Esercitazione: Integrazione di Azure Active Directory con SAP HANATutorial: Azure Active Directory integration with SAP HANA

Questa esercitazione descrive come integrare SAP HANA con Azure Active Directory (Azure AD).In this tutorial, you learn how to integrate SAP HANA with Azure Active Directory (Azure AD).

L'integrazione di SAP HANA con Azure AD offre i vantaggi seguenti:When you integrate SAP HANA with Azure AD, you get the following benefits:

  • In Azure AD è possibile controllare chi può accedere a SAP HANA.You can control in Azure AD who has access to SAP HANA.
  • È possibile abilitare gli utenti per l'accesso automatico a SAP HANA con gli account Azure AD personali.You can enable your users to automatically get signed into SAP HANA with their Azure AD accounts.
  • Gli account possono essere gestiti da una posizione centrale: il portale di Azure.You can manage your accounts in one central location--the Azure portal.

Per altre informazioni sull'integrazione di app SaaS con Azure AD, vedere Informazioni sull'accesso alle applicazioni e Single Sign-On con Azure Active Directory.For more information about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory?.

PrerequisitiPrerequisites

Per configurare l'integrazione di Azure AD con SAP HANA, sono necessari gli elementi seguenti:To configure Azure AD integration with SAP HANA, you need the following items:

  • Sottoscrizione di Azure AD.An Azure AD subscription
  • Sottoscrizione di SAP HANA abilitata per l'accesso Single Sign-On (SSO)A SAP HANA subscription that's single sign-on (SSO) enabled
  • Istanza di HANA in esecuzione in qualsiasi VM IaaS pubblica, locale o di Azure oppure in istanze di grandi dimensioni di SAP in AzureA HANA instance that's running on any public IaaS, on-premises, Azure VM, or SAP large instances in Azure
  • Interfaccia Web di amministrazione di XSA e HANA Studio installati nell'istanza di HANAThe XSA Administration web interface, as well as HANA Studio installed on the HANA instance

Nota

Non è consigliabile usare un ambiente di produzione SAP HANA per testare i passaggi di questa esercitazione.We do not recommend using a production environment of SAP HANA to test the steps in this tutorial. Testare prima l'integrazione nell'ambiente di sviluppo o di gestione temporanea dell'applicazione e successivamente usare l'ambiente di produzione.Test the integration first in the development or staging environment of the application, and then use the production environment.

A questo scopo, seguire queste indicazioni:To test the steps in this tutorial, follow these recommendations:

Descrizione dello scenarioScenario description

In questa esercitazione viene eseguito il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.In this tutorial, you test Azure AD single sign-on in a test environment. Lo scenario descritto in questa esercitazione prevede i due blocchi predefiniti seguenti:The scenario that's outlined in this tutorial consists of two main building blocks:

  1. Aggiunta di SAP HANA dalla raccoltaAdding SAP HANA from the gallery
  2. Configurazione e test dell'accesso Single Sign-On di Azure ADConfiguring and testing Azure AD single sign-on

Per configurare l'integrazione di SAP HANA in Azure AD, aggiungere SAP HANA dalla raccolta all'elenco di app SaaS gestite.To configure the integration of SAP HANA into Azure AD, add SAP HANA from the gallery to your list of managed SaaS apps.

Per aggiungere SAP HANA dalla raccolta, seguire questa procedura:To add SAP HANA from the gallery, take the following steps:

  1. Nel portale di Azure fare clic sull'icona Azure Active Directory nel riquadro sinistro.In the Azure portal, in the left pane, select the Azure Active Directory icon.

    Pulsante Azure Active Directory

  2. Passare ad Applicazioni aziendali.Go to Enterprise applications. Andare quindi a Tutte le applicazioni.Then go to All applications.

    Pannello Applicazioni aziendali

  3. Per aggiungere la nuova applicazione, selezionare il pulsante Nuova applicazione nella parte superiore della finestra di dialogo.To add the new application, select the New application button on the top of dialog box.

    Pulsante Nuova applicazione

  4. Nella casella di ricerca digitare SAP HANA.In the search box, type SAP HANA. Selezionare quindi SAP HANA dal pannello Risultati.Then select SAP HANA from the results panel. Fare clic sul pulsante Aggiungi per aggiungere l'applicazione.Finally, select the Add button to add the application.

