Free Trialではじめる SAP HANA Cloud: SACとのSSOの設定

本ブログでは、SAP HANA Cloud (以下、「HANA Cloud」) を初めて使われる方を対象に、Free Trial 環境を使用した操作手順を解説します。

本内容は「DBエンジニア」向けの内容になります。

今回は「SAC(SAP Analytics Cloud) からHANA Cloudにシングルサインオンで接続する設定」方法についてご紹介します。

※ 本ブログは「SAP Analytics CloudとSAP HANA Cloudとの連携」と連動した内容になっています。

SAC Free Trial に登録する

下記のサイトにからSAC Free Trialに登録します。

Webサイトでの登録後、ユーザー確認やアクティベートに関連するメールが送られてくるので、手順にしたがって SAC Free Trial 環境を有効にしてください。

※ 「Welcome to SAP Analytics Cloud」メールには、SACのFree Trialへのアクセス情報が記載されているので、大事に保管してください。

SAC の接続設定

それでは、SACからHANA Cloudへの接続設定を行います。

まず、SACのトップ画面の左上の三本線のアイコンをクリックするとメニュー表記が出てきますので、こちらをクリックして「接続」を選択します。

画面右上の「＋」アイコンをクリックして新たなHANA Cloudへの接続を追加します。

「ライブデータに接続」から「SAP HANA」を選択してください。

HANA Cloudへり接続情報を入力します。

任意の接続名を入力し、下記画面と同様に入力します。

・接続タイプ : SAP HANA Cloud

・認証方法 : SAML シングルサインオン

を選択します。

HANA Cloudのホスト名は、SAP BTPコックピットの画面から対象HANA Cloudインスタンスの「SQLエンドポイントのコピー」でコピーすることができます。

ただし、末尾に「:443」が付与されているので、入力画面ではそれらの文字列を削除してください。

必要な情報が入力できたら、「署名証明書ダウンロード」ボタンをクリックして証明書をローカルPCにダウンロードしてください。

ダウンロード後、この画面は閉じずにそのままにしてください。

HANA Cloud側の設定

それでは、画面を切り替えて、HANA Cloud側の設定に移ります。

手順としては下記の通りです。

1. 証明書のインポート

2. SAML Identity Providerの登録

3. 証明書コレクションの作成

4. 一般DBユーザーへの認証設定

SAP HANA CockpitにDBADMINでログインします。

まずはSACからダウンロードした署名証明書をHANA Cloudにインポートします。

SAP HANA Cockpitのトップ画面から「Certificate Store」のリンクをクリックしてください。下記画面の手順にしたがって、SACからダウンロードした証明書をインポートします。

続いて、SAML Identity Provider を登録します。

同じくSAP HANA Cockpitのトップ画面から「SAML Identity Providers」のリンクをクリックします。

下記の手順にしたがって、Identity Providerを登録します。

Identity Provider Nameには任意の名前を入力して、Entity IDには、SACの接続設定画面に表示されている「プロバイダ名」をCopy & Pasteしてください。

※ 下記はSACの接続設定画面です。

続いて、証明書コレクションを作成します。

SAP HANA Cockpitのトップ画面から「Certificate Collections」のリンクをクリックして下記の手順の通り、証明書コレクションを追加します。コレクション名には任意の名前を付けてください。

このコレクションに先ほど登録した証明書を追加します。

続いてこのコレクションの「目的(Purpose)」を下記の手順の通り、編集します。

意図としては、「SAMLを使った認証で登録したIdentity Providerと連携する」とボンヤリと理解するだけでまずは良いかと思います。

以上でSAML 認証を利用したシングルサインオンのための基本的な設定は完了です。

いよいよ、各DBユーザーがSACと連携してシングルサインオンするための設定に進みます。

SAP HANA Cockpitのトップ画面から「User Management」のリンクをクリックします。

SSO対象の一般DBユーザー(ここではKIMIKAZU_KABATA)を検索し、「Edit」ボタンをクリックします。

「SAML – You must add at least one identity provider」をチェックして「Add SAML Identity」ボタンをクリックします。

先ほど登録したIdentity Porviderである「SAC_TRIAL_IDP」を選択し、「Automatic Mapping by Provider」を「OFF」に設定します。

そして、「External Identity」には「メールアドレス」を入力します。このメールアドレスは「SACにログインする時に利用するメールアドレス」になります。

※ 今回のIdentity Providerでは、「メールアドレス」によって「同一人物として認識する方法」を取っているので、DBユーザーの「KIMIKAZU_KABATA」がマッピングされています。

Identity Providerによっては「社員番号」によって「同一人物として認識する方法」を取っている場合もあるので、その時は「External Identity」に社員番号を記載します。

詳しい仕組みについては、社内のIdentity Provider 管理者にご確認ください。

以上の設定が終わったら、SAC側の接続設定画面に戻り、「OK」ボタンをクリックして終了します。

無事、シングルサインオンの設定が完了すると上記のような画面に遷移します。

もし、接続設定に不備があると下記のようなメッセージが表示されます。

再度、HANA Cloud側の一般DBユーザーの設定やチェックボックスの内容など確認してください。

※ SACとSAML認証をする時は、DBユーザーの設定としてODBC/JDBCの接続が有効になっている必要があります。前回のこちらのブログでの一般DBユーザーの設定内容も再確認してください。

次回は、いよいよ、SACを利用してデータを可視化します。

お疲れさまでした。

次回 : SACでのモデル及びストーリーの作成

参考 : SAP Analytics CloudとSAP HANA Cloudとの連携

補足:

「SAML認証」仕組みをご存じのない方でも、まずは今回の設定を通じて「何処で何を設定しているのか」を理解しながら、詳しい仕組みについて学びを深めていただけたらと思います。

(そういう私も勉強中ですし、深い仕組みについてはあまり理解していませんが…)

下記のブログも参考に詳しい情報やマニュアルもご確認ください。

SAP Blog : SACからSAP HANA Cloud へのシングルサインオン接続