Configurar el inicio de sesión único en las herramientas de administración de la nube de SAP HANA

Como SAP HANA Cloud es una base de datos moderna como servicio (DBaaS), los usuarios finales pueden acceder a SAP HANA Cloud desde cualquier lugar con Internet público, ya sea en casa, en la oficina o incluso en un tercer espacio como una cafetería. Cuando una organización quiere migrar a SAP HANA Cloud, tEl método de autenticación es un componente crítico de la presencia de una organización en la nube. La autenticación de identidad controla el acceso a todos los datos y recursos de la nube. Las organizaciones necesitan un plano de control de identidad que refuerce su seguridad y mantenga sus datos en la nube a salvo de intrusos.

Las herramientas de administración de SAP HANA Cloud incluyen SAP HANA Cloud Central, SAP HANA cockpit y SAP HANA database explorer. De forma predeterminada, los administradores inician sesión en las herramientas de administración mediante SAP Identity Service. También puede usar su arrendatario del servicio SAP Identity Authentication incluido para iniciar sesión en las herramientas de administración (Establecer confianza y federación de proveedores de identidad personalizados para usuarios de plataforma [Feature Set B]). Además, puede configurar Arrendatario de autenticación de identidad de SAP como proxy para delegar las autenticaciones a su proveedor de identidad corporativa, lo que permite una integración perfecta y flexible con su infraestructura de autenticación de identidad existente.

¿Cómo puede iniciar sesión en la cabina de SAP HANA Cloud usando el inicio de sesión único? ¿Cómo puede conectarse a la base de datos de SAP HANA sin ingresar el usuario y la contraseña? Este blog muestra una solución en la que puede habilitar el inicio de sesión único de JSON Web Token (JWT SSO) para iniciar sesión en la cabina de SAP HANA Cloud y conectarse a la base de datos de SAP HANA en el explorador de bases de datos de SAP HANA. La identidad de los usuarios que acceden a la base de datos de SAP HANA desde la cabina o el explorador de la base de datos se puede autenticar mediante tokens emitidos por un proveedor de identidad de JWT de confianza. El usuario de la base de datos interna al que se asigna la identidad externa se utiliza para las comprobaciones de autorización durante la sesión de la base de datos.

Arquitectura de inicio de sesión único de extremo a extremo en SAP HANA Cloud

Habilitar el inicio de sesión de JWT SSO

1. Inicie sesión en SAP HANA Cloud cockpit como administrador de la base de datos.

Iniciar sesión como administrador de la base de datos

2. En el Descripción general de la base de datos página, haga clic Habilitar JWT SSOque se encuentra en la barra de herramientas en la parte superior de la página.

Habilitar JWT SSO

3. Confirme que desea habilitar JWT SSO.

Nota: JWT SSO debe habilitarse en cada base de datos de SAP HANA Cloud individualmente.

Confirmación de JWT SSO

4. Navegar a la Proveedores de identidad JWT aplicación en el Descripción general de la base de datos página para verificar los proveedores de identidad.

Aplicación de proveedores de identidad JWT

5. Puede ver un proveedor de identidad JWT creado por la cabina. La convención de nomenclatura para los proveedores de identidad es: XSUAA_JWT_PROVIDER___.

Proveedor de identidad JWT

6. Cambie el valor de origen al origen de su proveedor de identidad personalizado para los usuarios de la plataforma. Si anteriormente inició sesión en la cabina con su IdP personalizado antes de habilitar JWT SSO, este valor ya debería ser el origen de su IdP personalizado.

El origen de su proveedor de identidad personalizado

Crear un usuario de base de datos

1. Navegar a la Gestión de usuarios aplicación en el Descripción general de la base de datos página para crear y administrar usuarios de la base de datos.

Aplicación de gestión de usuarios

2. Edite un usuario de base de datos existente para editar su configuración; si el usuario no existe, cree un nuevo usuario de base de datos.

Usuario de base de datos

3. Sobre el Autenticación pestaña para el usuario de la base de datos, haga clic en Agregar identidad JWT.

Agregar proveedor de identidad JWT

4. Seleccione el proveedor de identidad de la lista desplegable y luego asígnelo manualmente a una identidad externa.

Asignación a una identidad externa

5. Ahora, puede volver a la Descripción general de la base de datos página y haga clic Iniciar sesión como un usuario diferente.

Iniciar sesión como un usuario diferente

6. Elige Iniciar sesión mediante inicio de sesión único. SAP HANA Cloud Cockpit creará una aserción JWT para el usuario que actualmente está conectado a la cabina y usará esta aserción para iniciar sesión en la base de datos de SAP HANA. Dependiendo de los roles o privilegios que el usuario de la base de datos haya asignado, solo tendrá acceso a algunas de las aplicaciones de la cabina.

Iniciar sesión a través de inicio de sesión único

7. Abra el explorador de base de datos SAP HANA, agregue una conexión de base de datos. Ahora puede habilitar el inicio de sesión único para iniciar sesión en su base de datos.

Autenticar usando el inicio de sesión único

¡Felicidades! Habilitó correctamente JWT SSO y configuró la asignación entre los usuarios de la base de datos y las identidades externas. Esta configuración permite el inicio de sesión único en la cabina de SAP HANA Cloud y las conexiones de base de datos en el explorador de base de datos de SAP HANA. Los usuarios ya no necesitan volver a autenticarse en las herramientas de administración de SAP HANA Cloud y tienen las autorizaciones basadas en los roles o privilegios asignados a los usuarios de su base de datos.

Espero que hayas encontrado útil esta entrada de blog. Déjame saber en los comentarios si tienes alguna pregunta.