    Nuova applicazione

Configurare e testare l'accesso Single Sign-On di Azure ADConfigure and test Azure AD single sign-on

In questa sezione viene configurato e testato l'accesso Single Sign-On di Azure AD con SAP HANA usando un utente di test di nome "Britta Simon".In this section, you configure and test Azure AD single sign-on with SAP HANA based on a test user called "Britta Simon."

Per il corretto funzionamento dell'accesso Single Sign-On, Azure AD deve conoscere l'utente controparte di SAP HANA corrispondente a un utente di Azure AD.For single sign-on to work, Azure AD needs to know who the counterpart user in SAP HANA is to a user in Azure AD. In altre parole, deve essere stabilito un collegamento tra un utente di Azure AD e l'utente correlato in SAP HANA.In other words, you need to establish a link between an Azure AD user and the related user in SAP HANA.

In SAP HANA assegnare a Username (Nome utente) lo stesso nome utente di Azure AD.In SAP HANA, give the Username value the same value of the user name in Azure AD. Questo passaggio stabilisce il collegamento tra i due utenti.This step establishes the link between the two users.

Per configurare e testare l'accesso Single Sign-On di Azure AD con SAP HANA, completare i blocchi predefiniti seguenti:To configure and test Azure AD single sign-on with SAP HANA, complete the following building blocks:

  1. Configurare l'accesso Single Sign-On di Azure AD per consentire agli utenti di usare questa funzionalità.Configure Azure AD single sign-on to enable your users to use this feature.
  2. Creare un utente di test di Azure AD per testare l'accesso Single Sign-On di Azure AD con l'utente Britta Simon.Create an Azure AD test user to test Azure AD single sign-on with Britta Simon.
  3. Creare un utente di test di SAP HANA per avere una controparte di Britta Simon in SAP HANA collegata alla rappresentazione dell'utente in Azure AD.Create a SAP HANA test user to have a counterpart of Britta Simon in SAP HANA that is linked to the Azure AD representation of the user.
  4. Assegnare l'utente di test di Azure AD per abilitare Britta Simon all'uso dell'accesso Single Sign-On di Azure AD.Assign the Azure AD test user to enable Britta Simon to use Azure AD single sign-on.
  5. Testare l'accesso Single Sign-On per verificare se la configurazione funziona.Test single sign-on to verify whether the configuration works.

Configurare l'accesso Single Sign-On di Azure ADConfigure Azure AD single sign-on

In questa sezione viene abilitato l'accesso Single Sign-On di Azure AD nel portale di Azure e viene configurato l'accesso Single Sign-On nell'applicazione SAP HANA.In this section, you enable Azure AD single sign-on in the Azure portal and configure single sign-on in your SAP HANA application.

Per configurare l'accesso Single Sign-On di Azure AD con SAP HANA, seguire questa procedura:To configure Azure AD single sign-on with SAP HANA, take the following steps:

  1. Nella pagina di integrazione dell'applicazione SAP HANA del portale di Azure selezionare Single Sign-On.In the Azure portal, on the SAP HANA application integration page, select Single sign-on.

    Configura accesso Single Sign-On

  2. Nella finestra di dialogo Single Sign-On selezionare Modalità in Accesso basato su SAML.In the Single sign-on dialog box, under SAML-based Sign-on, select Mode.

    Finestra di dialogo Single Sign-On

  3. Nella sezione URL e dominio SAP HANA seguire questa procedura:In the SAP HANA Domain and URLs section, take the following steps:

    Informazioni su URL e dominio per l'accesso Single Sign-On

    a.a. Nella casella Identificatore digitare il valore seguente: HA100In the Identifier box, type the following: HA100

    b.b. Nella casella URL di risposta digitare un URL nel formato seguente: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfuncIn the Reply URL box, type a URL with the following pattern: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Nota

    Poiché questi non sono i valori reali,These values aren't real. è necessario aggiornarli con l'identificatore e l'URL di risposta effettivi.Update these values with the actual Identifier and reply URL. Per ottenere questi valori, contattare il team di supporto clienti di SAP HANA.Contact the SAP HANA client support team to get these values.

  4. Nella sezione Certificato di firma SAML selezionare XML metadati eIn the SAML Signing Certificate section, select Metadata XML. quindi salvare il file di metadati sul computer.Then save the metadata file on your computer.

