelé.
  2. V horní části obrazovky vyberte Nový uživatel.
  3. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Název zadejte B.Simon.
    2. Do pole Uživatelské jméno zadejte username@companydomain.extension . Například, B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom si zapište hodnotu, která se zobrazí v poli Heslo.
    4. Klikněte na Vytvořit.

Přiřazení testovacího uživatele Azure AD

V této části povolíte B.Simonu používat jednotné přihlašování Azure tím, že udělíte přístup k SAP HANA.

  1. V Azure Portal vyberte Enterprise Aplikace a pak vyberte Všechny aplikace.
  2. V seznamu aplikací vyberte SAP HANA.
  3. Na stránce s přehledem aplikace vyhledejte část Spravovat a vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
  5. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
  6. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli. Pokud pro tuto aplikaci není nastavená žádná role, zobrazí se vybraná role Výchozí přístup.
  7. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit.

Konfigurace SAP HANA jednotného přihlašování

  1. Pokud chcete nakonfigurovat jednotné přihlašování na SAP HANA, přihlaste se ke své webové konzole HANA XSA tak, že přejděte na příslušný koncový bod HTTPS.

    Poznámka

    Ve výchozí konfiguraci adresa URL přesměruje požadavek na přihlašovací obrazovku, která vyžaduje přihlašovací údaje ověřeného uživatele SAP HANA databázi. Uživatel, který se přihlásí, musí mít oprávnění k provádění úloh správy SAML.

  2. Ve webovém rozhraní XSA přejděte na zprostředkovatele identity SAML. Pak výběrem tlačítka v dolní části obrazovky zobrazte podokno Přidat informace + o zprostředkovateli identity. Pak proveďte následující kroky:

    Přidat zprostředkovatele identity

    a. V podokně Přidat informace o zprostředkovateli identity vložte obsah XML metadat (který jste stáhli z Azure Portal) do pole metadata .

    Snímek obrazovky, který zobrazuje podokno přidat informace o zprostředkovateli identity se zvýrazněnými poli metadata a název

    b. Pokud je obsah dokumentu XML platný, proces analýzy extrahuje informace požadované pro pole předmět, ID entity a vystavitele v oblasti obrazovka Obecné data . Také extrahuje informace, které jsou nezbytné pro pole adresy URL v cílové oblasti obrazovky, například jako základní adresu URL a pole SingleSignon URL (*) .

    Přidat nastavení zprostředkovatele identity

    c. Do pole název v oblasti Obecná data zadejte název nového poskytovatele identity jednotného přihlašování SAML.

    Poznámka

    Název IDP SAML je povinný a musí být jedinečný. Zobrazí se v seznamu dostupných zprostředkovatelů identity SAML, který se zobrazí, když jako metodu ověřování pro SAP HANA aplikace typu XS vyberete SAML. To můžete provést například v oblasti obrazovka ověřování nástroje pro správu artefaktů xs.

  3. Výběrem Uložit uložte podrobnosti zprostředkovatele identity SAML a přidejte nový IDP SAML do seznamu známých zprostředkovatelů identity SAML.

    Tlačítko Uložit

  4. V HANA Studio v části Vlastnosti systému na kartě Konfigurace vyfiltrujte nastavení pomocí SAML. Pak upravte assertion_timeout z 10 sec na 120 s.

    nastavení assertion_timeout

Vytvořit SAP HANA testovacího uživatele

Pokud chcete uživatelům Azure AD povolit, aby se k SAP HANA přihlásili, musíte je zřídit v SAP HANA. SAP HANA podporuje zřizování za běhu, což je ve výchozím nastavení povoleno.

Pokud potřebujete ručně vytvořit uživatele, proveďte následující kroky:

Poznámka

Můžete změnit externí ověřování, které uživatel používá. Můžou se ověřovat pomocí externího systému, jako je třeba Kerberos. Podrobné informace o externích identitách získáte od správce domény.

  1. Otevřete SAP HANA Studio jako správce a pak povolte DB-User SSO pro jednotné přihlašování SAML.

    Vytvořit uživatele

  2. Vyberte neviditelné zaškrtávací políčko nalevo od SAML a pak vyberte odkaz Konfigurovat .

  3. Výběrem Přidat přidejte IDP SAML. Vyberte odpovídající IDP SAML a pak vyberte OK.

  4. Přidejte externí identitu (v tomto případě BrittaSimon). Pak vyberte OK.

    Poznámka

    Musíte vyplnit pole externí identity pro uživatele a musí odpovídat poli NameId v tokenu SAML z Azure AD. Každé zaškrtávací políčko by nemělo být zaškrtnuto, protože tato možnost vyžaduje, aby služba IDP odesílala vlastnost SPProvderID v poli NameId, které není aktuálně podporováno službou Azure AD. Zkuste podrobnější informace najdete v tomto dokumentu.

  5. Pro účely testování přiřaďte uživateli všechny role typu xs .

    Přiřazování rolí

    Tip

    Měli byste udělit oprávnění, která jsou vhodná jenom pro vaše případy použití.

  6. Uložte uživatele.

Test SSO

V této části otestujete konfiguraci jednotného přihlašování Azure AD pomocí následujících možností.

  • Klikněte na testovat tuto aplikaci v Azure Portal a měli byste se automaticky přihlášeni k SAP HANA, pro kterou jste si nastavili jednotné přihlašování.

  • Můžete použít aplikaci Microsoft moje aplikace. Když kliknete na dlaždici SAP HANA v okně moje aplikace, měli byste se automaticky přihlásit k SAP HANA, pro které jste nastavili jednotné přihlašování. Další informace o mých aplikacích najdete v tématu Úvod do mých aplikací.

Další kroky

Po nakonfigurování SAP HANA můžete vynutili řízení relace, které chrání exfiltrace a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relace se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutili řízení relace pomocí programu Microsoft Defender pro cloudové aplikace.