摘要：

作为SAP应用程序的SAML SSO身份提供商，Azure AD（Active Directory）已成为越来越流行的选择。Azure AD通过提供易于遵循的分步指南，使与[SAP HANA]、[SAP Analytics Cloud]等建立SAML SSO成为一项相对简单的任务。

Azure AD可以作为免费试用版提供，也可以作为其他MSFT产品/服务订阅的一部分提供。

SAP HANA，express edition[数据库和应用程序服务]是根据SAP free plan许可条款准备部署的docker映像。请注意，可能需要[docker hub帐户]才能访问映像。

首先要做的事。

如果您选择SAP HANA express docker映像，请按照部署[instructions]。

然后，您最终可以使用以下docker run命令运行映像：

在配置SAML SSO时，请记住这一点SAP HANA是应用程序或服务提供商（SP），超算云，Azure AD是身份提供商（IdP）。

为了在SP和IdP之间建立信任，我们需要交换各自的元数据描述符。

简而言之，SAP HANA服务提供商元数据将用于在IdP内创建应用程序，看云，大数据查询平台，反之亦然，AzureAD IDP的元数据将上载到SAP HANA。

为了简单起见，我将使用SAP HANA XS classic管理GUI演示SAML SSO设置：

其中"FQDN"表示SAP HANA数据库主机的完全限定域名，"xx"是SAP HANA主机实例号。

1。您可能需要编辑或更改服务提供商名称和组织属性。

这是我选择做的。或者你也可以用默认的设置去头部。

2。例如，将服务提供者元数据复制并保存到扩展名为.xml的文件中samlSP.xml文件.配置SAP HANA Azure AD enterprise应用程序时需要上载此文件。

3。现在是时候配置Azure AD SAP HANA应用程序了。

Azure门户访问

您可能有多个Azure帐户。选择允许您访问Azure AD的帐户。

从[主门户]菜单选择Azure Active Directory资源。

应打开Azure AD登录页。

选择创建企业应用程序以在Azure AD和SAP HANA之间建立信任。

Azure AD使用其*企业应用程序非常简单gallery*如下所示：

选择SAP应用程序库并进行应用程序集成选择：

a.创建您的SAP HANA应用程序。

请给它一个可分辨的名称，以便您以后可以方便地查阅它。您可能会注意到，Create按钮不知何故位于页面的最底部，一开始可能很难找到。

b.配置（以下屏幕截图中的步骤1-4）您刚刚创建的SAP HANA应用程序：

*请按照配置[指南]操作。*很可能您将上载SAP HANA服务提供商元数据。但是，您也可以选择手动配置（步骤1）中的所有值。

c.整个过程中最棘手的部分是声明管理（步骤2）。

实际上，Azure AD提供了多种将外部用户映射到身份声明的方法。

为了清楚起见，人工智能行业分析，我选择使用相同的声明管理选项如[SAP HANA集成教程]

所述，云购全球，请充分了解您可能选择的索赔管理选项。否则，您可能会花费大量时间尝试排除不太明显的错误。

d.下载Federated AzureAD SAML IDP元数据（步骤3）并将新的SAML IDP元数据添加到SAP HANA

重要的是验证SAML IDP证书是否已添加到SAML信任存储

e.配置数据库用户映射（步骤4）

我将现有的SAP HANA租户数据库用户映射到Azure AD外部标识（使用SAP HANA Studio）

您可能会注意到我使用SAP HANA系统用户[在HXE–租户数据库]上执行此活动。

测试SAML SSO

为了测试SAML SSO是否正常工作，通常会配置SAP HANA HTTPS InA服务

并将调用GetServerInfo动词：

至于检索SAP HANA EPM-MDS服务器端配置…

在侧注：如果SAML令牌不再有效并且必须续订，您将首先得到IDP登录屏幕的提示

这是所有人：）