Configurar o SAP HANA para logon único com o ID do Microsoft Entra

Neste artigo, você aprenderá a integrar o SAP HANA ao Microsoft Entra ID. Ao integrar o SAP HANA com o Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso ao SAP HANA.
• Permita que seus usuários façam login automaticamente no SAP HANA com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode Criar uma conta gratuitamente.
• Uma das seguintes funções:
  • Administrador de aplicativos
  • Administrador de Aplicações na Nuvem
  • Proprietário da Aplicação.

• Uma assinatura do SAP HANA habilitada para logon único (SSO)
• Uma instância HANA que está a ser executada numa IaaS pública, local, numa VM do Azure ou em instâncias grandes do SAP no Azure
• A interface web de administração XSA e o HANA Studio instalado na instância HANA

Para testar as etapas neste artigo, siga estas recomendações:

• Uma assinatura do Microsoft Entra. Se você não tiver um ambiente Microsoft Entra, você pode obter uma avaliação de um mês aqui
• Assinatura com logon único ativado para SAP HANA

Descrição do cenário

Neste artigo, você configura e testa o logon único do Microsoft Entra em um ambiente de teste.

• O SAP HANA suporta SSO iniciado por IDP .
• O SAP HANA oferece suporte ao provisionamento just-in-time de utilizadores.

Adicionando o SAP HANA da galeria

Para configurar a integração do SAP HANA no Microsoft Entra ID, você precisa adicionar o SAP HANA da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Entra ID>Enterprise apps>Novo aplicativo.
3. Na seção Adicionar da galeria, digite SAP HANA na caixa de pesquisa.
4. Selecione SAP HANA no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente de configuração, pode adicionar uma aplicação ao seu tenant, adicionar utilizadores/grupos à aplicação, atribuir funções e também configurar o SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para SAP HANA

Configure e teste o Microsoft Entra SSO com o SAP HANA usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no SAP HANA.

Para configurar e testar o Microsoft Entra SSO com o SAP HANA, execute as seguintes etapas:

1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
   1. Criar um utilizador de teste do Microsoft Entra - para testar o início de sessão único do Microsoft Entra com Britta Simon.
   2. Atribua o utilizador de teste do Microsoft Entra para permitir que Britta Simon use o início de sessão único do Microsoft Entra.
2. Configure o SAP HANA SSO - para configurar as configurações de logon único no lado do aplicativo.
   1. Criar utilizador de teste do SAP HANA - para ter um equivalente de Britta Simon no SAP HANA vinculado à representação do utilizador do Microsoft Entra.
3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Entra ID>Aplicações empresariais>SAP HANA>Início de sessão único.

3. Na página Selecione um método de logon único, selecione SAML.

4. Na página Configurar logon único com SAML, selecione o ícone de lápis para Configuração SAML Básica para editar as definições.

   

5. Na seção Configuração Básica do SAML, insira os valores para os seguintes campos:

   Na caixa de texto URL de resposta, digite uma URL usando o seguinte padrão:https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

   Nota

   O valor do URL de resposta não é real. Atualize o valor com o URL de resposta real. Entre em contato com a equipe de suporte ao cliente SAP HANA para obter os valores. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML.

6. O aplicativo SAP HANA espera as asserções SAML em um formato específico. Configure as seguintes declarações para este aplicativo. Você pode gerenciar os valores desses atributos na seção Atributos do usuário na página de integração de aplicativos. Na página Configurar Sign-On único com SAML, selecione o botão Editar para abrir a caixa de diálogo Atributos do Utilizador.

   

7. Na secção Atributos do usuário na caixa de diálogo Atributos & Declarações do Usuário, execute as seguintes etapas:

   a) Selecione ícone de edição para abrir a caixa de diálogo Gerir reclamações de utilizador.

   

   

   b) Na lista Transformação , selecione ExtractMailPrefix().

   c. Na lista Parâmetro 1 , selecione user.mail.

   d. Selecione Guardar.

8. Na página Configurar Sign-On Único com SAML, na secção Certificado de Assinatura SAML, selecione Download para baixar o XML de Metadados de Federação das opções fornecidas de acordo com a sua necessidade e salvá-lo em seu computador.

