Esercitazione: Integrazione di Azure Active Directory con SAP HANATutorial: Azure Active Directory integration with SAP HANA

Questa esercitazione descrive come integrare SAP HANA con Azure Active Directory (Azure AD).In this tutorial, you learn how to integrate SAP HANA with Azure Active Directory (Azure AD). L'integrazione di SAP HANA con Azure AD offre i vantaggi seguenti:Integrating SAP HANA with Azure AD provides you with the following benefits:

  • In Azure AD è possibile controllare chi può accedere a SAP HANA.You can control in Azure AD who has access to SAP HANA.
  • È possibile abilitare gli utenti per l'accesso automatico (Single Sign-On) a SAP HANA con gli account Azure AD personali.You can enable your users to be automatically signed-in to SAP HANA (Single Sign-On) with their Azure AD accounts.
  • È possibile gestire gli account in un'unica posizione centrale: il portale di Azure.You can manage your accounts in one central location - the Azure portal.

Per altre informazioni sull'integrazione di app SaaS con Azure AD, vedere Informazioni sull'accesso alle applicazioni e Single Sign-On con Azure Active Directory.If you want to know more details about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.If you don't have an Azure subscription, create a free account before you begin.

PrerequisitiPrerequisites

Per configurare l'integrazione di Azure AD con SAP HANA, sono necessari gli elementi seguenti:To configure Azure AD integration with SAP HANA, you need the following items:

  • Sottoscrizione di Azure ADAn Azure AD subscription
  • Sottoscrizione di SAP HANA abilitata per l'accesso Single Sign-On (SSO)A SAP HANA subscription that's single sign-on (SSO) enabled
  • Istanza di HANA in esecuzione in qualsiasi VM IaaS pubblica, locale o di Azure oppure in istanze di grandi dimensioni di SAP in AzureA HANA instance that's running on any public IaaS, on-premises, Azure VM, or SAP large instances in Azure
  • Interfaccia Web di amministrazione di XSA e HANA Studio installati nell'istanza di HANAThe XSA Administration web interface, as well as HANA Studio installed on the HANA instance

Nota

Non è consigliabile usare un ambiente di produzione SAP HANA per testare i passaggi di questa esercitazione.We do not recommend using a production environment of SAP HANA to test the steps in this tutorial. Testare prima l'integrazione nell'ambiente di sviluppo o di gestione temporanea dell'applicazione e successivamente usare l'ambiente di produzione.Test the integration first in the development or staging environment of the application, and then use the production environment.

A questo scopo, seguire queste indicazioni:To test the steps in this tutorial, follow these recommendations:

  • Una sottoscrizione di Azure AD.An Azure AD subscription. Se non si dispone di un ambiente Azure AD, è possibile ottenere una versione di valutazione di un mese quiIf you don't have an Azure AD environment, you can get one-month trial here
  • Sottoscrizione di SAP HANA abilitata per l'accesso Single Sign-OnSAP HANA single sign-on enabled subscription

Descrizione dello scenarioScenario description

In questa esercitazione vengono eseguiti la configurazione e il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.In this tutorial, you configure and test Azure AD single sign-on in a test environment.

  • SAP HANA supporta l'accesso SSO avviato da IdPSAP HANA supports IDP initiated SSO
  • SAP HANA supporta il provisioning Just-In-Time (JIT) degli utentiSAP HANA supports just-in-time user provisioning

Per configurare l'integrazione di SAP HANA in Azure AD, è necessario aggiungere SAP HANA dalla raccolta all'elenco di app SaaS gestite.To configure the integration of SAP HANA into Azure AD, you need to add SAP HANA from the gallery to your list of managed SaaS apps.

Per aggiungere SAP HANA dalla raccolta, seguire questa procedura:To add SAP HANA from the gallery, perform the following steps:

  1. Nel portale di Azure fare clic sull'icona di Azure Active Directory nel riquadro di spostamento sinistro.In the Azure portal, on the left navigation panel, click Azure Active Directory icon.

    Pulsante Azure Active Directory

  2. Passare ad Applicazioni aziendali e quindi selezionare l'opzione Tutte le applicazioni.Navigate to Enterprise Applications and then select the All Applications option.