    Collegamento di download del certificato

    Nota

    Se il certificato non è attivo, attivarlo selezionando la casella di controllo Make new certificate active (Rendi attivo nuovo certificato) in Azure AD.If the certificate isn't active, then make it active by selecting the Make new certificate active check box in Azure AD.

  5. L'applicazione SAP HANA prevede un formato specifico per le asserzioni SAML.The SAP HANA application expects the SAML assertions in a specific format. Lo screenshot seguente ne illustra un esempio.The following screenshot shows an example of this format.

    In questo caso è stato eseguito il mapping di Identificatore utente con la funzione ExtractMailPrefix() di user.mail.Here we've mapped the User Identifier with the ExtractMailPrefix() function of user.mail. In questo modo si ottiene il valore di prefisso della posta elettronica dell'utente che rappresenta l'ID univoco dell'utente.This gives the prefix value of the user's email, which is the unique user ID. L'ID utente viene inviato all'applicazione SAP HANA in ogni risposta con esito positivo.This user ID is sent to the SAP HANA application in every successful response.

    Configura accesso Single Sign-On

  6. Nella sezione Attributi utente della finestra di dialogo Single Sign-On eseguire questa procedura:In the User Attributes section of the Single sign-on dialog box, take the following steps:

    a.a. Nell'elenco a discesa Identificatore utente selezionare ExtractMailPrefix.In the User Identifier drop-down list, select ExtractMailPrefix.

    b.b. Nell'elenco a discesa Posta selezionare user.mail.In the Mail drop-down list, select user.mail.

  7. Fare clic sul pulsante Salva.Select the Save button.

    Pulsante Salva per la configurazione dell'accesso Single Sign-On

  8. Per configurare l'accesso Single Sign-On sul lato SAP HANA, accedere alla console Web HANA XSA passando al relativo endpoint HTTPS.To configure single sign-on on the SAP HANA side, sign in to your HANA XSA Web Console by going to the respective HTTPS endpoint.

    Nota

    Nella configurazione predefinita l'URL reindirizza la richiesta a una schermata di accesso, che richiede le credenziali di un utente del database SAP HANA autenticato.In the default configuration, the URL redirects the request to a sign-in screen, which requires the credentials of an authenticated SAP HANA database user. L'utente che effettua l'accesso deve disporre delle autorizzazioni per eseguire attività di amministrazione di SAML.The user who signs in must have permissions to perform SAML administration tasks.

  9. Nell'interfaccia Web XSA passare a SAML Identity Provider (Provider di identità SAML).In the XSA Web Interface, go to SAML Identity Provider. A questo punto selezionare il pulsante + nella parte inferiore della schermata per visualizzare il riquadro Add Identity Provider Info (Aggiungi informazioni provider di identità).From there, select the + button on the bottom of the screen to display the Add Identity Provider Info pane. Seguire quindi questa procedura:Then take the following steps:

    Aggiungi provider di identità

    a.a. Nel riquadro Add Identity Provider Info (Aggiungi informazioni provider di identità) incollare i contenuti del file XML metadati scaricato dal portale di Azure nella casella Metadata (Metadati).In the Add Identity Provider Info pane, paste the contents of the Metadata XML (which you downloaded from the Azure portal) into the Metadata box.

    Impostazioni di aggiunta del provider di identità

    b.b. Se il contenuto del documento XML è valido, il processo di analisi estrae le informazioni necessarie per i campi Subject, Entity ID, and Issuer (Oggetto, ID entità e Autorità di certificazione) nell'area dello schermo General data (Dati generali).If the contents of the XML document are valid, the parsing process extracts the information that's required for the Subject, Entity ID, and Issuer fields in the General data screen area. Vengono estratte anche le informazioni necessarie per i campi relativi agli URL nell'area dello schermo Destination (Destinazione), ad esempio i campi Base URL e SingleSignOn URL (*) (URL di base e URL Single Sign-On).It also extracts the information that's necessary for the URL fields in the Destination screen area, for example, the Base URL and SingleSignOn URL (*) fields.

    Impostazioni di aggiunta del provider di identità

    c.c. Nella casella Name (Nome) dell'area dello schermo General Data (Dati generali) immettere un nome per il nuovo provider di identità SSO SAML.In the Name box of the General Data screen area, enter a name for the new SAML SSO identity provider.

