Configuración de SSO de SAP HANA local y en la nube de SAP Analytics con el proveedor de identidad de Azure
By s4pcademy
Descripción general
En este blog, describí la nube de análisis de SAP para la configuración local de SAP HANA SAML SSO a través del proveedor de identidad AZURE.
Los sistemas back-end y en la nube de SAP SAC deben estar conectados a través del mismo proveedor de IDP.
DESCARGO DE RESPONSABILIDAD
El contenido de esta publicación de blog se proporciona «TAL CUAL». Esta información podría contener inexactitudes técnicas, errores tipográficos e información desactualizada. Este documento puede ser actualizado o cambiado sin previo aviso en cualquier momento. Por lo tanto, el uso de la información es bajo su propio riesgo. En ningún caso, SAP será responsable por daños especiales, indirectos, incidentales o consecuentes que resulten del uso de este documento o estén relacionados con él.
Objetivo
Este documento trató de incluir todos los pasos básicos para la conexión de datos en vivo de SAP SAC a través de SAML SSO.
SAP SAC Data Source HANA Live Connection a través de SAML SSO AZ IDP
Pasos: –
- Configurar la autenticación SAP SAC a través de AZURE IDP SAML SSO
- Configure Hana XS SSL (habilitar HTTPS) para la configuración de SAC CORS
- Configurar HANA Live Connection a través de SAML SSO AZ IDP
Configurar la autenticación SAP SAC a través de AZURE IDP SAML SSO
Seguí el blog a continuación para configurar SAP Analytics Cloud con Azure AD
https://blogs.sap.com/2019/08/19/integrating-sap-analytics-cloud-with-azure-ad-saml/
Configure Hana XS SSL (habilitar https) para la configuración de SAC CORS
Seguí el blog a continuación para configurar la configuración de SAC CORS
Configurar SAP SAC HANA Live Connection a través de SAML SSO AZ IDP
- Azure AD SSO para SAP HANA
Siga estos pasos para habilitar Azure AD SSO en Azure Portal.
Vaya a Azure AD:- Aplicación empresarial –> SAPHANA –> Configurar el inicio de sesión único con SAML
Inicie sesión en la URL de administración de Hana xs (Inicie sesión en https://
Descargue los siguientes metadatos de la URL xs del administrador de HANA
Proporcione los detalles SAML de SAP Hana DB Basis o cargue el XML de metadatos de Hana en la siguiente pantalla AZURE
- Sobre el Configuración básica de SAML ingrese los valores para los siguientes campos: En la sección URL de respuesta cuadro de texto, escriba una URL usando el siguiente patrón: https://
/sap/hana/xs/saml/login.xscfunc - La aplicación SAP HANA espera las aserciones SAML en un formato específico. Configure las siguientes notificaciones para esta aplicación. Puede gestionar los valores de estos atributos desde la Sección de atributos de usuario en la página de integración de la aplicación. Sobre el Configurar el inicio de sesión único con SAML página, haga clic en el Editar botón para abrir Atributos de usuario diálogo.
3. En el Atributos de usuario sección sobre el Atributos de usuario y reclamos cuadro de diálogo, realice los siguientes pasos:
- Haga clic en el icono de editar para abrir el Administrar reclamos de usuarios diálogo.
- Desde el Transformación lista, seleccione Extraer prefijo de correo ().
- Desde el Parámetro 1 lista, seleccione usuario.mail.
- Hacer clic Ahorrar.
4. En el Configurar el inicio de sesión único con SAML página, en la Certificado de firma SAML sección, haga clic en Descargar para descargar el XML de metadatos de federación de las opciones dadas según sus requisitos y guárdelo en su computadora.
Asigne el usuario de Azure AD
AÑADIR Asigne usuarios o grupos a la siguiente pantalla
Configurar SAP HANA SSO con Azure IDP
- Inicie sesión en https://
: puerto https/sap/hana/xs/admin/
Vaya al proveedor de identidad de SAML y agregue (cargue) el XML de metadatos de la federación de Azure.
copie y pegue los metadatos de Azure idp en la siguiente pantalla (descargados de Federation Metadata XML)
Todos los detalles a continuación se completan automáticamente después de cargar el XML anterior
Creación dinámica de usuarios habilitada
Copie y pegue la URL base en una sola URL de cierre de sesión
- En base de datos HANA aserción_tiempo de esperael parámetro es de 10 seg a 120 seg.