   

Criar e atribuir usuário de teste do Microsoft Entra

Siga as orientações do guia rápido para criar e atribuir uma conta de utilizador e crie uma conta de usuário de teste chamada B.Simon.

Configurar o SAP HANA SSO

1. Para configurar o início de sessão único no lado SAP HANA, inicie sessão na Consola Web do HANA XSA acedendo ao respetivo endpoint HTTPS.

   Nota

   Na configuração padrão, a URL redireciona a solicitação para uma tela de login, que requer as credenciais de um usuário autenticado do banco de dados SAP HANA. O usuário que entra deve ter permissões para executar tarefas de administração SAML.

2. Na interface Web XSA, vá para SAML Identity Provider. A partir daí, selecione o botão + no fundo do ecrã para exibir o painel Adicionar informações do provedor de identidade. Em seguida, siga os seguintes passos:

   

   a) No painel Adicionar Informações do Provedor de Identidade, cole o conteúdo do XML de Metadados (que você baixou) na caixa Metadados.

   

   b) Se o conteúdo do documento XML for válido, o processo de análise extrai as informações necessárias para os campos Assunto, ID da entidade e Emissor na área da tela Dados gerais . Ele também extrai as informações necessárias para os campos URL na área de ecrã Destino, por exemplo, os campos URL base e URL SingleSignOn (*).

   

   c. Na caixa Nome da área da tela Dados Gerais, insira um nome para o novo provedor de identidade SAML SSO.

   Nota

   O nome do IDP SAML é obrigatório e deve ser exclusivo. Ele aparece na lista de IDPs SAML disponíveis que é exibida quando você seleciona SAML como o método de autenticação para aplicativos SAP HANA XS a serem usados. Por exemplo, você pode fazer isso na área da tela Autenticação da ferramenta Administração de Artefato XS.

3. Selecione Salvar para salvar os detalhes do provedor de identidade SAML e adicionar o novo IDP SAML à lista de IDPs SAML conhecidos.

   

4. No HANA Studio, dentro das propriedades do sistema da guia Configuração, filtre as configurações por saml. Em seguida, ajuste o assertion_timeout de 10 seg para 120 seg.

   

Criar usuário de teste do SAP HANA

Para permitir que os usuários do Microsoft Entra façam login no SAP HANA, você deve provisioná-los no SAP HANA. O SAP HANA suporta just-in-time provisionamento, que é ativado por defeito.

Se você precisar criar um usuário manualmente, execute as seguintes etapas:

1. Abra o SAP HANA Studio como administrador e habilite o DB-User para SAML SSO.

2. Marque a caixa de seleção invisível à esquerda do SAML e selecione o link Configurar .

3. Selecione Adicionar para adicionar o IDP SAML. Selecione o IDP SAML apropriado e, em seguida, selecione OK.

4. Adicione a Identidade Externa (neste caso, BrittaSimon). Em seguida, selecione OK.

   Nota

   Você deve preencher o campo Identidade Externa para o usuário, e esse valor precisa corresponder ao campo NameID no token SAML do Microsoft Entra ID. A caixa de seleção Qualquer não deve ser marcada, pois essa opção requer que o IDP envie uma propriedade SPProviderID no campo NameID, que atualmente não é suportada pelo Microsoft Entra ID. Para obter mais informações, consulte Single Sign-On Using SAML 2.0.

5. Para fins de teste, atribua todas as funções XS ao usuário.

   

   Gorjeta

   Você deve conceder permissões apropriadas apenas para seus casos de uso.

6. Salve o usuário.

Teste de SSO

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Selecione Testar este aplicativo e você deve estar automaticamente conectado ao SAP HANA para o qual configurou o SSO

• Você pode usar o Microsoft My Apps. Ao selecionar o bloco SAP HANA em Meus aplicativos, você deve estar automaticamente conectado ao SAP HANA para o qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Conteúdo relacionado

O provisionamento do SAP Cloud Identity Services para o SAP HANA é um recurso beta disponível no SAP Business Technology Platform. Para obter mais informações, consulte como configurar o provisionamento de usuários do Microsoft Entra ID para o SAP Cloud Identity Services e como configurar o provisionamento de usuários do SAP Cloud Identity Services para o SAP HANA Database (Beta).

Depois de configurar o SAP HANA para SSO, você pode impor o controle de sessão, o que evita a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.