    Pannello Applicazioni aziendali

  3. Fare clic sul pulsante Nuova applicazione nella parte superiore della finestra di dialogo per aggiungere una nuova applicazione.To add new application, click New application button on the top of dialog.

    Pulsante Nuova applicazione

  4. Nella casella di ricerca digitare SAP HANA, selezionare SAP HANA nel pannello dei risultati e quindi fare clic sul pulsante Aggiungi per aggiungere l'applicazione.In the search box, type SAP HANA, select SAP HANA from result panel then click Add button to add the application.

    SAP HANA nell'elenco risultati

Configurare e testare l'accesso Single Sign-On di Azure ADConfigure and test Azure AD single sign-on

In questa sezione viene configurato e testato l'accesso Single Sign-On di Azure AD con SAP HANA usando un utente di test di nome Britta Simon.In this section, you configure and test Azure AD single sign-on with SAP HANA based on a test user called Britta Simon. Per il corretto funzionamento dell'accesso Single Sign-On, deve essere stabilita una relazione di collegamento tra un utente di Azure AD e l'utente correlato in SAP HANA.For single sign-on to work, a link relationship between an Azure AD user and the related user in SAP HANA needs to be established.

Per configurare e testare l'accesso Single Sign-On di Azure AD con SAP HANA, è necessario completare le procedure di base seguenti:To configure and test Azure AD single sign-on with SAP HANA, you need to complete the following building blocks:

  1. Configurare l'accesso Single Sign-On di Azure AD : per consentire agli utenti di usare questa funzionalità.Configure Azure AD Single Sign-On - to enable your users to use this feature.
  2. Configurare l'accesso Single Sign-On di SAP HANA : per configurare le impostazioni di Single Sign-On sul lato applicazione.Configure SAP HANA Single Sign-On - to configure the Single Sign-On settings on application side.
  3. Creare un utente di test di Azure AD : per testare l'accesso Single Sign-On di Azure AD con l'utente Britta Simon.Create an Azure AD test user - to test Azure AD single sign-on with Britta Simon.
  4. Assegnare l'utente test di Azure AD : per abilitare Britta Simon all'uso dell'accesso Single Sign-On di Azure AD.Assign the Azure AD test user - to enable Britta Simon to use Azure AD single sign-on.
  5. Creare un utente di test di SAP HANA : per avere una controparte di Britta Simon in SAP HANA collegata alla rappresentazione dell'utente in Azure AD.Create SAP HANA test user - to have a counterpart of Britta Simon in SAP HANA that is linked to the Azure AD representation of user.
  6. Testare l'accesso Single Sign-On per verificare se la configurazione funziona.Test single sign-on - to verify whether the configuration works.

Configurare l'accesso Single Sign-On di Azure ADConfigure Azure AD single sign-on

In questa sezione viene abilitato l'accesso Single Sign-On di Azure AD nel portale di Azure.In this section, you enable Azure AD single sign-on in the Azure portal.

Per configurare l'accesso Single Sign-On di Azure AD con SAP HANA, seguire questa procedura:To configure Azure AD single sign-on with SAP HANA, perform the following steps:

  1. Nella pagina di integrazione dell'applicazione SAP HANA del portale di Azure selezionare Single Sign-On.In the Azure portal, on the SAP HANA application integration page, select Single sign-on.

    Collegamento Configura accesso Single Sign-On

  2. Nella finestra di dialogo Selezionare un metodo di accesso Single Sign-On selezionare la modalità SAML/WS-Fed per abilitare il Single Sign-On.On the Select a Single sign-on method dialog, select SAML/WS-Fed mode to enable single sign-on.

    Selezione della modalità Single Sign-On

  3. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona Modifica per aprire la finestra di dialogo Configurazione SAML di base.On the Set up Single Sign-On with SAML page, click Edit icon to open Basic SAML Configuration dialog.

