Tutoriel : configurer les services d’identité de SAP Cloud pour l’approvisionnement automatique d’utilisateurs

Ce tutoriel vise à illustrer les étapes de configuration de Microsoft Entra ID et les services d’identité de SAP Cloud. L’objectif est de configurer Microsoft Entra ID pour provisionner et déprovisionner automatiquement les utilisateurs vers SAP Cloud Identity Services.

Remarque

Ce tutoriel décrit un connecteur basé sur le service de provisionnement d’utilisateurs Microsoft Entra. Pour découvrir les informations importantes sur ce que fait ce service, comment il fonctionne et consulter le forum aux questions, reportez-vous à l’article Automatiser l’approvisionnement et le désapprovisionnement d’utilisateurs dans les applications SaaS avec Microsoft Entra ID.

Prérequis

Le scénario décrit dans ce tutoriel part du principe que vous disposez des prérequis suivants :

Remarque

Cette intégration est également disponible à partir de l’environnement Microsoft Entra US Government Cloud. Vous pouvez trouver cette application dans la galerie d’applications Microsoft Entra US Government Cloud et la configurer de la même manière que vous le faites à partir du cloud public.

Attribuer des utilisateurs vers les services d’identité de SAP Cloud

Microsoft Entra ID utilise un concept appelé affectations pour déterminer les utilisateurs devant recevoir l’accès aux applications sélectionnées. Dans le cadre d’une approvisionnement automatique d’utilisateurs, seuls les utilisateurs auxquels une application a été attribuée dans Microsoft Entra ID sont synchronisés.

Avant de configurer et d’activer l’approvisionnement automatique d’utilisateurs, vous devez décider quels utilisateurs de Microsoft Entra ID ont besoin d’accéder aux services d’identité de SAP Cloud. Une fois que vous les avez choisis, attribuez ces utilisateurs aux services d’identité de SAP Cloud en suivant les instructions suivantes :

Conseils importants pour l’affectation des utilisateurs vers les services d’identité de SAP Cloud

  • Il est recommandé de n’affecter qu’un seul utilisateur Microsoft Entra aux services d’identité de SAP Cloud afin de tester la configuration de l’approvisionnement automatique d’utilisateurs. D’autres utilisateurs peuvent être affectés ultérieurement.

  • Lorsque vous affectez un utilisateur aux services d’identité de SAP Cloud, vous devez sélectionner un rôle valide propre à l’application (si disponible) dans la boîte de dialogue d’affectation. Les utilisateurs dont le rôle est Accès par défaut sont exclus de l’approvisionnement.

Configurer les services d’identité de SAP Cloud pour l’approvisionnement

  1. Connectez-vous à votre console d’administration de services d’identité de SAP Cloud. Accédez à Utilisateurs et autorisations > Administrateurs.

    Screenshot of the SAP Cloud Identity Services Admin Console.

  2. Appuyez sur le bouton +Add (+Ajouter) dans le panneau de gauche afin d’ajouter un nouvel administrateur à la liste. Choisissez Add System (Ajouter un système) et entrez le nom du système.

    Remarque

    L’utilisateur-administrateur dans les services d’identité de SAP Cloud doit être de type système. La création d’un utilisateur administrateur standard peut entraîner des erreurs non autorisé pendant le provisionnement.

  3. Sous Configurer les autorisations, activez le bouton bascule en regard de Gérer les utilisateurs.

    Screenshot of the SAP Cloud Identity Services Add SCIM.

  4. Vous recevrez un e-mail pour activer votre compte et définir un mot de passe pour SAP Cloud Identity Services.

  5. Copiez l’ID utilisateur (User ID) et le mot de passe (Password). Ces valeurs sont entrées respectivement dans les champs Nom d’utilisateur Administrateur et Mot de passe Administrateur. Cette opération se fait sous l’onglet Provisionnement de votre application SAP Cloud Identity Services.

Avant de configurer les services d’identité de SAP Cloud pour l’approvisionnement automatique d’utilisateurs avec Microsoft Entra ID, vous devez ajouter les services d’identité de SAP Cloud à partir de la galerie d’applications Microsoft Entra à votre liste d’applications SaaS managées.

Pour ajouter les services d’identité de SAP Cloud à partir de la galerie d’applications de Microsoft Entra, suivez les étapes ci-dessous :

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, tapez SAP Cloud Identity Services dans la zone de recherche.
  4. Sélectionnez SAP Cloud Identity Services dans le volet d’informations, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Configuration de l’approvisionnement automatique d’utilisateurs pour les services d’identité de SAP Cloud

Cette section vous guide tout au long des étapes de configuration du service d’approvisionnement Microsoft Entra pour créer, mettre à jour et désactiver des utilisateurs dans les services d’identité de SAP Cloud en fonction des affectations d’utilisateurs dans Microsoft Entra ID.

