Esercitazione: Integrazione di Azure Active Directory con SAP HANA Cloud Platform Identity Authentication

Questa esercitazione descrive la modalità di integrazione di SAP HANA Cloud Platform Identity Authentication con Azure Active Directory (Azure AD). SAP HANA Cloud Platform Identity Authentication è usato come IdP proxy per l'accesso ad applicazioni SAP usando Azure AD come IdP principale.

L'integrazione di SAP HANA Cloud Platform Identity Authentication con Azure AD offre i vantaggi seguenti:

  • È possibile controllare in Azure AD chi può accedere all'applicazione SAP
  • È possibile abilitare gli utenti per l'accesso automatico alle applicazioni SAP (SSO) con i propri account Azure AD
  • È possibile gestire gli account da una posizione centrale: il portale di Azure classico

Per altre informazioni sull'integrazione di app SaaS con Azure AD, vedere Informazioni sull'accesso alle applicazioni e Single Sign-On con Azure Active Directory.

Prerequisiti

Per configurare l'integrazione di Azure AD con SAP HANA Cloud Platform Identity Authentication, è necessario quanto segue:

  • Sottoscrizione di Azure AD.
  • Sottoscrizione di SAP HANA Cloud Platform Identity Authentication abilitata per l'accesso SSO
Nota

Non è consigliabile usare un ambiente di produzione per testare i passaggi di questa esercitazione.

A questo scopo, è consigliabile seguire le indicazioni seguenti:

Descrizione dello scenario

In questa esercitazione viene eseguito il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.

Lo scenario descritto in questa esercitazione prevede i due blocchi predefiniti seguenti:

  1. Aggiunta di SAP HANA Cloud Platform Identity Authentication dalla raccolta
  2. Configurazione e test dell'accesso Single Sign-On (SSO) di Microsoft Azure AD

Prima di approfondire i dettagli tecnici, è fondamentale comprendere i concetti che si desidera esaminare. La federazione di SAP HANA Cloud Platform Identity Authentication e Azure Active Directory consente di implementare l'accesso SSO per applicazioni o servizi protetti da AAD (come IdP) con applicazioni e servizi SAP protetti da SAP HANA Cloud Platform Identity Authentication.

Attualmente SAP HANA Cloud Platform Identity Authentication funge da provider di identità proxy per applicazioni SAP. Azure Active Directory a sua volta agisce come provider di identità iniziale in questa configurazione.

Il diagramma seguente illustra questo processo:

Creazione di un utente test di Azure AD

Con questa configurazione, il tenant di SAP HANA Cloud Platform Identity Authentication viene configurato come applicazione attendibile in Azure Active Directory.

Tutte le applicazioni e i servizi SAP che si desidera proteggere in questo modo vengono configurati successivamente nella console di gestione di SAP HANA Cloud Platform Identity Authentication.

L'autorizzazione per la concessione dell'accesso a servizi e applicazioni SAP deve pertanto avvenire in SAP HANA Cloud Platform Identity Authentication per una configurazione di questo tipo (diversamente dalla configurazione dell'autorizzazione in Azure Active Directory).

Configurando SAP HANA Cloud Platform Identity Authentication come applicazione tramite il Marketplace di Azure Active Directory, non è necessario occuparsi di configurare le necessarie attestazioni singole / asserzioni SAML e le trasformazioni necessarie per produrre un token di autenticazione valido per le applicazioni SAP.

Nota

Attualmente solo Web SSO è stato testato da entrambe le parti. I flussi necessari per la comunicazione da App a API o da API a API dovrebbero funzionare ma non sono ancora stati testati. I test verranno eseguiti come parte delle attività successive.

Per configurare l'integrazione di SAP HANA Cloud Platform Identity Authentication in Azure AD, è necessario aggiungere SAP HANA Cloud Platform Identity Authentication dalla raccolta all'elenco di app SaaS gestite.

Per aggiungere SAP HANA Cloud Platform Identity Authentication dalla raccolta, eseguire i passaggi seguenti:

  1. Nel portale di gestione di Azure fare clic sull'icona di Azure Active Directory nel pannello di navigazione sinistro.

    Active Directory

  2. Passare ad Applicazioni aziendali. Andare quindi a Tutte le applicazioni.

    Applicazioni

  3. Fare clic sul pulsante Aggiungi nella parte superiore della finestra di dialogo.

    Applicazioni

  4. Nella casella di ricerca digitare SAP HANA Cloud Platform Identity Authentication.

    Creazione di un utente test di Azure AD

  5. Nel pannello risultati selezionare SAP HANA Cloud Platform Identity Authentication, quindi fare clic sul pulsante Aggiungi per aggiungere l'applicazione.

