Microsoft Entra ID を使用して SAP HANA for Single Sign-on を構成する

この記事では、SAP HANA と Microsoft Entra ID を統合する方法について説明します。 SAP HANA を Microsoft Entra ID と統合すると、次のことができます。

SAP HANA にアクセスできるユーザーを Microsoft Entra ID で制御する。
ユーザーが自分の Microsoft Entra アカウントを使って SAP HANA に自動的にサインインできるようにする。
1 つの場所でアカウントを管理します。

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

アクティブなサブスクリプションを持つ Microsoft Entra ユーザーアカウント。アカウントをまだお持ちでない場合は、無料でアカウントを作成できます。
次のいずれかのロール:

シングルサインオン (SSO) が有効な SAP HANA サブスクリプション
任意のパブリック IaaS、オンプレミス、Azure VM、または Azure 内の SAP Large Instances で実行している HANA インスタンス
XSA 管理 Web インターフェイス、および HANA インスタンスにインストールされている HANA Studio

注意

SAP HANA の運用環境を使用して、この記事の手順をテストすることはお勧めしません。最初にアプリケーションの開発環境またはステージング環境で統合をテストし、そのあとに運用環境を使用してください。

この記事の手順をテストするには、次の推奨事項に従います。

Microsoft Entra サブスクリプション。 Microsoft Entra 環境をお持ちでない場合は、ここで 1 か月の試用版を入手できます
SAP HANA でのシングルサインオンが有効なサブスクリプション

シナリオの説明

この記事では、テスト環境で Microsoft Entra のシングルサインオンを構成し、テストします。

SAP HANA では、 IDP Initiated SSO がサポートされます。
SAP HANA では、 Just-In-Time ユーザープロビジョニングがサポートされています。

注意

このアプリケーションの識別子は固定文字列値であるため、1 つのテナントで構成できるインスタンスは 1 つだけです。

ギャラリーからの SAP HANA の追加

Microsoft Entra ID への SAP HANA の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に SAP HANA を追加する必要があります。

Microsoft Entra 管理センターに、少なくともクラウドアプリケーション管理者としてサインインします。
Entra ID>でエンタープライズアプリ>を開き、新しいアプリケーションに進みます。
[ギャラリーからの追加] セクションで、検索ボックスに「SAP HANA」と入力します。
結果パネルから SAP HANA を選択し、アプリを追加します。お使いのテナントにアプリが追加されるのを数秒待機します。

または、エンタープライズアプリ構成ウィザードを使用することもできます。このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細を確認します。

SAP HANA 用に Microsoft Entra SSO を構成してテストする

B.Simon というテストユーザーを使用して、SAP HANA に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するには、Microsoft Entra ユーザーと SAP HANA の関連ユーザーとの間にリンク関係を確立する必要があります。

SAP HANA に対する Microsoft Entra SSO を構成してテストするには、次の手順を実行します。

Microsoft Entra SSO を構成 する - ユーザーがこの機能を使用できるようにします。
1. Microsoft Entra テストユーザーの作成 - Britta Simon で Microsoft Entra のシングルサインオンをテストします。
2. Microsoft Entra テストユーザーを割り当てる - Britta Simon が Microsoft Entra シングルサインオンを使用できるようにします。
SAP HANA SSO の構成 - アプリケーション側でシングルサインオン設定を構成します。
1. SAP HANA テストユーザーの作成 - SAP HANA で Britta Simon に対応するユーザーを作成し、そのユーザーを Microsoft Entra のユーザー表現とリンクさせます。
SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

Microsoft Entra 管理センターに、少なくともクラウドアプリケーション管理者としてサインインします。
Entra ID>企業用アプリケーション>SAP HANA>シングルサインオンする。
[ シングルサインオン方法の選択 ] ページで、[SAML] を選択 します。
[ SAML でのシングルサインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の鉛筆アイコンを選択して設定を編集します。
[ 基本的な SAML 構成] セクションで、次のフィールドの値を入力します。

[ 応答 URL ] テキストボックスに、次のパターンを使用して URL を入力します。 https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

注意

応答 URL は、実際の値ではありません。実際の応答 URL でこの値を更新します。値を取得するには、 SAP HANA クライアントサポートチームに問い合わせてください。「 基本的な SAML 構成 」セクションに示されているパターンを参照することもできます。
SAP HANA アプリケーションは、特定の形式で構成された SAML アサーションを受け入れます。このアプリケーションには、次の要求を構成します。これらの属性の値は、アプリケーション統合ページの「 ユーザー属性」 セクションから管理できます。 [ SAML を使用した単一 Sign-On のセットアップ ] ページで、[ 編集] ボタンを選択して [ ユーザー属性] ダイアログを 開きます。
[ ユーザー属性 と要求] ダイアログの [ ユーザー属性 ] セクションで、次の手順を実行します。

ある。 [ 編集] アイコン を選択して、[ ユーザー要求の管理 ] ダイアログを開きます。

b。変換の一覧から ExtractMailPrefix()を選択します。

c. パラメーター 1 の一覧から user.mail を選択します。

d. [保存] を選択します。
[ SAML を使用した単一 Sign-On のセットアップ ] ページの [SAML 署名証明書 ] セクションで、[ ダウンロード ] を選択し、要件に従って指定されたオプションから フェデレーションメタデータ XML をダウンロードし、コンピューターに保存します。

