Tutoriel : intégration de l’authentification unique (SSO) Microsoft Entra à SAP Concur Travel and Expense

Dans ce tutoriel, vous allez apprendre à intégrer SAP Concur Travel and Expense à Microsoft Entra ID. Lorsque vous intégrez SAP Concur Travel and Expense à Microsoft Entra ID, vous pouvez :

  • Contrôler dans Microsoft Entra ID qui a accès à SAP Concur Travel and Expense.
  • Permettre à vos utilisateurs de se connecter automatiquement à SAP Concur Travel and Expense avec leurs comptes Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Un abonnement SAP Concur Travel and Expense
  • Un rôle « Company Administrator » (Administrateur d’entreprise) sous votre compte d’utilisateur Concur. Vous pouvez vérifier si vous disposez de l’accès adéquat en accédant à Concur SSO Self-Service Tool (Outil libre-service d’authentification unique Concur). Si vous ne disposez pas de l’accès, contactez le chef de projet d’implémentation ou de support Concur.

Description du scénario

Dans ce tutoriel, vous configurez et vous testez l’authentification unique Microsoft Entra.

  • SAP Concur Travel and Expense prend en charge l’authentification unique initiée par le fournisseur d’identité et le fournisseur de services.
  • SAP Concur Travel and Expense prend en charge le test de l’authentification unique dans l’environnement de production et dans l’environnement d’implémentation.

Notes

L’identificateur de cette application est une valeur de chaîne fixe pour chacune des trois régions : États-Unis, EMEA et Chine. Ainsi, une seule instance peut être configurée pour chaque région dans un locataire.

Pour configurer l’intégration de SAP Concur Travel and Expense dans Microsoft Entra ID, vous devez ajouter SAP Concur Travel and Expense, depuis la galerie, à votre liste d’applications SaaS gérées.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, saisissez SAP Concur Travel and Expense dans la zone de recherche.
  4. Sélectionnez SAP Concur Travel and Expense dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour SAP Concur Travel and Expense

Configurer et tester l’authentification unique Microsoft Entra avec SAP Concur Travel and Expense à l’aide d’un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur associé dans SAP Concur Travel and Expense.

Pour configurer et tester l’authentification unique Microsoft Entra avec SAP Concur Travel and Expense, procédez comme suit :

  1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
    1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
    2. Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurer l’authentification unique de SAP Concur Travel and Expense pour configurer les paramètres de l’authentification unique côté application.
    1. Créer un utilisateur de test SAP Concur Travel and Expense pour avoir un équivalent de B.Simon dans SAP Concur Travel and Expense lié à la représentation utilisateur Microsoft Entra.
  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identity>Applications>Applications d’entreprise>SAP Concur Travel and Expense>Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de modification/stylet de Configuration SAML de base pour modifier les paramètres.

    Edit Basic SAML Configuration

  5. Dans la section Configuration SAML de base, l’application est préconfigurée en mode Lancement par le fournisseur d’identité et les URL nécessaires sont déjà préremplies avec Azure. L’utilisateur doit enregistrer la configuration en cliquant sur le bouton Enregistrer.

    Notes

    L’identificateur (ID d’entité) et l’URL de réponse (URL Assertion Consumer Service) sont spécifiques à la région. Veuillez les sélectionner en fonction du centre de données de votre entité Concur. Si vous ne connaissez pas le centre de données de votre entité Concur, contactez le support technique Concur.

  6. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de modification/stylet pour Attribut utilisateur afin de modifier les paramètres. L’identifiant utilisateur unique doit correspondre à l’identifiant de connexion de l’utilisateur Concur. En règle générale, vous devez remplacer user.userprincipalname par user.mail.

    Edit User Attribute

  7. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez XML de métadonnées de fédération et sélectionnez Télécharger pour télécharger les métadonnées et les enregistrer sur votre ordinateur.

    The Certificate download link

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser B.Simon à utiliser l’authentification unique en lui accordant l’accès à SAP Concur Travel and Expense.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identity>Applications>Applications d’entreprise>SAP Concur Travel and Expense.

  3. Dans la page de vue d’ensemble de l’application, recherchez la section Gérer et sélectionnez Utilisateurs et groupes.

  4. Sélectionnez Ajouter un utilisateur, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.

  5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.

  6. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.

  7. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique de SAP Concur Travel and Expense

  1. Dans une autre fenêtre de navigateur Web, vous devez charger le fichier XML des métadonnées de fédération téléchargé vers Concur SSO Self-Service Tool et vous connecter à votre site d’entreprise SAP Concur Travel and Expense en tant qu’administrateur.

  2. Cliquez sur Ajouter.

  3. Entrez un nom personnalisé pour votre fournisseur d’identité, par exemple « Microsoft Entra ID (US) ».

  4. Cliquez sur Upload XML File (Charger le fichier XML) et joignez le fichier XML de métadonnées de fédération que vous avez téléchargé.

  5. Cliquez sur Add Metadata (Ajouter les métadonnées) pour enregistrer la modification.

    Concur SSO self-service tool screenshot

Créer un utilisateur de test SAP Concur Travel and Expense

Dans cette section, vous créez un utilisateur appelé B.Simon dans SAP Concur Travel and Expense. Collaborez avec l’équipe du support technique de Concur pour ajouter des utilisateurs à la plateforme SAP Concur Travel and Expense. Les utilisateurs doivent être créés et activés avant que vous utilisiez l’authentification unique.

Remarque

L’ID de connexion Concur de B.Simon doit correspondre à l’identificateur unique de B.Simon sur Microsoft Entra ID. Par exemple, si l’identificateur unique Microsoft Entra de B.Simon est B.Simon@contoso.com. l’ID de connexion Concur de B.Simon doit également être B.Simon@contoso.com.

Configurer l’authentification unique mobile Concur

Pour activer l’authentification unique mobile Concur, vous devez fournir à l’équipe de support technique Concur l’URL de l’accès utilisateur. Suivez les étapes ci-dessous pour obtenir l’URL de l’accès utilisateur auprès de Microsoft Entra ID :

  1. Accédez à Applications d’entreprise.
  2. Cliquez sur SAP Concur Travel and Expense.
  3. Cliquez sur Propriétés.
  4. Copiez l’URL de l’accès utilisateur, puis communiquez-la à l’équipe de support.

Notes

L’option libre-service pour configurer l’authentification unique n’étant pas disponible, collaborez avec l’équipe du support technique Concur pour activer l’authentification unique mobile.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

Lancée par le fournisseur de services :

  • Cliquez sur Tester cette application. Vous êtes alors redirigé vers l’URL d’authentification de SAP Concur Travel and Expense où vous pouvez lancer le flux de connexion.

  • Accédez directement à l’URL de connexion de SAP Concur Travel and Expense pour initier le flux de connexion.

Lancée par le fournisseur d’identité :

  • Cliquez sur Tester cette application ; vous devez être automatiquement connecté à l’instance de SAP Concur Travel and Expense pour laquelle vous avez configuré l’authentification unique

Vous pouvez aussi utiliser Mes applications de Microsoft pour tester l’application dans n’importe quel mode. Quand vous cliquez sur la vignette SAP Concur Travel and Expense dans Mes applications, si le mode Fournisseur de services est configuré, vous êtes redirigé vers la page de connexion de l’application pour lancer le flux de connexion ; si le mode Fournisseur d’identité est configuré, vous êtes automatiquement connecté à l’instance de SAP Concur Travel and Expense pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Une fois que vous avez configuré SAP Concur Travel and Expense, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.