内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

金山云_腾讯云相册_测评

2021-07-10 03:57 出处:欧普曼云计算 人气: 评论(0

在博客系列的这三个部分中,我将引导您完成配置SAML访问HANA Cockpit的步骤,使用azuread作为IdP。作为一个完整的故事,我还包括了配置Azure AD的步骤。

在配置联邦SAML:Azure AD到SAP HANA驾驶舱的第一部分我们讨论了HANA驾驶舱中的事实和限制,大数据是啥,例如将IdP映射到本地HANA用户和您不需要接触的配置区域。将联邦SAML:Azure AD配置到SAP-HANA-Cockpit第二部分我们将详细介绍这些领域:添加SAP HANA企业应用程序在Azure企业应用程序中配置SAP HANA SAML将用户分配到Azure安全组和SSO分配在Azure上测试SAP SAML单点登录在将联邦SAML:Azure AD配置到SAP HANA驾驶舱第三部分中我们将把一切安排妥当,让解决方案发挥作用:从IdP导入SAML元数据将IdP安全组映射到XSA角色集合添加带有HANA的SAML证书Assign Database Group

Single sign-on(SSO)是一种身份验证形式,允许用户访问,而无需用户每次都输入凭据。SAP HANA cockpit提供了配置SSO以访问cockpit本身(包括cockpit manager)和连接到注册数据库的选项。配置对驾驶舱本身的SSO访问意味着您无需提供驾驶舱用户凭据即可访问驾驶舱或驾驶舱管理器。

与Kerberos不同,SAML的体系结构更加分散,因此称为联邦系统。SAML提供了更高程度的灵活性,而不是与特定的IdP(如activedirectory)紧密相连。任何系统都可以充当身份提供者。只要您通过这个IdP(LDAP或SSO)进行了身份验证,您就可以访问任何服务提供商上的数据,因为这两个系统之间定义了信任关系。例如,可以使用Kerberos令牌通过SPNEGO对公司门户进行身份验证,SPNEGO提供到Business Objects的登录票证,Business Objects充当所有SAP HANA环境的身份提供者,并使用SAML断言。从该示例中注意到,登录到Windows时只需验证一次即可使解决方案正常工作。

在撰写本文时,HANA Cockpit中支持SSO第三方身份验证的最常见方法是Kerberos和SAML。

在SAP HANA Enterprise中实施SAML已有几年了,返利系统,我在复制SAP HANA Cockpit中的解决方案并不那么简单,因为有些问题无法在文档、博客文章或事件中找到/回答。这是因为大多数技术文档都在SAP-HANA企业环境中处理SAML,这在SAP-HANA-Cockpit中是完全不同的。继续阅读

SAP HANA COCKPIT基于HANA express edition(HEX),这是SAP HANA Standard/Enterprise的"精简版",从功能/授权角度来看有一定的局限性。这意味着配置与HANA企业平台(HEP)有些不同。不要跳转到"SAP HANA管理指南",即使SAP HANA驾驶舱管理指南提到它。例如,在HEP中,SAML/SSL配置是通过Web Dispatcher Administration完成的,由SAP HANA internal Web Dispatcher提供,XS Classic可通过:80/SAP/HANA/wdisp/admin/访问。但是,物联网架构,XS-classic引擎在HEX中是默认禁用的。即使您从SYSTEMDB启用它,当您尝试访问它时,也会遇到404页错误,这是必需的标准角色"sap.hana.xs文件.wdisp管理:"WebDispatcherAdmin"未在安装中提供。也不可能用公司名称和URL等组织细节来丰富SP。相关文件:https://blogs.sap.com/2017/08/13/sap-hana-2.0-express-edition-url-permissions-and-configuration-for-the-web-dispatcher/2049971–Web Dispatcher:内部HANA Web Dispatcher中不允许使用wdisp/system xx MSHOST2107899–HANA Web Dispatcher–多数据库–仅限系统数据库用户访问管理UI2696800–"503服务不可用",当使用带有HANA多租户数据库容器的外部Web Dispatcher时1990354–自HANA SP9起内部HANA Web Dispatcher的更改2502174–HANA基本操作系列–通过SSL/HTTPS保护HANA XS classic–使用Web Dispatcher Administration和pse容器(Microsoft CA edition)–SYSTEMDBSAP HANA XS高级驾驶舱取代旧的SAP HANA XS高级管理工具,该工具在HANA 2.0 SPS03中被宣布为"已弃用"。SAP HANA XS Advanced管理工具的所有功能现在都包含在SAP HANA XS Advanced驾驶舱中证书保存在数据库中。为了便于管理,可以直接在SAP HANA数据库中存储证书并配置其用法。这样,管理员就不需要操作系统访问权限来导入证书下图显示了数据库中存储在证书集合中的证书可用于哪些目的。在SAP HANA驾驶舱中可以完全管理数据库中的证书和证书集合。如果仍然使用文件系统PSE,请考虑按照SAP Note 2175664–将基于文件系统的X.509证书存储迁移到数据库中的证书存储。然而,新云,驾驶舱中还没有可用的CSR,所以仍然需要操作系统访问sapgenpse工具。数据库内证书的好处如下:使用SQL非常容易地管理证书证书包含在备份中证书中的更改将立即生效,无需重新启动无法将SAML IdP用户映射到本地HANA用户2644845–将SAML映射到HANA中的现有用户这是HEP和HANA驾驶舱的另一个区别。在HEP中,您需要创建本地用户及其各自的角色,并将其映射到IdP的"外部身份",在HANA驾驶舱中,您的IdP中维护授权,在我们的情况下,是通过安全组的Azure AD用户。优点是不需要在HANA数据库中创建本地用户,这就是SAML的好处:资源的松散耦合缺点是广告中的额外工作:为每个用户维护组。利大于弊,国内免费云服务器,因为根据你公司的广告模式,这可能不是一个受支持的方法。如果是这种情况,您可能需要查看其他方法,例如使用最近支持的Kerberos身份验证。

您现在清楚地了解了在HANA驾驶舱中配置SAML所需的限制和工具。

在本系列的下一部分中,我们将从Azure AD的角度讨论配置:将联邦SAML:Azure AD配置到SAP HANA驾驶舱第二部分

但在开始之前,请先熟悉总体配置:

配置对SAP HANA驾驶舱的SSO访问2569903–如何在HANA XSA上配置SAML身份验证

分享给小伙伴们:
本文标签: 金山腾讯相册测评

相关文章

评论

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

签名: 验证码: 点击我更换图片

评论列表