Självstudie: Azure Active Directory integrering med SAP HANA

  • Artikel
  • 7 minuter för att läsa

I den här självstudien lär du dig att integrera SAP HANA med Azure Active Directory (Azure AD). När du integrerar SAP HANA med Azure AD kan du:

  • Kontrollera i Azure AD vem som har åtkomst till SAP HANA.
  • Gör så att dina användare automatiskt loggas in på SAP HANA med sina Azure AD-konton.
  • Hantera dina konton på en central plats – Azure Portal.

Förutsättningar

Om du vill konfigurera Azure Active Directory-integrering med SAP HANA behöver du följande objekt:

  • En Azure AD-prenumeration
  • En SAP HANA-prenumeration som är aktiverad med enkel inloggning (SSO)
  • En HANA-instans som körs på alla offentliga IaaS, lokala, virtuella Azure-datorer eller SAP på stora instanser i Azure
  • XSA Administration-webbgränssnittet, samt HANA Studio installerat på HANA-instansen

Anteckning

Vi rekommenderar inte att använda en SAP HANA-produktionsmiljö för att testa stegen i den här självstudien. Testa integrationen först i utvecklings- eller mellanlagringsmiljön för programmet och använd sedan produktionsmiljön.

Följ dessa rekommendationer för att testa stegen i den här självstudien:

  • En Azure AD-prenumeration. Om du inte har någon Azure AD-miljö kan du hämta en månads utvärderingsversion här
  • SAP HANA-prenumeration med enkel inloggning aktiverat

Scenariobeskrivning

I den här självstudien konfigurerar och testar du enkel inloggning med Azure AD i en testmiljö.

  • SAP HANA har stöd för IDP-initierad enkel inloggning.
  • SAP HANA stöder just-in-time-användareablering.

Anteckning

Identifierare för det här programmet är ett fast strängvärde så att endast en instans kan konfigureras i en klientorganisation.

Om du vill konfigurera integreringen av SAP HANA i Azure Active Directory måste du lägga till SAP HANA från galleriet till din lista över hanterade SaaS-appar.

  1. Logga in på Azure Portal med ett arbets- eller skolkonto eller ett personligt Microsoft-konto.
  2. I det vänstra navigeringsfönstret väljer du Azure Active Directory tjänst.
  3. Gå till Företagsprogram och välj sedan Alla program.
  4. Om du vill lägga till ett nytt program väljer du Nytt program.
  5. I avsnittet Lägg till från galleriet skriver SAP HANA i sökrutan.
  6. Välj SAP HANA från resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Konfigurera och testa enkel inloggning med Azure AD för SAP HANA

Konfigurera och testa enkel inloggning med Azure AD SAP HANA med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Azure AD-användare och den relaterade användaren i SAP HANA.

Utför följande steg för att konfigurera och SAP HANA enkel inloggning med Azure AD SAP HANA:

  1. Konfigurera enkel inloggning med Azure AD – så att användarna kan använda den här funktionen.
    1. Skapa en Azure AD-testanvändare – för att testa enkel inloggning med Azure AD med Britta Simon.
    2. Tilldela Azure AD-testanvändaren – så att Britta Simon kan använda enkel inloggning med Azure AD.
  2. Konfigurera SAP HANA enkel inloggning – för att konfigurera inställningarna Sign-On enkel inloggning på programsidan.
    1. Skapa en testanvändare för SAP HANA – så att du får en motsvarighet till Britta Simon i SAP HANA som är länkad till användarens Azure Active Directory-representation.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera Azure AD SSO

Följ dessa steg för att aktivera enkel inloggning med Azure AD i Azure Portal.

  1. I Azure Portal går du SAP HANA programintegreringssidan, går till avsnittet Hantera och väljer enkel inloggning.

  2. På sidan Välj en metod för enkel inloggning väljer du SAML.

  3. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  4. I avsnittet Grundläggande SAML-konfiguration anger du värdena för följande fält:

    I textrutan Svars-URL skriver du en URL med följande mönster: https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Anteckning

    Värdet för svars-URL:en är inte verkligt. Uppdatera värdet för med den faktiska svars-URL:en. Kontakta SAP HANA kundsupporten för att hämta värdena. Du kan även se mönstren som visas i avsnittet Grundläggande SAML-konfiguration i Azure-portalen.

  5. SAP HANA-program som förväntar sig SAML-intyg i ett visst format. Konfigurera följande anspråk för det här programmet. Du kan hantera värdena för dessa attribut i avsnittet Användarattribut på sidan för programintegrering. På sidan Konfigurera enkel inloggning med SAML klickar du på knappen Redigera för att öppna dialogrutan Användarattribut.

    Skärmbild som visar avsnittet "Användarattribut" med ikonen "Redigera" markerad.

  6. I avsnittet Användarattribut i dialogrutan Användarattribut & anspråk utför du följande steg:

    a. Öppna dialogrutan Hantera användaranspråk genom att klicka på redigeringsikonen.

    Skärmbild som visar dialogrutan "Användarattribut & anspråk" med ikonen "Redigera" markerad.

    image

    b. Välj ExtractMailPrefix() i listan Transformering.

    c. Från listan Parameter 1 väljer du user.mail.

    d. Klicka på Spara.

  7. På sidan Set up Single Sign-On with SAML (Konfigurera enkel inloggning med SAML) går du till avsnittet SAML Signing Certificate (SAML-signeringscertifikat), klickar på Ladda ned för att ladda ned Federation Metadata-XML från de angivna alternativen enligt dina behov och spara den på datorn.