Conseil

Vous pouvez également choisir d’activer l’authentification unique basée sur SAML pour les services d’identité de SAP Cloud en suivant les instructions fournies dans le tutoriel sur l’authentification unique pour les services d’identité de SAP Cloud. L’authentification unique peut être configurée indépendamment de l’attribution automatique d’utilisateurs, bien que ces deux fonctionnalités se complètent.

Pour configurer l’approvisionnement automatique d’utilisateurs pour les services d’identité de SAP Cloud dans Microsoft Entra ID :

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise.

    Screenshot of Enterprise applications blade.

  3. Dans la liste des applications, sélectionnez SAP Cloud Identity Services.

    Screenshot of the SAP Cloud Identity Services link in the Applications list.

  4. Sélectionnez l’onglet Approvisionnement.

    Screenshot of the Manage options with the Provisioning option called out.

  5. Définissez le Mode d’approvisionnement sur Automatique.

    Screenshot of the Provisioning Mode dropdown list with the Automatic option called out.

  6. Dans la section Informations d’identification de l’administrateur, entrez https://<tenantID>.accounts.ondemand.com/service/scim dans URL de locataire. Entrez les valeurs User ID et Password récupérées plus tôt dans les champs Nom d’utilisateur de l’administrateur et Mot de passe de l’administrateur, respectivement. Cliquez sur Tester la connexion pour vérifier que Microsoft Entra ID peut se connecter aux services d’identité de SAP Cloud. Si la connexion échoue, vérifiez que votre compte de services d’identité de SAP Cloud dispose d’autorisations d’administrateur, puis réessayez.

    Screenshot of the Tenant URL and Token.

  7. Dans le champ E-mail de notification, entrez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur d’approvisionnement, puis cochez la case Envoyer une notification par e-mail en cas de défaillance.

    Screenshot of the Notification Email.

  8. Cliquez sur Enregistrer.

  9. Dans la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec les services d’identité de SAP Cloud.

    Screenshot of the SAP Cloud Identity Services User Mappings.

  10. Dans la section Mappages des attributs, passez en revue les attributs d’utilisateur qui sont synchronisés entre Microsoft Entra ID et les services d’identité de SAP Cloud. Les attributs sélectionnés comme propriétés de Correspondance sont utilisés pour faire correspondre les comptes d’utilisateur dans les services d’identité de SAP Cloud pour des opérations de mise à jour. Cliquez sur le bouton Enregistrer pour valider les modifications.

    Attribut Type Pris en charge pour le filtrage Requis par SAP Cloud Identity Services
    userName String
    emails[type eq "work"].value String
    active Boolean
    displayName String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager Informations de référence
    addresses[type eq "work"].country String
    addresses[type eq "work"].locality String
    addresses[type eq "work"].postalCode String
    addresses[type eq "work"].region String
    addresses[type eq "work"].streetAddress String
    name.givenName String
    name.familyName String
    name.honorificPrefix String
    phoneNumbers[type eq "fax"].value String
    phoneNumbers[type eq "mobile"].value String
    phoneNumbers[type eq "work"].value String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization String
    locale String
    timezone String
    userType String
    company String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute1 String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute2 String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute3 String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute4 String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute5 String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute6 String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute7 String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute8 String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute9 String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute10 String
    sendMail String
    mailVerified String
  11. Pour configurer des filtres d’étendue, reportez-vous aux instructions suivantes fournies dans Approvisionnement d’applications basé sur les attributs avec filtres d’étendue.

  12. Si vous souhaitez activer le service d’approvisionnement Microsoft Entra pour les services d’identité de SAP Cloud, modifiez l’état d’approvisionnement pour Activé dans la section Paramètres.

    Screenshot of Provisioning Status Toggled On.

  13. Définissez les utilisateurs que vous voulez approvisionner vers les services d’identité de SAP Cloud en choisissant les valeurs souhaitées dans l’Étendue de la section Paramètres.

    Screenshot of Provisioning Scope.

  14. Lorsque vous êtes prêt à effectuer l’approvisionnement, cliquez sur Enregistrer.

    Screenshot of Saving Provisioning Configuration.

Cette opération démarre la synchronisation initiale de tous les utilisateurs définis sous Étendue dans la section Paramètres. La synchronisation initiale prend plus de temps que les synchronisations suivantes, qui se produisent environ toutes les 40 minutes tant que le service de provisionnement Microsoft Entra est en cours d'exécution. Vous pouvez utiliser la section Détails de synchronisation pour analyser la progression et suivre les liens vers les rapports d’activité d’approvisionnement ; elle décrit toutes les actions effectuées par le service d’approvisionnement de Microsoft Entra sur les services d’identité de SAP Cloud.

Pour plus d’informations sur la lecture des journaux de provisionnement Microsoft Entra, consultez Rapports sur le provisionnement automatique de comptes d’utilisateur.

Limitations du connecteur

  • Le point de terminaison SCIM de services d’identité de SAP Cloud demande un format particulier pour certains attributs. Vous pouvez en savoir plus sur ces attributs et leur format spécifique ici.

Plus de ressources

Étapes suivantes