Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, aprenderá a integrar SAP HANA con Microsoft Entra ID. Al integrar SAP HANA con Microsoft Entra ID, puede:
- Controlar en Microsoft Entra ID quién tiene acceso a SAP HANA.
- Permitir que los usuarios puedan iniciar sesión automáticamente en SAP HANA con sus cuentas de Microsoft Entra.
- Administre sus cuentas en una ubicación central.
Requisitos previos
En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:
- Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si no la tiene, puede crear una cuenta gratis.
- Uno de los siguientes roles:
- Una suscripción de SAP HANA habilitada para el inicio de sesión único (SSO)
- Una instancia de HANA en ejecución en cualquier IaaS pública, instancias locales, VM de Azure o instancias grandes de SAP en Azure
- La interfaz web de administración de XSA y HANA Studio instalada en la instancia de HANA
Nota:
No se recomienda usar un entorno de producción de SAP HANA para probar los pasos de este artículo. Pruebe primero la integración en el entorno de desarrollo o de ensayo de la aplicación y, después, use el entorno de producción.
Para probar los pasos de este artículo, siga estas recomendaciones:
- Una suscripción a Microsoft Entra. Si no tiene un entorno de Microsoft Entra, puede obtener una versión de evaluación de un mes aquí.
- Una suscripción habilitada para el inicio de sesión único en SAP HANA
Descripción del escenario
En este artículo, configurará y probará el inicio de sesión único de Microsoft Entra en un entorno de prueba.
- SAP HANA admite el inicio de sesión único iniciado por IDP.
- SAP HANA admite el aprovisionamiento de usuarios Just-In-Time.
Nota:
El identificador de esta aplicación es un valor de cadena fijo, por lo que solo se puede configurar una instancia en un inquilino.
Adición de SAP HANA desde la galería
Para configurar la integración de SAP HANA en Microsoft Entra ID, será preciso que agregue SAP HANA desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Navegue a Entra ID>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería, escriba SAP HANA en el cuadro de búsqueda.
- Seleccione SAP HANA en el panel de resultados y, después, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente, puede agregar una aplicación a su cliente, agregar usuarios o grupos a la aplicación, asignar roles y completar la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.
Configuración y prueba del inicio de sesión único de Microsoft Entra para SAP HANA
Configure y pruebe el inicio de sesión único de Microsoft Entra con SAP HANA mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de SAP HANA.
Para configurar y probar el inicio de sesión único de Microsoft Entra con SAP HANA, complete los siguientes pasos:
-
Configure el inicio de sesión único de Microsoft Entra: para que los usuarios puedan utilizar esta característica.
- Creación de un usuario de prueba de Microsoft Entra : para probar el inicio de sesión único de Microsoft Entra con Britta Simon.
- Asignación del usuario de prueba de Microsoft Entra : para permitir que Britta Simon use el inicio de sesión único de Microsoft Entra.
-
Configuración del inicio de sesión único en SAP HANA: para configurar los valores de inicio de sesión único en la aplicación.
- Creación de un usuario de prueba de SAP HANA: para tener un homólogo de Britta Simon en SAP HANA que esté vinculado a la representación del usuario en Microsoft Entra.
- Prueba del inicio de sesión único : para comprobar si la configuración funciona.
Configuración del inicio de sesión único de Microsoft Entra
Siga estos pasos para habilitar el SSO de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Entra ID>Aplicaciones empresariales>SAP HANA>Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configurar inicio de sesión único con SAML, seleccione el icono de lápiz para Configuración básica SAML y edite la configuración.
En la sección Configuración básica de SAML, especifique los valores de los siguientes campos:
En el cuadro de texto URL de respuesta, escriba una dirección URL con el siguiente patrón:
https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfuncNota:
El valor de la dirección URL de respuesta no es real. Actualícelo con la dirección URL de respuesta real. Póngase en contacto con el equipo de soporte al cliente de SAP HANA para obtener los valores. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML.
La aplicación SAP HANA espera las aserciones de SAML en un formato específico. Configure las siguientes notificaciones para esta aplicación. Puede administrar los valores de estos atributos en la sección Atributos de usuario de la página de integración de aplicaciones. En la página Set up Single Sign-On with SAML (Configurar single Sign-On con SAML ), seleccione el botón Editar para abrir el cuadro de diálogo Atributos de usuario .
En la sección Atributos del usuario del cuadro de diálogo Atributos y notificaciones de usuario, siga estos pasos:
a) Seleccione el icono Editar para abrir el cuadro de diálogo Administrar notificaciones de usuario .
b. En la lista Transformación, seleccione ExtractMailPrefix() .
c. Desde la lista Parámetro 1, seleccione user.mail.
d. Haga clic en Guardar.
En la página Configurar Single Sign-On con SAML, en la sección Certificado de firma de SAML, seleccione Descargar para descargar el Federation Metadata XML desde las opciones disponibles según sus necesidades y guardarlo en su equipo.