Microsoft Entra テストユーザーの作成と割り当て

ユーザーアカウントの作成と割り当てのクイックスタートのガイドラインに従って、B.Simon というテストユーザーアカウントを作成します。

SAP HANA の SSO の構成

SAP HANA 側でシングルサインオンを構成するには、それぞれの HTTPS エンドポイントに移動して HANA XSA Web コンソール にサインインします。

注意

既定の構成では、この URL で要求はサインイン画面にリダイレクトされ、認証済みの SAP HANA データベースユーザーの資格情報を要求されます。サインインするユーザーには、SAML 管理タスクを実行するアクセス許可が必要です。
XSA Web インターフェイスで、SAML ID プロバイダーに移動します。ここから画面の下部にある + ボタンを選択し、 + ウィンドウを表示します。その後、次の手順を実行します。

ある。 [ ID プロバイダー情報の追加 ] ウィンドウで、メタデータ XML (ダウンロードした) の内容を [ メタデータ ] ボックスに貼り付けます。

$[メタデータ] ボックスと [名前] ボックスが強調表示されている [Add Identity Provider Info]$ID プロバイダー情報の追加$ ペインを示すスクリーンショット。$

b。 XML ドキュメントの内容が有効な場合、解析プロセスは、[全般] データ画面領域の [サブジェクト]、[エンティティ ID]、および [発行者] フィールドに必要な情報を抽出します。また、[ 宛先 ] 画面領域の URL フィールドに必要な情報 ([ ベース URL] フィールドや [SingleSignOn URL (*) ] フィールドなど) も抽出されます。

c. [全般データ] 画面領域の [名前] ボックスに、新しい SAML SSO ID プロバイダーの名前を入力します。

注意

SAML IDP の名前は必須です。また、一意にする必要があります。 SAP HANA XS アプリケーションで使用する認証方法として SAML を選択すると表示される、使用可能な SAML IDP の一覧に表示されます。たとえば、XS アーティファクト管理ツールの [認証 ] 画面領域でこれを行うことができます。
[ 保存] を選択して SAML ID プロバイダーの詳細を保存し、新しい SAML IDP を既知の SAML IDP の一覧に追加します。
HANA Studio の [ 構成 ] タブのシステムプロパティ内で、saml で設定をフィルター処理 します。次に 、assertion_timeout を 10 秒 から 120 秒に調整します。

SAP HANA のテストユーザーを作成する

SAP HANA への Microsoft Entra ユーザーのサインインを有効にするには、SAP HANA でプロビジョニングする必要があります。 SAP HANA では、 Just-In-Time プロビジョニングがサポートされています。この設定は既定で有効になっています。

ユーザーを手動で作成する必要がある場合は、次の手順を実行します。

注意

ユーザーが使う外部認証を変更することができます。 Kerberos などの外部システムを使用して認証できます。外部 ID の詳細については、ドメイン管理者にお問い合わせください。

SAP HANA Studio を管理者として開き、SAML SSO の DB-User を有効にします。
SAML の左側にある非表示のチェックボックスをオンにし、[構成] リンクを選択します。
[ 追加] を選択して SAML IDP を追加します。適切な SAML IDP を選択し、[ OK] を選択します。
外部 ID (この場合は BrittaSimon) を追加します。次に、[ OK] を選択します。

注意

ユーザーの 外部 ID フィールドを設定する必要があり、その値は Microsoft Entra ID の SAML トークンの NameID フィールドと一致する必要があります。このオプションでは、現在 Microsoft Entra ID ではサポートされていない NameID フィールドに SPProviderID プロパティを送信する IDP が必要であるため、[任意] チェックボックスをオンにしないでください。詳細については、「 SAML 2.0 を使用した単一 Sign-On」を参照してください。
テスト目的で、すべての XS ロールをユーザーに割り当てます。

ヒント

ユースケースに適切なアクセス許可のみを付与する必要があります。
ユーザーを保存します。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングルサインオン構成をテストします。

[ このアプリケーションをテストする] を選択すると、SSO を設定した SAP HANA に自動的にサインインします
Microsoft マイアプリを使用することができます。マイアプリで [SAP HANA] タイルを選択すると、SSO を設定した SAP HANA に自動的にサインインします。マイアプリの詳細については、「マイアプリの概要」を参照してください。

SAP Cloud Identity Services から SAP HANA へのプロビジョニングは、SAP Business Technology Platform で利用できるベータ機能です。詳細については、 Microsoft Entra ID から SAP Cloud Identity Services へのユーザーのプロビジョニングを構成する方法と、 SAP Cloud Identity Services から SAP HANA Database (Beta) へのユーザーのプロビジョニングを構成する方法を参照してください。

SSO 用に SAP HANA を構成したら、組織の機密データの流出と侵入をリアルタイムで防ぐセッションコントロールを適用できます。セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を適用する方法について説明します。

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-04-30