Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans cet article, vous allez apprendre à intégrer SAP HANA à Microsoft Entra ID. Quand vous intégrez SAP HANA à Microsoft Entra ID, vous pouvez :
- Contrôler dans Microsoft Entra ID qui a accès à SAP HANA.
- Permettre à vos utilisateurs d’être automatiquement connectés à SAP HANA avec leur compte Microsoft Entra.
- Gérer vos comptes à partir d’un emplacement central.
Prérequis
Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :
- Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
- L’un des rôles suivants :
- Un abonnement SAP HANA pour lequel l’authentification unique est activée
- Une instance HANA en cours d’exécution sur une IaaS publique, locale, sur une machine virtuelle Azure ou sur une grande instance SAP dans Azure
- Interface web administration XSA et HANA Studio installé sur l’instance HANA
Notes
Nous vous déconseillons d’utiliser un environnement de production de SAP HANA pour tester les étapes décrites dans cet article. Testez d’abord l’intégration dans l’environnement de développement ou l’environnement de préproduction de l’application, puis passez à l’environnement de production.
Pour tester les étapes décrites dans cet article, suivez les recommandations suivantes :
- Une souscription Microsoft Entra. Si vous ne disposez pas d'un environnement Microsoft Entra, vous pouvez bénéficier d'un essai d'un mois ici
- Un abonnement SAP HANA pour lequel l’authentification unique est activée
Description du scénario
Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.
- SAP HANA prend en charge l’authentification unique initiée par le fournisseur d’identité.
- SAP HANA prend en charge l’approvisionnement d’utilisateurs juste-à-temps.
Notes
L’identificateur de cette application étant une valeur de chaîne fixe, une seule instance peut être configurée dans un locataire.
Ajout de SAP HANA à partir de la galerie
Pour configurer l’intégration de SAP HANA à Microsoft Entra ID, vous devez ajouter SAP HANA à partir de la galerie à votre liste d’applications SaaS gérées.
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Naviguez vers Entra ID>Applications d'entreprise>Nouvelle application.
- Dans la section Ajouter à partir de la galerie, tapez SAP HANA dans la zone de recherche.
- Sélectionnez SAP HANA dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.
Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les assistants Microsoft 365.
Configurer et tester l’authentification unique Microsoft Entra pour SAP HANA
Configurez et testez l’authentification unique Microsoft Entra avec SAP HANA pour un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur SAP HANA associé.
Pour configurer et tester l’authentification unique Microsoft Entra avec SAP HANA, effectuez les étapes suivantes :
-
Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
- Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec Britta Simon.
- Affectez l’utilisateur de test Microsoft Entra pour permettre à Britta Simon d’utiliser l’authentification unique Microsoft Entra.
-
Configurer l’authentification unique SAP HANA : pour configurer les paramètres de l’authentification unique côté application.
- Créer un utilisateur de test SAP HANA pour avoir un équivalent de Britta Simon dans SAP HANA lié à la représentation Microsoft Entra de l’utilisateur.
- Tester l’authentification unique pour vérifier si la configuration fonctionne.
Configurer Microsoft Entra SSO
Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Entra ID>applications d'entreprise>SAP HANA>l’authentification unique.
Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.
Dans la page Configurer l’authentification unique avec SAML , sélectionnez l’icône crayon de configuration SAML de base pour modifier les paramètres.
Dans la section Configuration SAML de base, entrez les valeurs pour les champs suivants :
Dans la zone de texte URL de réponse, tapez une URL au format suivant :
https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfuncNotes
La valeur de l’URL de réponse n’est pas réelle. Mettez à jour la valeur avec l’URL de réponse réelle. Pour obtenir ces valeurs, contactez l’équipe de support technique SAP HANA. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.
L’application SAP HANA attend les assertions SAML dans un format spécifique. Configurez les revendications suivantes pour cette application. Vous pouvez gérer les valeurs de ces attributs à partir de la section Attributs utilisateur sur la page d’intégration des applications. Dans la page Configurer un seul Sign-On avec SAML , sélectionnez bouton Modifier pour ouvrir la boîte de dialogue Attributs utilisateur .
Dans la section Attributs utilisateur de la boîte de dialogue Attributs et revendications de l’utilisateur, procédez comme suit :
a) Sélectionnez l’icône Modifier pour ouvrir la boîte de dialogue Gérer les revendications utilisateur .
b. Dans la liste Transformation, sélectionnez ExtractMailPrefix() .
v. Dans la liste Paramètre 1, sélectionnez user.mail.
d. Cliquez sur Enregistrer.
Dans la page Configurer un seul Sign-On avec SAML , dans la section Certificat de signature SAML , sélectionnez Télécharger pour télécharger le xml des métadonnées de fédération à partir des options fournies en fonction de vos besoins et enregistrez-le sur votre ordinateur.
Créer et affecter un utilisateur de test Microsoft Entra
Suivez les instructions du guide de démarrage rapide pour créer et attribuer un compte utilisateur afin de créer un compte utilisateur de test appelé B.Simon.
