Tutoriel : intégration de l’authentification unique (SSO) Microsoft Entra à SAP Business ByDesign

Dans ce tutoriel, vous allez apprendre à intégrer SAP Business ByDesign à Microsoft Entra ID. Quand vous intégrez SAP Business ByDesign à Microsoft Entra ID, vous pouvez :

• Contrôler les accès à SAP Business ByDesign depuis Microsoft Entra ID.
• Permettez à vos utilisateurs d'être automatiquement connectés à SAP Business ByDesign avec leurs comptes Microsoft Entra.
• Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

• Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
• Un abonnement SAP Business ByDesign pour lequel l’authentification unique est activée

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

• SAP Business ByDesign prend en charge l’authentification unique lancée par le fournisseur de services

Ajouter SAP Business ByDesign à partir de la galerie

Pour configurer l’intégration de SAP Business ByDesign à Microsoft Entra ID, vous devez ajouter SAP Business ByDesign depuis la galerie à votre liste d’applications SaaS managées.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie, tapez SAP Business ByDesign dans la zone de recherche.
4. Sélectionnez SAP Business ByDesign dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet Assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles et configurer l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester Microsoft Entra SSO

Configurez et testez l’authentification unique (SSO) Microsoft Entra avec SAP Business ByDesign à l’aide d’un utilisateur de test appelé B.Simon. Pour que SSO fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l'utilisateur associé dans SAP Business ByDesign.

Pour configurer et tester l’authentification unique Microsoft Entra avec SAP Business ByDesign, effectuez les étapes suivantes :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
   1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
   2. Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
2. Configurer l’authentification unique (SSO) SAP Business ByDesign pour configurer les paramètres de l’authentification unique côté application.
   1. Créer un utilisateur de test SAP Business ByDesign pour avoir dans SAP Business ByDesign un équivalent de Britta Simon lié à la représentation Microsoft Entra associée.
3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identité>Applications>Application d'entreprise>SAP Business ByDesign>Authentification unique.

3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

4. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

   

5. Dans la section Configuration SAML de base, effectuez les étapes suivantes :

   a. Dans la zone de texte URL de connexion, saisissez une URL au format suivant : https://<servername>.sapbydesign.com

   b. Dans la zone de texte Identificateur (ID d’entité) , saisissez une URL au format suivant : https://<servername>.sapbydesign.com

   Notes

   Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’URL de connexion et l’identificateur réels. Pour obtenir ces valeurs, contactez l’équipe de support technique SAP Business ByDesign. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.

6. L’application SAP Business ByDesign attend les assertions SAML dans un format spécifique. Configurez les revendications suivantes pour cette application. Vous pouvez gérer les valeurs de ces attributs à partir de la section Attributs utilisateur sur la page d’intégration des applications. Dans la page Configurer l’authentification unique avec SAML, cliquez sur le bouton Modifier pour ouvrir la boîte de dialogue Attributs utilisateur.

   

7. Cliquez sur l’icône Modifier pour changer la Valeur de nom d’identificateur.

   

8. Dans la section Gérer les revendications des utilisateurs , effectuez les étapes suivantes :

   

   a. Sélectionnez Transformation dans le champ Source.

   b. Dans la liste déroulante Transformation, sélectionnez ExtractMailPrefix() .

   Remarque

   Par défaut, SAP Business ByDesign utilise le format NameID non spécifié pour le mappage d’utilisateur. Cette application mappe le NameID des assertions SAML sur l’alias de l’utilisateur SAP Business ByDesign. En outre, cette application prend en charge le format d’ID du nom emailAddress. Dans ce cas, l’application mappe le NameID de l’assertion SAML sur l’adresse de messagerie de l’utilisateur SAP Business ByDesign des données de contact de l’employé SAP Business ByDesign. Pour plus d’informations, consultez Authentification unique avec SAP Business ByDesign.

9. Sur la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, cliquez sur Télécharger pour télécharger le fichier XML de métadonnées de fédération en fonction des options définies selon vos besoins, puis enregistrez-le sur votre ordinateur.

   

10. Dans la section Configurer SAP Business ByDesign, copiez les URL appropriées, comme requis pour l’application.

    

Créer un utilisateur de test Microsoft Entra

Dans cette section, créez un utilisateur de test appelé B.Simon.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
   1. Dans le champ Nom d’affichage, entrez B.Simon.
   2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
   3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
   4. Sélectionnez Revoir + créer.
5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, autorisez B.Simon à utiliser l’authentification unique en lui accordant l’accès à SAP Business ByDesign.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identité>Applications>Application d'entreprise>SAP Business ByDesign.