    Länk för nedladdning av certifikatet

Skapa en Azure AD-testanvändare

I det här avsnittet skapar du en testanvändare i Azure Portal namnet B.Simon.

  1. I det vänstra fönstret i Azure Portal väljer du Azure Active Directory, väljer Användare och sedan Alla användare.
  2. Välj Ny användare överst på skärmen.
  3. I Användaregenskaper följer du dessa steg:
    1. I Namn-fältet skriver du B.Simon.
    2. I fältet Användarnamn anger du username@companydomain.extension . Till exempel B.Simon@contoso.com.
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Klicka på Skapa.

Tilldela Azure AD-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning med Azure genom att ge åtkomst till SAP HANA.

  1. I Azure Portal väljer du Företagsprogram och sedan Alla program.
  2. I programlistan väljer du SAP HANA.
  3. På appens översiktssida hittar du avsnittet Hantera och väljer Användare och grupper.
  4. Välj Lägg till användare och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning.
  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
  6. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den från listrutan Välj en roll. Om ingen roll har ställts in för den här appen visas rollen "Standardåtkomst".
  7. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera SAP HANA enkel inloggning

  1. Om du vill konfigurera enkel inloggning för SAP HANA, loggar du in på HANA XSA-webbkonsolen genom att gå till respektive HTTPS-slutpunkt.

    Anteckning

    I standardkonfigurationen omdirigerar URL:en begäran till en inloggningsskärm, som kräver autentiseringsuppgifter av en autentiserad SAP HANA-databasanvändare. Den användare som loggar in måste ha behörighet att utföra administrationsuppgifter i SAML.

  2. Gå till i XSA-webbgränssnittet SAML-identitetsprovider. Därifrån väljer du knappen + längst ned på skärmen för att visa fönstret Lägg till information om identitetsprovider. Utför sedan följande steg:

    Lägg till identitetsprovider

    a. I fönstret Lägg till information om identitetsprovider klistrar du in innehållet i Metadata XML (som du laddade ner från Azure Portal) i rutan Metadata.

    Skärmbild som visar fönstret "Lägg till information om identitetsprovider" med rutorna "Metadata" och "Namn" markerade.

    b. Om innehållet i XML-dokumentet är giltigt, extraherar parsningsprocessen den information som krävs för fälten Ämne, Entitets-ID och Utfärdare till skärmområdet Allmänna data. Den extraherar också den information som krävs för URL-fälten i skärmområdet Mål, till exempel fälten Bas-URL och SingleSignOn URL (*).

    Lägg till identitetsproviderinställningar

    c. I rutan Namn i skärmområdet Allmänna data anger du ett namn för den nya SAML SSO-identitetsprovidern.

    Anteckning

    Namnet på SAML IDP är obligatoriskt och måste vara unikt. Det visas i listan över tillgängliga SAML IDP:er som visas när du väljer SAML som autentiseringsmetod för SAP HANA XS-programmen som ska användas. Du kan exempelvis göra detta i skärmområdet Autentisering för XS-artefaktens administrationsverktyg.

  3. Välj Spara för att spara information om SAML-identitetsprovidern och lägga till den nya SAML IDP i listan över kända SAML IDP:er.

    Knappen Spara

  4. I HANA Studio i systemegenskaperna för fliken Konfiguration, filtrerar du inställningarna med saml. Justera sedan assertion_timeout från 10 sek till 120 sek.

    assertion_timeout-inställning

Skapa testanvändare för SAP HANA

Om du vill göra det möjligt för Azure Active Directory-användare att logga in till SAP HANA, måste du etablera dem i SAP HANA. SAP HANA har stöd för just-in-time-etablering, som är aktiverat som standard.

Om du behöver skapa en användare manuellt så gör du följande:

Anteckning

Du kan ändra den externa autentisering som användaren använder. De kan autentisera sig med ett externt system, till exempel Kerberos. Kontakta din domänadministratör om du vill ha detaljerad information om externa identiteter.

  1. Öppna SAP HANA Studio som administratör, och aktivera sedan DB-användaren för SAML SSO.

    Skapa användare

  2. Markera den osynliga kryssrutan till vänster om SAML, och välj sedan länken Konfigurera.

  3. Välj Lägg till för att lägga till SAML IDP. Välj lämplig SAML IDP och välj sedan OK.

  4. Lägg till den externa identiteten (i det här fallet BrittaSimon). Välj sedan OK.

    Anteckning

    Du måste fylla i fältet Extern identitet för användaren och som måste matcha fältet NameID i SAML-token från Azure AD. Alla kryssrutor ska inte markeras eftersom det här alternativet kräver att IDP skickar SPProvderID-egenskapen i NameID-fältet som just nu inte stöds av Azure AD. Mer information finns i det här dokumentet.

  5. I testsyfte kan du tilldela alla XS-roller till användaren.

    Tilldelar roller

    Tips

    Du bör ge behörigheter som är lämpliga för dina användningar endast.

  6. Spara användaren.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Azure AD med följande alternativ.

  • Klicka på Testa det här programmet Azure Portal så bör du automatiskt loggas in på SAP HANA som du har ställt in enkel inloggning för

  • Du kan använda Microsoft Mina appar. När du klickar SAP HANA på Mina appar bör du automatiskt loggas in på den SAP HANA som du har ställt in enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du SAP HANA kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltrering av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för Cloud Apps.