    Modificare la configurazione SAML di base

  4. Nella pagina Configura l'accesso Single Sign-On con SAML eseguire questa procedura:On the Set up Single Sign-On with SAML page, perform the following steps:

    Informazioni su URL e dominio per l'accesso Single Sign-On di SAP HANA

    a.a. Nella casella di testo Identificatore digitare il valore seguente: HA100In the Identifier text box, type the following: HA100

    b.b. Nella casella di testo URL di risposta digitare un URL nel formato seguente: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfuncIn the Reply URL text box, type a URL using the following pattern: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Nota

    Poiché questi non sono i valori reali,These values are not real. è necessario aggiornarli con l'identificatore e l'URL di risposta effettivi.Update these values with the actual Identifier and Reply URL. Per ottenere questi valori, contattare il team di supporto clienti di SAP HANA.Contact SAP HANA Client support team to get these values. È anche possibile fare riferimento ai modelli mostrati nella sezione Configurazione SAML di base del portale di Azure.You can also refer to the patterns shown in the Basic SAML Configuration section in the Azure portal.

  5. L'applicazione SAP HANA prevede un formato specifico per le asserzioni SAML.SAP HANA application expects the SAML assertions in a specific format. Configurare le attestazioni seguenti per questa applicazione.Configure the following claims for this application. È possibile gestire i valori di questi attributi dalla sezione Attributi utente nella pagina di integrazione dell'applicazione.You can manage the values of these attributes from the User Attributes section on application integration page. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sul pulsante Modifica per aprire la finestra di dialogo Attributi utente.On the Set up Single Sign-On with SAML page, click Edit button to open User Attributes dialog.

    image

  6. Nella sezione Attributi utente della finestra di dialogo Attributi utente e attestazioni eseguire questa procedura:In the User attributes section on the User Attributes & Claims dialog, perform the following steps:

    a.a. Fare clic sull'icona Modifica per aprire la finestra di dialogo Gestisci attestazioni utente.Click Edit icon to open the Manage user claims dialog.

    image

    image

    b.b. Nell'elenco Trasformazione selezionare ExtractMailPrefix() .From the Transformation list, select ExtractMailPrefix().

    c.c. Nell'elenco Parametro 1 selezionare user.mail.From the Parameter 1 list, select user.mail.

    d.d. Fare clic su Save.Click Save.

  7. Nella pagina Configura l'accesso Single Sign-On con SAML, nella sezione Certificato di firma SAML, fare clic su Scarica per scaricare il file XML metadati federazione definito dalle opzioni specificate in base ai propri requisiti e salvarlo in questo computer.On the Set up Single Sign-On with SAML page, in the SAML Signing Certificate section, click Download to download the Federation Metadata XML from the given options as per your requirement and save it on your computer.

    Collegamento di download del certificato

Configurare l'accesso Single Sign-On di SAP HANAConfigure SAP HANA Single Sign-On

  1. Per configurare l'accesso Single Sign-On sul lato SAP HANA, accedere alla console Web HANA XSA passando al relativo endpoint HTTPS.To configure single sign-on on the SAP HANA side, sign in to your HANA XSA Web Console by going to the respective HTTPS endpoint.

    Nota

    Nella configurazione predefinita l'URL reindirizza la richiesta a una schermata di accesso, che richiede le credenziali di un utente del database SAP HANA autenticato.In the default configuration, the URL redirects the request to a sign-in screen, which requires the credentials of an authenticated SAP HANA database user. L'utente che effettua l'accesso deve disporre delle autorizzazioni per eseguire attività di amministrazione di SAML.The user who signs in must have permissions to perform SAML administration tasks.

  2. Nell'interfaccia Web XSA passare a SAML Identity Provider (Provider di identità SAML).In the XSA Web Interface, go to SAML Identity Provider. A questo punto selezionare il pulsante + nella parte inferiore della schermata per visualizzare il riquadro Add Identity Provider Info (Aggiungi informazioni provider di identità).From there, select the + button on the bottom of the screen to display the Add Identity Provider Info pane. Seguire quindi questa procedura:Then take the following steps:

    Aggiungi provider di identità

    a.a. Nel riquadro Add Identity Provider Info (Aggiungi informazioni provider di identità) incollare i contenuti del file XML metadati scaricato dal portale di Azure nella casella Metadata (Metadati).In the Add Identity Provider Info pane, paste the contents of the Metadata XML (which you downloaded from the Azure portal) into the Metadata box.