3. Dans la page de vue d’ensemble de l’application, recherchez la section Gérer et sélectionnez Utilisateurs et groupes.

4. Sélectionnez Ajouter un utilisateur, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.

5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.

6. Si l’application prend en charge différents rôles à affecter aux utilisateurs, vous pouvez sélectionner le rôle dans la liste déroulante Sélectionner un rôle. Si aucun rôle n’est disponible pour cette application, le rôle « Accès par défaut » est sélectionné.

7. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique SAP Business ByDesign

1. Connectez-vous à votre portail SAP Business ByDesign avec des droits d’administrateur.

2. Accédez à Application and User Management Common Task (Tâche courante d’application et de gestion des utilisateurs) et cliquez sur l’onglet Identity Provider (Fournisseur d’identité) .

3. Cliquez sur Nouveau fournisseur d’identité et sélectionnez le fichier XML de métadonnées que vous avez téléchargé. Après avoir importé les métadonnées, ’application charge automatiquement le certificat de signature ainsi que le certificat de chiffrement requis.

   

4. Pour inclure l’URL Assertion Consumer Service dans la requête SAML, sélectionnez Include Assertion Consumer Service URL (Inclure l’URL Assertion Consumer Service) .

5. Cliquez sur Activate Single Sign-On(Activer l’authentification unique).

6. Enregistrez vos modifications.

7. Cliquez sur l’onglet My System (Mon système).

   

8. Dans la zone de texte URL d’authentification Microsoft Entra ID, collez la valeur d’URL de connexion que vous avez copiée précédemment.

   

9. Précisez si l’employé peut choisir manuellement entre l’authentification à l’aide d’un ID d’utilisateur/mot de passe ou l’authentification unique en cliquant sur Manual Identity Provider Selection(Sélection manuelle du fournisseur d’identité).

10. Dans la section URL de l’authentification unique, spécifiez l’URL devant être utilisée par l’employé pour se connecter à l’application. Dans la liste déroulante URL Sent to Employee (URL envoyée à l’employé), vous pouvez choisir entre les options suivantes :

    Non-SSO URL

    Le système envoie uniquement l’URL du système normale à l’employé. L’employé ne peut pas se connecter à l’aide de l’authentification unique ; il doit donc utiliser un mot de passe ou un certificat.

    URL SSO

    Le système envoie uniquement l’URL SSO à l’employé. L’employé peut se connecter à l’aide de l’authentification unique. La demande d’authentification est redirigée via l’IdP.

    Sélection automatique

    Si l’authentification unique n’est pas activée, le système envoie l’URL du système normale à l’employé. Si l’authentification unique est activée, le système vérifie si l’employé possède un mot de passe. Le cas échéant, les URL SSO et les URL non SSO sont envoyées à l’employé. Toutefois, si l’employé ne possède aucun mot de passe, seule l’URL SSO est envoyée à l’employé.

11. Enregistrez vos modifications.

Créer un utilisateur de test pour SAP Business ByDesign

Dans cette section, vous allez créer un utilisateur appelé Britta Simon dans SAP Business ByDesign. Veuillez contacter l’équipe de prise en charge des clients de SAP Business ByDesign pour ajouter des utilisateurs sur la plateforme SAP Business ByDesign.

Notes

Assurez-vous que la valeur NameID correspond au champ de nom d’utilisateur dans la plateforme SAP Business ByDesign.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

1. Cliquez sur Tester cette application, qui redirige le navigateur web vers l’URL de connexion SAP Business ByDesign, où vous pouvez lancer le flux de connexion.

2. Accédez directement à l’URL d’authentification SAP Business ByDesign pour lancer le processus de connexion.

3. Vous pouvez utiliser Mes applications de Microsoft. Lorsque vous cliquez sur la vignette SAP Business ByDesign dans Mes applications, le navigateur web vous redirige vers l’URL d’authentification SAP Business ByDesign. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

• Maintenant que vous avez configuré l’authentification unique SAP Business ByDesign, vous pouvez appliquer le contrôle de session, qui protège votre organisation en temps réel contre l’exfiltration et l’infiltration de ses données sensibles. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.