    Creazione di un utente test di Azure AD

Configurare e testare l'accesso Single Sign-On di Azure AD

In questa sezione viene configurato e testato l'accesso SSO di Azure AD con SAP HANA Cloud Platform Identity Authentication con un utente test di nome "Britta Simon".

Per il funzionamento dell'accesso SSO, Azure AD deve conoscere qual è l'utente di SAP HANA Cloud Platform Identity Authentication che corrisponde a un utente di Azure AD. In altre parole, deve essere stabilita una relazione di collegamento tra un utente di Azure AD e l'utente correlato in SAP HANA Cloud Platform Identity Authentication.

La relazione di collegamento viene stabilita assegnando al valore di Nome utente in Azure AD lo stesso valore di Username (Nome utente) in SAP HANA Cloud Platform Identity Authentication.

Per configurare e testare l'accesso SSO di Azure AD con SAP HANA Cloud Platform Identity Authentication, è necessario completare i blocchi predefiniti seguenti:

  1. Configurazione dell'accesso Single Sign-On di Azure AD: per abilitare gli utenti all'uso di questa funzionalità.
  2. Creazione di un utente test di Azure AD : per testare l'accesso Single Sign-On di Azure AD con l'utente Britta Simon.
  3. Creazione di un utente test di SAP HANA Cloud Platform Identity Authentication: per avere in SAP HANA Cloud Platform Identity Authentication un utente corrispondente a Britta Simon collegato alla sua rappresentazione in Azure AD.
  4. Assegnazione dell'utente test di Azure AD : per abilitare Britta Simon all'uso dell'accesso Single Sign-On di Azure AD.
  5. Test dell'accesso Single Sign-On: per verificare se la configurazione funziona.

Configurazione dell'accesso Single Sign-On (SSO) di Microsoft Azure AD

In questa sezione viene abilitato l'accesso SSO di Azure AD nel portale di gestione di Azure e viene configurato l'accesso Single Sign-On nell'applicazione SAP HANA Cloud Platform Identity Authentication.

L'applicazione SAP HANA Cloud Platform Identity Authentication prevede le asserzioni SAML in un formato specifico. È possibile gestire i valori di questi attributi dalla sezione "Attributi utente" nella pagina di integrazione dell'applicazione. La schermata seguente illustra un esempio relativo a questa operazione.

Configura accesso Single Sign-On

Per configurare l'accesso SSO di Azure AD con SAP HANA Cloud Platform Identity Authentication, seguire questa procedura:

  1. Nel portale di gestione di Azure, nella pagina di integrazione dell'applicazione SAP HANA Cloud Platform Identity Authentication, fare clic su Single Sign-On.

    Configura accesso Single Sign-On

  2. Nella finestra di dialogo Single Sign-On in Modalità selezionare Accesso basato su SAML per abilitare l'accesso Single Sign-On.

    Configura accesso Single Sign-On

  3. Nella sezione Attributi utente nella finestra di dialogo Single Sign-On, se l'applicazione SAP prevede un attributo, ad esempio "firstName". Nella finestra di dialogo relativa agli attributi del token SAML aggiungere l'attributo "firstName".

    1. Fare clic su Aggiungi attributo per aprire la finestra di dialogo Aggiungi attributo.

      Configura accesso Single Sign-On

      Configura accesso Single Sign-On

    2. Nella casella di testo Nome attributo digitare il nome dell'attributo "firstName".
    3. Nell'elenco Valore attributo selezionare il valore dell'attributo "user.givenname".
    4. Fare clic su OK.
  4. Nella sezione URL e dominio di SAP HANA Cloud Platform Identity Authentication eseguire la procedura seguente:

    Configura accesso Single Sign-On

    1. Nella casella di testo URL di accesso digitare l'URL di accesso per l'applicazione SAP.
    2. Nella casella di testo Identificatore digitare il valore nel formato seguente: <entity-id>.accounts.ondemand.com
      • Se non si conosce questo valore, seguire la documentazione di SAP HANA Cloud Platform Identity Authentication in Tenant SAML 2.0 Configuration (Configurazione del tenant SAML 2.0).
  5. Nella sezione SAP HANA Cloud Platform Identity Authentication Configuration (Configurazione di SAP HANA Cloud Platform Identity Authentication) fare clic su Configure SAP HANA Cloud Platform Identity Authentication (Configura SAP HANA Cloud Platform Identity Authentication) per aprire la finestra di dialogo Configura accesso. Fare quindi clic su Metadati SAML XML e salvare il file nel computer.