    Nota

    Il nome del provider di identità SAML è obbligatorio e deve essere univoco.The name of the SAML IDP is mandatory and must be unique. Viene visualizzato nell'elenco di provider di identità SAML disponibili che viene visualizzato quando si seleziona SAML come metodo di autenticazione per le applicazioni SAP HANA XS da usare.It appears in the list of available SAML IDPs that is displayed when you select SAML as the authentication method for SAP HANA XS applications to use. Ad esempio, è possibile eseguire questa procedura nell'area dello schermo Authentication (Autenticazione) dello strumento di amministrazione di elementi XS.For example, you can do this in the Authentication screen area of the XS Artifact Administration tool.

  10. Selezionare Save (Salva) per salvare i dettagli del provider di identità SAML e aggiungere il nuovo provider di identità SAML all'elenco di provider noti.Select Save to save the details of the SAML identity provider and to add the new SAML IDP to the list of known SAML IDPs.

    Pulsante per il salvataggio

  11. In Studio HANA, nella scheda Configuration (Configurazione) filtrare le impostazioni all'interno delle proprietà del sistema in base a saml.In HANA Studio, within the system properties of the Configuration tab, filter the settings by saml. Modificare quindi il valore del parametro assertion_timeout da 10 sec a 120 sec.Then adjust the assertion_timeout from 10 sec to 120 sec.

    Impostazione assertion_timeout

Suggerimento

Un riepilogo delle istruzioni è disponibile all'interno del portale di Azure durante la configurazione dell'app.You can now read a concise version of these instructions inside the Azure portal while you are setting up the app! Dopo aver aggiunto l'app dalla sezione Active Directory > Applicazioni aziendali è sufficiente selezionare la scheda Single Sign-On e accedere alla documentazione incorporata tramite la sezione Configurazione nella parte inferiore.After you add this app from the Active Directory > Enterprise Applications section, select the Single Sign-On tab and access the embedded documentation through the Configuration section at the bottom. Altre informazioni sulla funzione di documentazione incorporata sono disponibili in Azure AD embedded documentation (Documentazione incorporata di Azure AD).You can read more about the embedded documentation feature in the Azure AD embedded documentation.

Creare un utente test di Azure ADCreate an Azure AD test user

Questa sezione descrive come creare un utente test denominato Britta Simon nel portale di Azure.The objective of this section is to create a test user in the Azure portal called Britta Simon.

Creare un utente di Azure AD

Per creare un utente di test in Azure AD, seguire questa procedura:To create a test user in Azure AD, take the following steps:

  1. Nel portale di Azure fare clic sull'icona Azure Active Directory nel riquadro sinistro.In the Azure portal, in the left pane, select the Azure Active Directory icon.

    Pulsante Azure Active Directory

  2. Per visualizzare un elenco di utenti, passare a Utenti e gruppi.To display the list of users, go to Users and groups. Selezionare quindi Tutti gli utenti.Then select All users.

    Collegamenti "Utenti e gruppi" e "Tutti gli utenti"

  3. Per aprire la finestra di dialogo Utente, selezionare Aggiungi nella parte superiore della finestra di dialogo.To open the User dialog box, select Add at the top of the dialog box.

    Pulsante Aggiungi

  4. Nella finestra di dialogo Utente seguire questa procedura:On the User dialog box, take the following steps:

    Finestra di dialogo Utente

    a.a. Nella casella Nome digitare BrittaSimon.In the Name box, type BrittaSimon.

    b.b. Nella casella Nome utente digitare l'indirizzo e-mail di BrittaSimon.In the User name box, type the email address of BrittaSimon.

    c.c. Selezionare Mostra password e prendere nota della password.Select Show Password, and then write down the password.

    d.d. Selezionare Crea.Select Create.

Creare un utente di test di SAP HANACreate a SAP HANA test user

Per consentire agli utenti di Azure AD di accedere a SAP HANA, è necessario effettuare il provisioning di tali utenti in SAP HANA.To enable Azure AD users to sign in to SAP HANA, you must provision them in SAP HANA. SAP HANA supporta il provisioning JIT, abilitato per impostazione predefinita.SAP HANA supports just-in-time provisioning, which is by enabled by default.

Per creare un utente manualmente, seguire questa procedura:If you need to create a user manually, take the following steps:

Nota

È possibile modificare l'autenticazione esterna usata dagli utenti.You can change the external authentication that the user uses. Questi possono autenticarsi con un sistema esterno, ad esempio Kerberos.They can authenticate with an external system such as Kerberos. Per informazioni dettagliate sulle identità esterne, contattare l'amministratore di dominio.For detailed information about external identities, contact your domain administrator.