    Impostazioni di aggiunta del provider di identità

    b.b. Se il contenuto del documento XML è valido, il processo di analisi estrae le informazioni necessarie per i campi Subject, Entity ID, and Issuer (Oggetto, ID entità e Autorità di certificazione) nell'area dello schermo General data (Dati generali).If the contents of the XML document are valid, the parsing process extracts the information that's required for the Subject, Entity ID, and Issuer fields in the General data screen area. Vengono estratte anche le informazioni necessarie per i campi relativi agli URL nell'area dello schermo Destination (Destinazione), ad esempio i campi Base URL e SingleSignOn URL (*) (URL di base e URL Single Sign-On).It also extracts the information that's necessary for the URL fields in the Destination screen area, for example, the Base URL and SingleSignOn URL (*) fields.

    Impostazioni di aggiunta del provider di identità

    c.c. Nella casella Name (Nome) dell'area dello schermo General Data (Dati generali) immettere un nome per il nuovo provider di identità SSO SAML.In the Name box of the General Data screen area, enter a name for the new SAML SSO identity provider.

    Nota

    Il nome del provider di identità SAML è obbligatorio e deve essere univoco.The name of the SAML IDP is mandatory and must be unique. Viene visualizzato nell'elenco di provider di identità SAML disponibili che viene visualizzato quando si seleziona SAML come metodo di autenticazione per le applicazioni SAP HANA XS da usare.It appears in the list of available SAML IDPs that is displayed when you select SAML as the authentication method for SAP HANA XS applications to use. Ad esempio, è possibile eseguire questa procedura nell'area dello schermo Authentication (Autenticazione) dello strumento di amministrazione di elementi XS.For example, you can do this in the Authentication screen area of the XS Artifact Administration tool.

  3. Selezionare Save (Salva) per salvare i dettagli del provider di identità SAML e aggiungere il nuovo provider di identità SAML all'elenco di provider noti.Select Save to save the details of the SAML identity provider and to add the new SAML IDP to the list of known SAML IDPs.

    Pulsante per il salvataggio

  4. In Studio HANA, nella scheda Configuration (Configurazione) filtrare le impostazioni all'interno delle proprietà del sistema in base a saml.In HANA Studio, within the system properties of the Configuration tab, filter the settings by saml. Modificare quindi il valore del parametro assertion_timeout da 10 sec a 120 sec.Then adjust the assertion_timeout from 10 sec to 120 sec.

    Impostazione assertion_timeout

Creare un utente test di Azure ADCreate an Azure AD test user

Questa sezione descrive come creare un utente test denominato Britta Simon nel portale di Azure.The objective of this section is to create a test user in the Azure portal called Britta Simon.

  1. Nel riquadro sinistro del portale di Azure, selezionare Azure Active Directory, Utenti e quindi Tutti gli utenti.In the Azure portal, in the left pane, select Azure Active Directory, select Users, and then select All users.

    Collegamenti "Utenti e gruppi" e "Tutti gli utenti"

  2. Selezionare Nuovo utente in alto nella schermata.Select New user at the top of the screen.

    Pulsante Nuovo utente

  3. In Proprietà utente seguire questa procedura.In the User properties, perform the following steps.

    Finestra di dialogo Utente

    a.a. Nel campo Nome immettere BrittaSimon.In the Name field enter BrittaSimon.

    b.b. Nel campo Nome utente digitare brittasimon@dominioaziendale.estensioneIn the User name field type brittasimon@yourcompanydomain.extension
    Ad esempio: BrittaSimon@contoso.comFor example, BrittaSimon@contoso.com

    c.c. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.Select Show password check box, and then write down the value that's displayed in the Password box.

    d.d. Fare clic su Create(Crea).Click Create.

Assegnare l'utente test di Azure ADAssign the Azure AD test user

In questa sezione Britta Simon viene abilitata per l'uso dell'accesso Single Sign-On di Azure concedendole l'accesso a SAP HANA.In this section, you enable Britta Simon to use Azure single sign-on by granting access to SAP HANA.

  1. Nel portale di Azure selezionare Applicazioni aziendali, quindi Tutte le applicazioni e infine SAP HANA.In the Azure portal, select Enterprise Applications, select All applications, then select SAP HANA.

    Pannello delle applicazioni aziendali

  2. Nell'elenco delle applicazioni digitare e selezionare SAP HANA.In the applications list, type and select SAP HANA.

    Collegamento a SAP HANA nell'elenco delle applicazioni

  3. Scegliere Utenti e gruppi dal menu a sinistra.In the menu on the left, select Users and groups.

    Collegamento "Utenti e gruppi"

  4. Fare clic sul pulsante Aggiungi utente e quindi selezionare Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.Click the Add user button, then select Users and groups in the Add Assignment dialog.