Into Hana xs Administrador de Hana –> Administración de artefactos XS
Vaya a sap -> bc -> ina -> servicio -> v2 para ver la página de administración de seguridad de SAP
Habilite SAML y agregue Azure IDP en INA, Servicio y artefacto V2 xs
CORS ya está habilitado, asegúrese de exponer debajo de los encabezados
- Contenido web personalizado necesario para la conexión de datos en vivo de SAC
- Inicie sesión en el IDE web de su servidor SAP HANA –> https://
- Navegue a sap.bc.ina.service.v2 y haga clic derecho en v2 y cree un nuevo archivo con el nombre auth.html
Copie y pegue el siguiente código
Haga clic derecho en V2 y active todo
Cree un archivo más con el nombre .xsaccess y copie la siguiente sintaxis y active todo.
{
«expuesto»: cierto,
«prevenir_xsrf»: verdadero,
«autenticación»: [
{
“method” : “Basic”
}],
“reescribir_reglas”: [
{
“source”: “(GetResponse|Perspectives|GetVersion|GetServerInfo|Analytics|Metadata|Planning).*”,
“target”: “ina_v2.xscfunc?service=$0”
}
],
«autorización»: [
“sap.bc.ina.service.v2::Execute”
],
“corazón”: {
«habilitado»: verdadero,
“permitir métodos”: [“GET”, “POST”, “HEAD”, “OPTIONS”, “PUT”, “DELETE”],
«permitir origen»: [https://your SAC url/],
«edad máxima»: 3600,
«permitir encabezados»: [“Origin”, “Accept”, “X-Requested-With”, “Content-Type”, “Access-Control-Request-Method”, “Access-Control-Request-Headers”, “Authorization”, “X-Sap-Cid”, “X-Csrf-Token”],
«exponer encabezados»:[“Accept”, “Authorization”, “X-Requested-With”, “X-Sap-Cid”, “Access-Control-Allow-Origin”, “Access-Control-Allow-Credentials”, “X-Csrf-Token”, “Content-Type”]
},
«cache_control»: «sin caché, sin almacenamiento»,
“encabezados”: {
«habilitado»: verdadero,
«Cabeceras personalizadas»: [ {“name”:”Access-Control-Allow-Credentials”,”value”:”true”} ]
}
}
- Asignación de usuarios Asignar usuario de Hana con ID de correo electrónico o usuario de AZURE AD
Habilite la configuración de SAML (verá AZ IDP al hacer clic en AGREGAR), después de agregar SAML IDP y proporcionar el correo electrónico del usuario de identidad externa
Puede mapear múltiples usuarios con una identificación de usuario de hana
Nota: – Asegúrese de que el correo electrónico de identidad externa sea el mismo que AZURE AD
- Asegúrese de que los siguientes roles estén asignados al usuario Usuario de Hana
sap.hana.xs.admin.roles::SAMLAdministrator
sap.hana.xs.admin.roles::TrustStoreAdministrator
sap.hana.xs.wdisp.admin::WebDispatcherAdmin
sap.hana.xs.admin.roles::RuntimeConfAdministrador
sap.bc.ina.service.v2.userRole::INA_USER
Cree una conexión de datos en vivo de SAP SAC cloud hana
Ir a conexiones haga clic en +
Seleccione SAP HANA
Proporcione el nombre de host de Hana y el número de puerto HTTPS con una conexión directa
Haga clic en Aceptar, y una ventana emergente aparecerá y desaparecerá automáticamente, y la configuración de la conexión
Verificar conexión:-
Vaya a Modelador -> modelo de datos en vivo -> seleccione SAP HANA y elija el nombre de la conexión
Una vez que haga clic en la fuente de datos, verá todas las fuentes de Hana del backend
Notas de SAP de referencia:-
https://learn.microsoft.com/en-us/azure/active-directory/saas-apps/saphana-tutorial2821994: SAML SSO a HANA falla debido a la falta de asignación de parámetros de usuario
2596646: no se pudo conectar al sistema en SAP Analytics Cloud (SAC)
2935113: la conexión HANA en vivo con SAML SSO habilitado con Azure AD como proveedor de identidad (IdP) deja de funcionar repentinamente con el siguiente error en SAP Analytics Cloud (SAC)
ventajas:-
Después de la configuración y el mapeo de usuarios, se creará una conexión de datos en vivo a SAP HANA sin volver a autenticarse usando SAML SSO
Espero que este documento le ayude con el Configuración de SAP Analytics Cloud y On-Premise SAP HANA SSO con Azure Identity Provider.
¡Salud!
Anikesh Jyotishi
