Integrare Microsoft Entra ID con SAP HANA

  • 10 minuti

L'integrazione di SAP HANA con Microsoft Entra ID offre i vantaggi seguenti:

  • È possibile controllare in Microsoft Entra ID chi può accedere a SAP HANA.
  • È possibile consentire agli utenti l'accesso automatico a SAP HANA (Single Sign-On) con i rispettivi account Microsoft Entra.
  • È possibile gestire gli account in un'unica posizione centrale: il portale di Azure.

Per configurare l'integrazione di Microsoft Entra con SAP HANA, sono necessari gli elementi seguenti:

  • Una sottoscrizione di Microsoft Entra.
  • Una sottoscrizione di SAP HANA abilitata per l'accesso Single Sign-On (SSO).
  • Un'istanza di HANA in esecuzione in un'infrastruttura IaaS pubblica, in locale, in una macchina virtuale di Azure.
  • L'interfaccia Web di amministrazione di XSA e HANA Studio installati nell'istanza di HANA.

L'integrazione di Microsoft Entra all'interno di SAP HANA consente di implementare:

  • SAP HANA supporta l'accesso SSO avviato da IdP
  • SAP HANA supporta il provisioning Just-In-Time (JIT) degli utenti

Per configurare l'integrazione di SAP HANA in Microsoft Entra, aggiungere prima di tutto SAP HANA dalla raccolta all'elenco di app SaaS gestite.

Configurare l'accesso Single Sign-On di Microsoft Entra

Per configurare l'accesso Single Sign-On di Microsoft Entra con SAP HANA, seguire questa procedura:

  1. Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare questa funzionalità.
  2. Configurare l'accesso Single Sign-On a SAP HANA per configurare le impostazioni di Single Sign-On sul lato applicazione.
  3. Assegnare gli utenti di Microsoft Entra per consentire loro di usare l'accesso Single Sign-On di Microsoft Entra.
  4. Creare utenti di SAP HANA utenti per effettuare il provisioning degli account controparte in SAP HANA collegati agli account utente Microsoft Entra corrispondenti.

Configurare l'accesso Single Sign-On di Microsoft Entra nel portale

  1. Per configurare l'accesso Single Sign-On di Microsoft Entra con SAP HANA, nel portale di Azure, nella pagina di integrazione dell'applicazione SAP HANA, selezionare Single Sign-On.

  2. Nella finestra di dialogo Selezionare un metodo di accesso Single Sign-On selezionare la modalità SAML/WS-Fed per abilitare l'accesso Single Sign-On.

  3. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona Modifica per aprire la finestra di dialogo Configurazione SAML di base.

  4. Nella pagina Configura l'accesso Single Sign-On con SAML eseguire questa procedura:

    1. Nella casella di testo Identificatore digitare HA100.
    2. Nella casella URL di risposta digitare un URL nel formato <https://Customer-SAP-instance-url/sap/hana/xs/saml/login.xscfunc>. Per ottenere il relativo valore effettivo, è possibile contattare il team di supporto clienti di SAP HANA.
    3. L'applicazione SAP HANA prevede un formato specifico per le asserzioni SAML. Configurare le attestazioni seguenti per questa applicazione: givenname, surname, emailaddress, name e Unique User Identifier. È possibile gestire i valori di questi attributi dalla sezione Attributi utente nella pagina di integrazione dell'applicazione.

  5. Nella pagina Configura l'accesso Single Sign-On con SAML selezionare il pulsante Modifica per aprire la finestra di dialogo Attributi utente.

  6. Nella sezione Attributi utente, alla pagina Attributi utente e attestazioni, eseguire questa procedura:

    1. Fare clic sull'icona Modifica per aprire la finestra di dialogo Gestisci attestazioni utente.
    2. Nell'elenco Trasformazione selezionare ExtractMailPrefix().
    3. Nell'elenco Parametro 1 selezionare user.mail.
    4. Salva le modifiche.

