摘要:
作为SAP应用程序的SAML SSO身份提供商,Azure AD(Active Directory)已成为越来越流行的选择。Azure AD通过提供易于遵循的分步指南,使与[SAP HANA]、[SAP Analytics Cloud]等建立SAML SSO成为一项相对简单的任务。
Azure AD可以作为免费试用版提供,也可以作为其他MSFT产品/服务订阅的一部分提供。
SAP HANA,express edition[数据库和应用程序服务]是根据SAP free plan许可条款准备部署的docker映像。请注意,可能需要[docker hub帐户]才能访问映像。
首先要做的事。
如果您选择SAP HANA express docker映像,请按照部署[instructions]。
然后,您最终可以使用以下docker run命令运行映像:
在配置SAML SSO时,请记住这一点SAP HANA是应用程序或服务提供商(SP),超算云,Azure AD是身份提供商(IdP)。
为了在SP和IdP之间建立信任,我们需要交换各自的元数据描述符。
简而言之,SAP HANA服务提供商元数据将用于在IdP内创建应用程序,看云,大数据查询平台,反之亦然,AzureAD IDP的元数据将上载到SAP HANA。
为了简单起见,我将使用SAP HANA XS classic管理GUI演示SAML SSO设置:
其中"FQDN"表示SAP HANA数据库主机的完全限定域名,"xx"是SAP HANA主机实例号。
1。您可能需要编辑或更改服务提供商名称和组织属性。
这是我选择做的。或者你也可以用默认的设置去头部。
2。例如,将服务提供者元数据复制并保存到扩展名为.xml的文件中samlSP.xml文件.配置SAP HANA Azure AD enterprise应用程序时需要上载此文件。
3。现在是时候配置Azure AD SAP HANA应用程序了。
Azure门户访问
您可能有多个Azure帐户。选择允许您访问Azure AD的帐户。
从[主门户]菜单选择Azure Active Directory资源。
应打开Azure AD登录页。
选择创建企业应用程序以在Azure AD和SAP HANA之间建立信任。
Azure AD使用其*企业应用程序非常简单gallery*如下所示:
选择SAP应用程序库并进行应用程序集成选择:
a.创建您的SAP HANA应用程序。
请给它一个可分辨的名称,以便您以后可以方便地查阅它。您可能会注意到,Create按钮不知何故位于页面的最底部,一开始可能很难找到。
b.配置(以下屏幕截图中的步骤1-4)您刚刚创建的SAP HANA应用程序:
*请按照配置[指南]操作。*很可能您将上载SAP HANA服务提供商元数据。但是,您也可以选择手动配置(步骤1)中的所有值。
c.整个过程中最棘手的部分是声明管理(步骤2)。
实际上,Azure AD提供了多种将外部用户映射到身份声明的方法。
为了清楚起见,人工智能行业分析,我选择使用相同的声明管理选项如[SAP HANA集成教程]
所述,云购全球,请充分了解您可能选择的索赔管理选项。否则,您可能会花费大量时间尝试排除不太明显的错误。
d.下载Federated AzureAD SAML IDP元数据(步骤3)并将新的SAML IDP元数据添加到SAP HANA
重要的是验证SAML IDP证书是否已添加到SAML信任存储
e.配置数据库用户映射(步骤4)
我将现有的SAP HANA租户数据库用户映射到Azure AD外部标识(使用SAP HANA Studio)
您可能会注意到我使用SAP HANA系统用户[在HXE–租户数据库]上执行此活动。
测试SAML SSO
为了测试SAML SSO是否正常工作,通常会配置SAP HANA HTTPS InA服务
并将调用GetServerInfo动词:
至于检索SAP HANA EPM-MDS服务器端配置…
在侧注:如果SAML令牌不再有效并且必须续订,您将首先得到IDP登录屏幕的提示
这是所有人:)