Tutoriel : Intégration de l’authentification unique (SSO) Microsoft Entra à SAP Fiori

Dans ce tutoriel, vous allez apprendre à intégrer SAP Fiori à Microsoft Entra ID. Quand vous intégrez SAP Fiori à Microsoft Entra ID, vous pouvez :

• Contrôler dans Microsoft Entra ID qui a accès à SAP Fiori.
• Permettez à vos utilisateurs d’être automatiquement connectés à SAP Fiori avec leurs comptes Microsoft Entra.
• Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

• Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
• Abonnement SAP Fiori pour lequel l’authentification unique est activée.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

• SAP Fiori prend en charge l’authentification unique lancée par le fournisseur de services

Notes

Pour l’authentification iFrame lancée par SAP Fiori, nous vous recommandons d’utiliser le paramètre IsPassive dans la requête d’authentification (AuthnRequest) SAML pour l’authentification silencieuse. Pour plus de détails sur le paramètre IsPassive, reportez-vous aux informations sur l’authentification unique SAML Microsoft Entra.

Ajout de SAP Fiori à partir de la galerie

Pour configurer l’intégration de SAP Fiori à Microsoft Entra, vous devez ajouter SAP Fiori à partir de la galerie à votre liste d’applications SaaS gérées.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie, tapez SAP Fiori dans la zone de recherche.
4. Sélectionnez SAP Fiori dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour SAP Fiori

Configurez et testez Microsoft Entra SSO avec SAP Fiori à l’aide d’un utilisateur test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur SAP Fiori associé.

Pour configurer et tester Microsoft Entra SSO avec SAP Fiori, effectuez les étapes suivantes :

1. Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
   1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
   2. Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
2. Configurer l’authentification unique SAP Fiori pour configurer les paramètres de l’authentification unique côté application.
   1. Créer un utilisateur de test SAP Fiori pour avoir un équivalent de B.Simon dans SAP Fiori lié à la représentation Microsoft Entra associée.
3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

1. Ouvrez une nouvelle fenêtre de navigateur web et connectez-vous à votre site d’entreprise SAP Fiori en tant qu’administrateur.

2. Vérifiez que les services http et https sont actifs, et que les ports appropriés sont affectés au code de transaction SMICM.

3. Connectez-vous à SAP Business Client pour le système SAP T01, où l’authentification unique est requise. Ensuite, activez la gestion de session de sécurité HTTP.

   1. Accédez au code de transaction SICF_SESSIONS. Tous les paramètres de profil appropriés sont affichés avec les valeurs actuelles. Ils doivent ressembler à l’exemple qui suit :

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Notes

      Ajustez les paramètres en fonction des besoins de votre organisation. Les paramètres précédents sont fournis uniquement à titre d’exemple.

   2. Si nécessaire, ajustez les paramètres dans le profil (par défaut) d’instance du système SAP et redémarrez le système SAP.

   3. Double-cliquez sur le client approprié pour activer la session de sécurité HTTP.

      

   4. Activez les services SICF suivants :

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Accédez au code de transaction SAML2 dans Business Client pour le système SAP [T01/122]. L’interface utilisateur de configuration s’ouvre dans une nouvelle fenêtre de navigateur. Dans cet exemple, nous utilisons Business Client pour le système SAP 122.

   

5. Entrez votre nom d’utilisateur et votre mot de passe, puis sélectionnez Log on (Connexion).

   

6. Dans la zone Nom du fournisseur, remplacez T01122 par http://T01122, puis sélectionnez Enregistrer.

   Notes

   Par défaut, le nom du fournisseur est au format <sid><client>. Microsoft Entra ID attend le nom au format <protocole>://<nom>. Nous vous conseillons de conserver https://<sid><client> comme nom du fournisseur, afin de pouvoir configurer plusieurs moteurs ABAP SAP Fiori dans Microsoft Entra ID.

   

7. Sélectionnez l’onglet Local Provider>Metadata (Fournisseur Local>Métadonnées).

8. Dans la boîte de dialogue SAML 2.0 Metadata (Métadonnées SAML 2.0), téléchargez le fichier XML de métadonnées généré et enregistrez-le sur votre ordinateur.

   

9. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

10. Accédez à Identité>Applications>Applications d’entreprise>SAP Fiori>Authentification unique.

11. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

12. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

    

13. Dans la section Configuration SAML de base, si vous disposez d’un fichier de métadonnées du fournisseur de services, suivez les étapes ci-dessous :

    1. Cliquez sur Charger un fichier de métadonnées.

       

    2. Cliquez sur le logo du dossier pour sélectionner le fichier de métadonnées, puis cliquez sur Charger.

       

    3. Une fois le fichier de métadonnées chargé, les valeurs Identificateur et URL de réponse sont renseignées automatiquement dans le volet Configuration SAML de base. Dans la zone URL de connexion, entrez une URL au format suivant : https://<your company instance of SAP Fiori>.

       Remarque

       Certains clients ont rencontré une erreur de type URL de réponse incorrecte configurée pour leur instance. Si vous recevez une telle erreur, utilisez les commandes PowerShell suivantes. Mettez d'abord à jour les URL de réponse dans l'objet d'application avec l'URL de réponse, puis mettez à jour le principal de service. Utilisez la commande Get-MgServicePrincipal pour obtenir l'ID du principal de service.