    Riquadro Aggiungi assegnazione

  5. Nella finestra di dialogo Utenti e gruppi selezionare Britta Simon nell'elenco Utenti e quindi fare clic sul pulsante Seleziona in basso nella schermata.In the Users and groups dialog select Britta Simon in the Users list, then click the Select button at the bottom of the screen.

  6. Se si prevede un valore di ruolo nell'asserzione SAML, nella finestra di dialogo Selezionare un ruolo selezionare il ruolo appropriato per l'utente dall'elenco, quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.If you are expecting any role value in the SAML assertion then in the Select Role dialog select the appropriate role for the user from the list, then click the Select button at the bottom of the screen.

  7. Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.In the Add Assignment dialog click the Assign button.

Creare un utente di test di SAP HANACreate SAP HANA test user

Per consentire agli utenti di Azure AD di accedere a SAP HANA, è necessario effettuare il provisioning di tali utenti in SAP HANA.To enable Azure AD users to sign in to SAP HANA, you must provision them in SAP HANA. SAP HANA supporta il provisioning JIT, che è abilitato per impostazione predefinita.SAP HANA supports just-in-time provisioning, which is by enabled by default.

Per creare un utente manualmente, seguire questa procedura:If you need to create a user manually, take the following steps:

Nota

È possibile modificare l'autenticazione esterna usata dagli utenti.You can change the external authentication that the user uses. Questi possono autenticarsi con un sistema esterno, ad esempio Kerberos.They can authenticate with an external system such as Kerberos. Per informazioni dettagliate sulle identità esterne, contattare l'amministratore di dominio.For detailed information about external identities, contact your domain administrator.

  1. Aprire SAP HANA Studio come amministratore e quindi abilitare DB-User per l'accesso SSO SAML.Open the SAP HANA Studio as an administrator, and then enable the DB-User for SAML SSO.

    Create user

  2. Selezionare la casella di controllo invisibile a sinistra di SAML e quindi selezionare il collegamento Configura.Select the invisible check box to the left of SAML, and then select the Configure link.

  3. Selezionare Aggiungi per aggiungere il provider di identità SAML.Select Add to add the SAML IDP. Selezionare il provider di identità SAML appropriato e quindi OK.Select the appropriate SAML IDP, and then select OK.

  4. Aggiungere un valore nel campo External Identity (Identità esterna), in questo caso BrittaSimon, oppure scegliere Any (Qualsiasi).Add the External Identity (in this case, BrittaSimon) or choose Any. Selezionare OK.Then select OK.

    Nota

    Se la casella di controllo Any (Qualsiasi) non è selezionata, il nome utente in HANA deve corrispondere esattamente al nome dell'utente nell'UPN prima del suffisso di dominioIf the Any check box is not selected, then the user name in HANA needs to exactly match the name of the user in the UPN before the domain suffix. (ad esempio BrittaSimon@contoso.com diventerebbe BrittaSimon in HANA).(For example, BrittaSimon@contoso.com becomes BrittaSimon in HANA.)

  5. A scopo di test, assegnare tutti i ruoli XS all'utente.For testing purposes, assign all XS roles to the user.

    Assegnazione di ruoli

    Suggerimento

    È consigliabile assegnare solo le autorizzazioni appropriate per i casi d'uso.You should give permissions that are appropriate for your use cases only.

  6. Salvare l'utente.Save the user.

Testare l'accesso Single Sign-OnTest single sign-on

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Azure AD usando il pannello di accesso.In this section, you test your Azure AD single sign-on configuration using the Access Panel.

Quando si fa clic sul riquadro di SAP HANA nel pannello di accesso, si dovrebbe accedere automaticamente all'applicazione SAP HANA per cui si è configurato l'accesso SSO.When you click the SAP HANA tile in the Access Panel, you should be automatically signed in to the SAP HANA for which you set up SSO. Per altre informazioni sul pannello di accesso, vedere Introduzione al Pannello di accesso.For more information about the Access Panel, see Introduction to the Access Panel.

Risorse aggiuntiveAdditional Resources