    Configura accesso Single Sign-On

    Configura accesso Single Sign-On

  6. Per configurare SSO per l'applicazione, passare alla console di amministrazione di SAP HANA Cloud Platform Identity Authentication. L'URL ha il formato seguente: https://<tenant-id>.accounts.ondemand.com/admin

  7. Nel portale di gestione di Azure fare clic sul pulsante Salva.

  8. Continuare la procedura seguente solo se si vuole aggiungere e abilitare l'accesso SSO per un'altra applicazione SAP. Ripetere i passaggi nella sezione "Aggiunta di SAP HANA Cloud Platform Identity Authentication dalla raccolta" per aggiungere un'altra istanza di SAP HANA Cloud Platform Identity Authentication.
  9. Nel portale di gestione di Azure, nella pagina di integrazione di SAP HANA Cloud Platform Identity Authentication fare clic su Accesso collegato.

    Configurare l'accesso collegato

  10. Salvare quindi la configurazione.
Nota

La nuova applicazione sfrutterà la configurazione del processo SSO per l'applicazione SAP precedente. Assicurarsi di usare gli stessi provider di identità aziendale nella console di amministrazione di SAP HANA Cloud Platform Identity Authentication.

Creare un utente test di Azure AD

Questa sezione descrive come creare un utente test denominato Britta Simon nel nuovo portale di Azure.

Creare un utente di Azure AD

Per creare un utente test in Azure AD, eseguire la procedura seguente:

  1. Nel portale di gestione di Azure fare clic sull'icona di Azure Active Directory nel riquadro di spostamento sinistro.

    Creazione di un utente test di Azure AD

  2. Andare a Utenti e gruppi e fare clic su Tutti gli utenti per visualizzare l'elenco di utenti.

    Creazione di un utente test di Azure AD

  3. Nella parte superiore della finestra di dialogo fare clic su Aggiungi per aprire la finestra di dialogo Utente.

    Creazione di un utente test di Azure AD

  4. Nella pagina della finestra di dialogo Utente seguire questa procedura:

    Creazione di un utente test di Azure AD

    1. Nella casella di testo Nome digitare BrittaSimon.
    2. Nella casella di testo Nome utente digitare l'indirizzo di posta elettronica di BrittaSimon.
    3. Selezionare Mostra password e prendere nota del valore della Password.
    4. Fare clic su Crea.

Creare un utente test di SAP HANA Cloud Platform Identity Authentication

Non è necessario creare un utente in SAP HANA Cloud Platform Identity Authentication. Gli utenti presenti nell'archivio utenti di Azure AD possono usare la funzionalità di accesso SSO.

SAP HANA Cloud Platform Identity Authentication supporta l'opzione di federazione delle identità. Questa opzione consente all'applicazione di controllare se gli utenti autenticati dal provider di identità aziendale sono presenti nell'archivio utenti di SAP HANA Cloud Platform Identity Authentication.

Nella configurazione predefinita l'opzione di federazione delle identità è disabilitata. Se la federazione delle identità è abilitata, solo gli utenti che vengono importati in SAP HANA Cloud Platform Identity Authentication sono in grado di accedere all'applicazione.

Per altre informazioni su come abilitare o disabilitare la federazione delle identità con SAP HANA Cloud Platform Identity Authentication, vedere Enable Identity Federation with SAP HANA Cloud Platform Identity Authentication (Abilita federazione delle identità con SAP HANA Cloud Platform Identity Authentication) in Configure Identity Federation with the User Store of SAP HANA Cloud Platform Identity Authentication (Configura federazione delle identità con l'archivio utenti di SAP HANA Cloud Platform Identity Authentication).

Assegnare l'utente test di Azure AD

In questa sezione Britta Simon viene abilitata per l'uso dell'accesso Single Sign-On di Azure concedendole l'accesso a SAPHANA Cloud Platform Identity Authentication.

Assegna utente

Per assegnare Britta Simon a SAP HANA Cloud Platform Identity Authentication, eseguire la procedura seguente:

  1. Nel portale di gestione di Azure aprire la visualizzazione applicazioni, passare alla visualizzazione directory e andare ad Applicazioni aziendali, quindi fare clic su Tutte le applicazioni.

    Assegna utente

  2. Nell'elenco delle applicazioni, selezionare SAP HANA Cloud Platform Identity Authentication.

    Configura accesso Single Sign-On

  3. Scegliere Utenti e gruppi dal menu a sinistra.

    Assegna utente

  4. Fare clic sul pulsante Aggiungi. Selezionare quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.

    Assegna utente

  5. Nella finestra di dialogo Utenti e gruppi selezionare Britta Simon nell'elenco Utenti.

  6. Fare clic sul pulsante Seleziona nella finestra di dialogo Utenti e gruppi.

  7. Fare clic sul pulsante Assegna nella finestra di dialogo Aggiungi assegnazione.

Testare l'accesso Single Sign-On

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Azure AD usando il pannello di accesso.

Quando si fa clic sul riquadro di SAP HANA Cloud Platform Identity Authentication nel pannello di accesso, si dovrebbe ottenere automaticamente l'accesso all'applicazione SAP HANA Cloud Platform Identity Authentication.

Risorse aggiuntive