       $params = @{
          web = @{
             redirectUris = "<Your Correct Reply URL>"
          }
       }
       Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
       Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
       

14. L’application SAP Fiori attend les assertions SAML dans un format spécifique. Configurez les revendications suivantes pour cette application. Pour gérer ces valeurs d’attributs, dans le volet Configurer l’authentification unique avec SAML, sélectionnez Modifier.

    

15. Dans le volet Attributs et revendications de l’utilisateur, configurez les attributs de jetons SAML comme illustré dans l’image précédente. Effectuez ensuite les tâches suivantes :

    1. Sélectionnez Modifier pour ouvrir le volet Gérer les revendications des utilisateurs.

    2. Dans la liste Transformation, sélectionnez ExtractMailPrefix() .

    3. Dans la liste Paramètre 1, sélectionnez user.userprincipalname.

    4. Cliquez sur Enregistrer.

       

       

16. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez XML de métadonnées de fédération et sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

    

17. Dans la section Configurer SAP Fiori, copiez l’URL ou les URL appropriées en fonction de vos besoins.

    

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
   1. Dans le champ Nom d’affichage, entrez B.Simon.
   2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
   3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
   4. Sélectionnez Revoir + créer.
5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous autorisez B.Simon à utiliser l’authentification unique en lui accordant l’accès à SAP Fiori.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>SAP Fiori.
3. Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
4. Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
   1. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
   2. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
   3. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique SAP Fiori

1. Connectez-vous au système SAP et accédez au code de transaction SAML2. Une nouvelle fenêtre de navigateur s’ouvre avec la page de configuration SAML.

2. Pour configurer des points de terminaison pour un fournisseur d’identité approuvé (Microsoft Entra ID), accédez à l’onglet Trusted Providers (Fournisseurs approuvés).

   

3. Sélectionnez Add (Ajouter) puis Upload Metadata File (Charger le fichier de métadonnées) dans le menu contextuel.

   

4. Chargez le fichier de métadonnées que vous avez téléchargé. Cliquez sur Suivant.

   

5. Dans la page suivante, dans la zone Alias, entrez le nom d’alias. Par exemple, aadsts. Cliquez sur Suivant.

   

6. Vérifiez que la valeur de la zone Digest Algorithm est SHA-256. Cliquez sur Suivant.

   

7. Sous Single Sign-On Endpoints (Points de terminaison d’authentification unique), sélectionnez HTTP POST, puis suivant.

   

8. Sous Single Logout Endpoints (Points de terminaison de déconnexion unique), sélectionnez HTTP Redirect, puis suivant.

   

9. Sous Artifact Endpoints (Points de terminaison d’artefact), sélectionnez Suivant pour continuer.

   

10. Sous Authentication Requirements (Exigences d’authentification), sélectionnez Finish (Terminer).

    

11. Sélectionnez Trusted Provider>Identity Federation (Fournisseurs approuvés>Fédération des identités) en bas de la page. Sélectionnez Modifier.

    

12. Sélectionnez Ajouter.

    

13. Dans la boîte de dialogue Supported NameID Formats (Formats NameID pris en charge), sélectionnez Unspecified (Non spécifié). Cliquez sur OK.

    

    Les valeurs user ID Source (Source d’ID utilisateur) et user ID mapping mode (Mode de mappage d’ID utilisateur) déterminent le lien entre l’utilisateur SAP et la revendication Microsoft Entra.

    Scenario 1 : Mappage d’un utilisateur SAP à un utilisateur Microsoft Entra

    1. Dans SAP, sous Details of NameID Format "Unspecified" (Détails du format NameID « Unspecified »), notez les détails :

       

    2. Dans le portail Azure, sous Attributs et revendications de l’utilisateur, notez les revendications requises à partir de Microsoft Entra ID.

       

    Scénario 2 : Sélectionner un ID utilisateur SAP en fonction de l’adresse e-mail configurée dans SU01. Dans ce cas, l’ID de l’adresse e-mail doit être configuré dans SU01 pour chaque utilisateur nécessitant l’authentification unique.

    1. Dans SAP, sous Details of NameID Format "Unspecified" (Détails du format NameID « Unspecified »), notez les détails :

       

    2. Dans le portail Azure, sous Attributs et revendications de l’utilisateur, notez les revendications requises à partir de Microsoft Entra ID.

       

14. Sélectionnez Save (Enregistrer), puis Enable (Activer) pour activer le fournisseur d’identité.

    

15. Cliquez sur OK lorsque vous y êtes invité.

    

Créer un utilisateur de test SAP Fiori

Dans cette section, vous allez créer un utilisateur appelé Britta Simon dans SAP Fiori. Collaborez avec votre équipe d’experts SAP en interne ou avec le partenaire SAP de votre organisation pour ajouter l’utilisateur à la plateforme SAP Fiori.

Tester l’authentification unique (SSO)

1. Une fois le fournisseur d’identité Microsoft Entra ID activé dans SAP Fiori, essayez d’accéder à l’une des URL suivantes pour tester l’authentification unique (vous ne devriez pas être invité à entrer un nom d’utilisateur et un mot de passe) :

   • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
   • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

   Remarque

   Remplacez <sap-url> par le nom d’hôte SAP réel.

2. L’URL de test doit vous mener à la page d’application de test suivante dans SAP. Si la page s’ouvre, cela signifie que l’authentification unique Microsoft Entra ID est correctement configurée.

   

3. Si vous êtes invité à fournir un nom d’utilisateur et un mot de passe, activez la trace pour vous aider à diagnostiquer le problème. Utilisez l’URL suivante pour la trace :

   https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Étapes suivantes

Après avoir configuré SAP Fiori, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.