Creación y asignación de un usuario de prueba de Microsoft Entra
Siga las instrucciones de creación y asignación de una cuenta de usuario de inicio rápido para crear una cuenta de usuario de prueba llamada B.Simon.
Configuración del inicio de sesión único de SAP HANA
Para configurar el inicio de sesión único en SAP HANA, inicie sesión en la consola web de HANA XSA en el punto de conexión HTTPS respectivo.
Nota:
En la configuración predeterminada, la dirección URL redirige la solicitud a una pantalla de inicio de sesión, que requiere las credenciales de un usuario de base de datos de SAP HANA autenticado. El usuario que inicie sesión debe tener los permisos para realizar las tareas de administración de SAML.
En la interfaz web de XSA, vaya al proveedor de identidades SAML. A partir de ahí, seleccione el botón + en la parte inferior de la pantalla para mostrar el panel + (Agregar información del proveedor de identidades). A continuación, siga estos pasos:
a) En el panel Add Identity Provider Info (Agregar información del proveedor de identidades), pegue el contenido del archivo XML de metadatos que descargó en el cuadro Metadatos.
b. Si el contenido del documento XML es válido, el proceso de análisis extrae la información necesaria para los campos Asunto, Id. de entidad y Emisor del área de pantalla Datos generales. También extrae la información necesaria para los campos de dirección URL del área de pantalla Destino, por ejemplo, los campos URL base y Dirección URL de inicio de sesión único (*) .
c. En el cuadro Nombre del área de pantalla Datos generales, escriba un nombre para el nuevo proveedor de identidades de SSO de SAML.
Nota:
El nombre del proveedor de identidades de SAML es obligatorio y debe ser único. Aparece en la lista de IDP de SAML disponibles que se muestran al seleccionar SAML como método de autenticación para las aplicaciones XS de SAP HANA que se van a usar. Por ejemplo, puede hacer eso en el área de pantalla Autenticación de la herramienta XS Artifact Administration.
Seleccione Guardar para guardar los detalles del proveedor de identidades de SAML y para agregar el nuevo proveedor de identidades de SAML a la lista de conocidos.
En HANA Studio, en las propiedades del sistema de la pestaña Configuration (Configuración), filtre los valores porsaml. A continuación, ajuste assertion_timeout de 10 s a 120 s.
Creación de un usuario de prueba en SAP HANA
Para permitir que los usuarios de Microsoft Entra inicien sesión en SAP HANA, debe aprovisionarlos en SAP HANA. SAP HANA admite el aprovisionamiento Just-In-Time, que está habilitado de forma predeterminada.
Si tiene que crear manualmente un usuario, siga los pasos siguientes:
Nota:
Puede cambiar la autenticación externa que usa el usuario. Pueden autenticarse con un sistema externo, como Kerberos. Para obtener información detallada acerca de las identidades externas, póngase en contacto con su administrador de dominio.
Abra SAP HANA Studio como administrador y, después, active el usuario de base de datos de SSO de SAML.
Seleccione la casilla invisible a la izquierda de SAML y, después, seleccione el vínculo Configurar.
Seleccione Agregar para agregar el proveedor de identidades de SAML. Seleccione el proveedor de identidades de SAML adecuado y, después, seleccione Aceptar.
Agregue el valor de External Identity (Identidad externa) (en este caso, B.Simmon). Después, seleccione Aceptar.
Nota:
Debe rellenar el campo Identidad externa del usuario y ese valor debe coincidir con el campo NameID del token SAML de Microsoft Entra ID. La casilla Cualquier no debe activarse, ya que esta opción requiere que el IDP envíe una propiedad SPProviderID en el campo NameID, que actualmente no es compatible con microsoft Entra ID. Para obtener más información, consulte Inicio de sesión único con SAML 2.0.
Para realizar pruebas, asigne todos los roles de XS para el usuario.
Sugerencia
Debe conceder permisos adecuados solo para los casos de uso.
Guarde el usuario.
Prueba de SSO
En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.
Seleccione Probar esta aplicación y debería iniciar sesión automáticamente en la instancia de SAP HANA para la que configuró el inicio de sesión único.
Puede usar Mis aplicaciones de Microsoft. Al seleccionar el bloque de SAP HANA en Mis Aplicaciones, debería iniciar sesión de manera automática en la SAP HANA para la que ha configurado el inicio de sesión único. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.
Contenido relacionado
El aprovisionamiento desde SAP Cloud Identity Services a SAP HANA es una característica beta disponible en SAP Business Technology Platform. Para obtener más información, consulte cómo configurar el aprovisionamiento de usuarios Microsoft Entra ID a SAP Cloud Identity Servicesy cómo configurar el aprovisionamiento de usuarios desde SAP Cloud Identity Services a una base de datos SAP HANA (versión beta).
Una vez configurado SAP HANA para el inicio de sesión único, puede aplicar el control de sesión, que impide la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.