  1. Aprire SAP HANA Studio come amministratore e quindi abilitare DB-User per l'accesso SSO SAML.Open the SAP HANA Studio as an administrator, and then enable the DB-User for SAML SSO.

    Create user

  2. Selezionare la casella di controllo invisibile a sinistra di SAML e quindi selezionare il collegamento Configura.Select the invisible check box to the left of SAML, and then select the Configure link.

  3. Selezionare Aggiungi per aggiungere il provider di identità SAML.Select Add to add the SAML IDP. Selezionare il provider di identità SAML appropriato e quindi OK.Select the appropriate SAML IDP, and then select OK.

  4. Aggiungere un valore nel campo External Identity (Identità esterna), in questo caso BrittaSimon, oppure scegliere Any (Qualsiasi).Add the External Identity (in this case, BrittaSimon) or choose Any. Selezionare OK.Then select OK.

    Nota

    Se la casella di controllo Any (Qualsiasi) non è selezionata, il nome utente in HANA deve corrispondere esattamente al nome dell'utente nell'UPN prima del suffisso di dominioIf the Any check box is not selected, then the user name in HANA needs to exactly match the name of the user in the UPN before the domain suffix. (ad esempio BrittaSimon@contoso.com diventerebbe BrittaSimon in HANA).(For example, BrittaSimon@contoso.com becomes BrittaSimon in HANA.)

  5. A scopo di test, assegnare tutti i ruoli XS all'utente.For testing purposes, assign all XS roles to the user.

    Assegnazione di ruoli

    Suggerimento

    È consigliabile assegnare solo le autorizzazioni appropriate per i casi d'uso.You should give permissions that are appropriate for your use cases only.

  6. Salvare l'utente.Save the user.

Assegnare l'utente test di Azure ADAssign the Azure AD test user

In questa sezione Britta Simon viene abilitata per l'uso dell'accesso Single Sign-On di Azure concedendole l'accesso a SAP HANA.In this section, you enable Britta Simon to use Azure single sign-on by granting access to SAP HANA.

Assegnare il ruolo utente

Per assegnare Britta Simon a SAP HANA, seguire questa procedura:To assign Britta Simon to SAP HANA, perform the following steps:

  1. Nel portale di Azure aprire la visualizzazione applicazioni.In the Azure portal, open the applications view. Passare alla visualizzazione directory e quindi ad Applicazioni aziendali.Go to the directory view, and go to Enterprise applications. Selezionare Tutte le applicazioni.Select All applications.

    Assegnare utenti

  2. Nell'elenco delle applicazioni selezionare SAP HANA.In the applications list, select SAP HANA.

    Assegnare utenti

  3. Scegliere Utenti e gruppi dal menu a sinistra.In the menu on the left, select Users and groups.

    Collegamento "Utenti e gruppi"

  4. Fare clic sul pulsante Aggiungi.Select the Add button. Nella finestra di dialogo Aggiungi assegnazione selezionare Utenti e gruppi.In the Add Assignment dialog box, select Users and groups.

    Riquadro Aggiungi assegnazione

  5. Nella finestra di dialogo Utenti e gruppi selezionare Britta Simon nell'elenco Utenti.In the Users and groups dialog box, select Britta Simon in the Users list.

  6. Fare clic sul pulsante Seleziona nella finestra di dialogo Utenti e gruppi.Click the Select button in the Users and groups dialog box.

  7. Selezionare il pulsante Assegna nella finestra di dialogo Aggiungi assegnazione.Select the Assign button in the Add Assignment dialog box.

Testare l'accesso Single Sign-OnTest single sign-on

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Azure AD usando il pannello di accesso.In this section, you test your Azure AD single sign-on configuration by using the access panel.

Quando si seleziona il riquadro SAP HANA nel pannello di accesso, si dovrebbe accedere automaticamente all'applicazione SAP HANA.When you select the SAP HANA tile in the access panel, you should get automatically signed into your SAP HANA application. Per altre informazioni sul pannello di accesso, vedere Introduzione al pannello di accesso.For more information about the access panel, see Introduction to the access panel.

Risorse aggiuntiveAdditional resources