  7. Nella pagina Configura l'accesso Single Sign-On con SAML, nella sezione Certificato di firma SAML selezionare Scarica per scaricare il file XML dei metadati della federazione dalle opzioni specificate in base alle esigenze e salvarlo nel computer.

Configurare l'accesso Single Sign-On di SAP HANA

  1. Per configurare l'accesso Single Sign-On sul lato SAP HANA, accedere alla console Web HANA XSA passando al relativo endpoint HTTPS.

    Nota

    Nella configurazione predefinita l'URL reindirizza la richiesta a una schermata di accesso, che richiede le credenziali di un utente del database SAP HANA autenticato. L'utente che effettua l'accesso deve disporre delle autorizzazioni per eseguire attività di amministrazione di SAML.

  2. Nell'interfaccia Web XSA passare a SAML Identity Provider (Provider di identità SAML). A questo punto selezionare il pulsante + nella parte inferiore della schermata per visualizzare il riquadro Add Identity Provider Info (Aggiungi informazioni provider di identità).

  3. Nel riquadro Add Identity Provider Info incollare il contenuto del file XML di metadati scaricato dal portale di Azure nella casella Metadata.

  4. Se il contenuto del documento XML è valido, il processo di analisi estrae le informazioni necessarie per i campi Subject, Entity ID, and Issuer (Oggetto, ID entità e Autorità di certificazione) nell'area dello schermo General data (Dati generali). Estrae anche le informazioni necessarie per i campi URL nell'area della schermata Destinazione, ad esempio i campi URL di base e URL SingleSignOn (*).

  5. Nella casella Name (Nome) dell'area dello schermo General Data (Dati generali) immettere un nome per il nuovo provider di identità SSO SAML.

    Nota

    Il nome del provider di identità SAML è obbligatorio e deve essere univoco. Viene visualizzato nell'elenco dei provider di identità SAML disponibili visualizzati quando si seleziona SAML come metodo di autenticazione per le applicazioni SAP HANA XS da usare. Ad esempio, è possibile eseguire questa procedura nell'area dello schermo Authentication (Autenticazione) dello strumento di amministrazione di elementi XS.

  6. Selezionare Save (Salva) per salvare i dettagli del provider di identità SAML e aggiungere il nuovo provider di identità SAML all'elenco di provider noti.

  7. In HANA Studio, nella scheda Configuration, filtrare le impostazioni all'interno delle proprietà del sistema in base a saml. Modificare quindi il valore di assertion_timeout da 10 sec a 120 sec.

Assegnare gli utenti di Microsoft Entra

  1. Nel portale di Azure selezionare Applicazioni aziendali, quindi Tutte le applicazioni e infine SAP HANA.
  2. Nell'elenco delle applicazioni selezionare SAP HANA.

Creare utenti di SAP HANA

Per consentire agli utenti di Microsoft Entra di accedere a SAP HANA, è necessario effettuarne il provisioning in SAP HANA. SAP HANA supporta il provisioning JIT, che è abilitato per impostazione predefinita.

Per creare un utente manualmente, seguire questa procedura:

  1. Aprire SAP HANA Studio come amministratore e quindi abilitare DB-User per l'accesso SSO SAML.

  2. Selezionare la casella di controllo a sinistra di SAML e quindi selezionare il collegamento Configure.

  3. Selezionare Aggiungi per aggiungere il provider di identità SAML. Selezionare il provider di identità SAML appropriato e quindi OK.

  4. Aggiungere un valore per External Identity oppure scegliere Any. Quindi, seleziona OK.

    Nota

    Se la casella di controllo Any non è selezionata, il nome utente in HANA deve corrispondere esattamente al nome dell'utente nell'UPN che precede il suffisso di dominio.

  5. Assegnare i ruoli pertinenti all'utente.

  6. Per verificare il risultato, selezionare il riquadro SAP HANA nel pannello di accesso. Si dovrebbe poter accedere automaticamente all'istanza di SAP HANA per cui si è configurato l'accesso SSO.