Configurer l’authentification unique SAP HANA
Pour configurer l’authentification unique côté SAP HANA, connectez-vous à votre console web HANA XSA en accédant au point de terminaison HTTPS correspondant.
Notes
Dans la configuration par défaut, l’URL redirige la requête vers un écran d’ouverture de session, où les informations d’identification d’un utilisateur de la base de données SAP HANA agréé sont nécessaires. L’utilisateur qui se connecte doit avoir les autorisations nécessaires pour effectuer des tâches d’administration SAML.
Dans l’Interface web XSA, accédez à SAML Identity Provider (Fournisseur d’identité SAML). Ensuite, sélectionnez le bouton + en bas de l’écran pour afficher le volet + (Ajouter les informations du fournisseur d’identité). Ensuite, effectuez les étapes suivantes :
a) Dans le volet Ajouter des informations sur le fournisseur d’identité, collez le contenu du fichier XML de métadonnées que vous avez téléchargé dans la zone Métadonnées.
b. Si le contenu du document XML est valide, le processus d’analyse extrait les informations requises pour les champs Subject, Entity ID et Issuer (Sujet, ID d’entité et Émetteur) dans la zone d’écran General data (Données générales). Il extrait également les informations nécessaires pour les champs d’URL dans la zone d’écran Destination, tels que les champs Base URL and SingleSignOn URL (*) (URL de base et URL d’authentification unique).
v. Dans la zone Nom de la zone d’écran General Data (Données générales), entrez un nom pour le nouveau fournisseur d’identité d’authentification unique SAML.
Notes
Le nom du fournisseur d’identité SAML est obligatoire et doit être unique. Il apparaît dans la liste des IDP SAML disponibles qui s'affiche lorsque vous sélectionnez SAML comme méthode d'authentification pour les applications SAP HANA XS à utiliser. Par exemple, vous pouvez faire cela dans la zone d’écran Authentication (Authentification) de l’outil d’administration d’artefact XS.
Sélectionnez Save (Enregistrer) pour enregistrer les détails du fournisseur d’identité SAML et ajouter le nouveau fournisseur d’identité SAML à la liste des fournisseurs d’identité SAML connus.
Dans HANA Studio, dans les propriétés système de l’onglet Configuration, filtrez les paramètres par saml. Ensuite, ajustez assertion_timeout en remplaçant 10 s par 120 s.
Créer un utilisateur de test SAP HANA
Pour permettre aux utilisateurs Microsoft Entra de se connecter à SAP HANA, vous devez les provisionner dans SAP HANA. SAP HANA prend en charge le provisionnement juste-à-temps, qui est activé par défaut.
Si vous avez besoin de créer un utilisateur manuellement, effectuez les étapes suivantes :
Notes
Vous pouvez changer l’authentification externe dont se sert l’utilisateur. Il peut s’authentifier auprès d’un système externe, tel que Kerberos. Pour plus d’informations sur les identités externes, contactez votre administrateur de domaine.
Ouvrez SAP HANA Studio en tant qu’administrateur, puis activez l’utilisateur de base de données pour l’authentification unique SAML.
Cochez la case invisible à gauche de SAML, puis sélectionnez le lien Configurer.
Sélectionnez Ajouter pour ajouter le fournisseur d’identité SAML. Sélectionnez le fournisseur d’identité SAML approprié, puis sélectionnez OK.
Ajouter l’identité externe (dans ce cas, BrittaSimon). Sélectionnez ensuite OK.
Notes
Vous devez renseigner le champ Identité externe pour l’utilisateur, et cette valeur doit correspondre au champ NameID dans le jeton SAML de Microsoft Entra ID. La case à cocher Any ne doit pas être cochée, car cette option nécessite que l'IDP envoie une propriété SPProviderID dans le champ NameID, ce qui n'est actuellement pas pris en charge par Microsoft Entra ID. Pour plus d’informations, consultez Authentification unique à l’aide de SAML 2.0.
À des fins de test, affectez tous les rôles XS à l’utilisateur.
Conseil
Vous devez donner les autorisations qui sont appropriées pour vos cas d’usage uniquement.
Enregistrez l’utilisateur.
Tester l’authentification unique (SSO)
Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.
Sélectionnez Tester cette application et vous devez être connecté automatiquement à l’application SAP HANA pour laquelle vous avez configuré l’authentification unique
Vous pouvez utiliser Mes applications de Microsoft. Lorsque vous sélectionnez la vignette SAP HANA dans Mes applications, vous devez être connecté automatiquement à l’application SAP HANA pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.
Contenu connexe
L’approvisionnement de SAP Cloud Identity Services vers SAP HANA est une fonctionnalité bêta disponible sur SAP Business Technology Platform. Pour plus d’informations, consultez comment configurer l’approvisionnement d’utilisateurs de Microsoft Entra ID vers SAP Cloud Identity Services et comment configurer l’approvisionnement d’utilisateurs de SAP Cloud Identity Services vers une base de données SAP HANA (version bêta).
Une fois que vous avez configuré l’authentification unique SAP HANA, vous pouvez appliquer le contrôle de session, qui protège votre organisation en temps réel contre l’exfiltration et l’infiltration de ses données sensibles. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.