Tutoriel : intégration de l’authentification unique (SSO) Microsoft Entra à SAP Cloud Identity Services

  • Article

Dans ce tutoriel, vous apprendrez à intégrer SAP Cloud Identity Services à Microsoft Entra ID. Lorsque vous intégrez SAP Cloud Identity Services à Microsoft Entra ID, vous pouvez :

  • Contrôlez dans Microsoft Entra ID qui a accès à SAP Cloud Identity Services.
  • Permettez à vos utilisateurs de se connecter automatiquement à SAP Cloud Identity Services avec leur compte Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Conseil

Suivez les suggestions et le guide des bonnes pratiques « Utilisation de Microsoft Entra ID pour sécuriser l’accès aux plateformes et applications SAP » afin de rendre l’installation opérationnelle.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Un abonnement SAP Cloud Identity Services pour lequel l’authentification unique est activée

Description du scénario

Dans ce didacticiel, vous configurez et testez l’authentification unique Microsoft Entra dans un environnement de test.

  • SAP Cloud Identity Services prend en charge l’authentification unique lancée par le fournisseur de services et le fournisseur d’identité.
  • SAP Cloud Identity Services prend en charge le provisionnement d’utilisateurs automatisé.

Avant de rentrer dans les détails techniques, il est essentiel de comprendre les concepts que vous allez voir. SAP Cloud Identity Services et les services de fédération Active Directory (AD FS) vous permettent d’implémenter l’authentification unique entre des applications ou des services protégés par Microsoft Entra ID (comme IdP) et les applications et services SAP protégés par SAP Cloud Identity Services.

Actuellement, SAP Cloud Identity Services remplit la fonction de fournisseur d’identité proxy pour les applications SAP. Microsoft Entra ID joue en retour le rôle de fournisseur d’identité principal dans cette configuration.

Le schéma suivant illustre cette relation :

Creating a Microsoft Entra test user

Avec cette configuration, votre tenant (locataire) SAP Cloud Identity Services est configuré en tant qu’application approuvée dans Microsoft Entra ID.

Toutes les applications et tous les services SAP que vous souhaitez protéger de cette façon sont ensuite configurés dans la console de gestion SAP Cloud Identity Services.

Ainsi, l’autorisation d’accorder l’accès aux services et applications SAP doit avoir lieu dans SAP Cloud Identity Services (par opposition à Microsoft Entra ID).

Quand vous configurez SAP Cloud Identity Services en tant qu’application dans la Place de Marché Microsoft Entra, vous n’avez pas besoin de configurer des revendications ou des assertions SAML.

Remarque

Actuellement, seule l’authentification unique web a été testée par les deux parties. Les flux nécessaires à la communication application-API ou API-API devraient fonctionner mais n’ont pas encore été testés. Ils seront testés durant les activités à venir.

Pour configurer l’intégration de SAP Cloud Identity Services à Microsoft Entra ID, vous devez ajouter SAP Cloud Identity Services à votre liste d’applications SaaS managées à partir de la galerie.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, tapez SAP Cloud Identity Services dans la zone de recherche.
  4. Sélectionnez SAP Cloud Identity Services dans le volet d’informations, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour SAP Cloud Identity Services

Configurez et testez l’authentification unique Microsoft Entra avec SAP Cloud Identity Services en utilisant un utilisateur test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur SAP Cloud Identity Services associé.

Pour configurer et tester l’authentification unique Microsoft Entra avec SAP Cloud Identity Services, effectuez les étapes suivantes :

  1. Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
    1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
    2. Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurer l’authentification unique de SAP Cloud Identity Services pour configurer les paramètres de l’authentification unique côté application.
    1. Créer un utilisateur test SAP Cloud Identity Services pour avoir dans SAP Cloud Identity Services un équivalent de B.Simon lié à la représentation Microsoft Entra de l’utilisateur.
  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>SAP Cloud Identity Services>Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

    Edit Basic SAML Configuration

  5. Dans la section Configuration SAML de base, si vous souhaitez configurer l’application en mode lancé par le fournisseur d’identité, effectuez les étapes suivantes :

    a. Dans la zone de texte Identificateur, tapez une valeur au format suivant : <IAS-tenant-id>.accounts.ondemand.com

    b. Dans la zone de texte URL de réponse, tapez une URL au format suivant : https://<IAS-tenant-id>.accounts.ondemand.com/saml2/idp/acs/<IAS-tenant-id>.accounts.ondemand.com

    Notes

    Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur et l’URL de réponse réels. Pour obtenir ces valeurs, contactez l’équipe de support de SAP Cloud Identity Services. Si vous ne comprenez pas la valeur d’identificateur, lisez la documentation de SAP Cloud Identity Services sur la configuration de SAML 2.0 du locataire.

  6. Cliquez sur Définir des URL supplémentaires, puis effectuez les étapes suivantes si vous souhaitez configurer l’application en mode lancé par le fournisseur de services :

    SAP Cloud Identity Services Domain and URLs single sign-on information

    Dans la zone de texte URL de connexion, saisissez une valeur au format suivant : {YOUR BUSINESS APPLICATION URL}.

    Notes

    Cette valeur n’est pas la valeur réelle. Mettez-la à jour avec l’URL de connexion réelle. Utilisez l’URL de connexion spécifique de votre application métier. Contactez l’équipe de support de SAP Cloud Identity Services en cas de doute.

  7. L’application SAP Cloud Identity Services attend les assertions SAML dans un certain format, ce qui oblige à ajouter des mappages d’attributs personnalisés à la configuration des attributs du jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut.

    image

  8. En plus de ce qui précède, l’application SAP Cloud Identity Services s’attend à ce que quelques attributs supplémentaires soient repassés dans la réponse SAML. Ces attributs sont également préremplis, mais vous pouvez les examiner pour voir s’ils répondent à vos besoins.

    Nom Attribut source
    firstName user.givenname

  9. Sur la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, cliquez sur Télécharger pour télécharger le fichier XML des métadonnées en fonction des options définies, puis enregistrez-le sur votre ordinateur.

    The Certificate download link

  10. Dans la section Configurer SAP Cloud Identity Services, copiez la ou les URL appropriées en fonction de vos besoins.

    Copy configuration URLs

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser B.Simon à utiliser l’authentification unique en lui accordant l’accès à SAP Cloud Identity Services.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>SAP Cloud Identity Services.

  3. Dans la page de vue d’ensemble de l’application, recherchez la section Gérer et sélectionnez Utilisateurs et groupes.

  4. Sélectionnez Ajouter un utilisateur, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.

  5. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.

  6. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.

  7. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique de SAP Cloud Identity Services

  1. Dans une autre fenêtre du navigateur Web, accédez à la console Administration de SAP Cloud Identity Services. L’URL suit le modèle suivant : https://<tenant-id>.accounts.ondemand.com/admin. Lisez ensuite la documentation de SAP Cloud Identity Services : Intégration avec Microsoft Entra ID.

  2. Dans le portail Azure, sélectionnez le bouton Enregistrer.

  3. Effectuez les étapes suivantes uniquement si vous souhaitez ajouter et activer l’authentification unique pour une autre application SAP. Répétez les étapes décrites dans la section Ajouter SAP Cloud Identity Services à partir de la galerie.

  4. Dans le portail Azure, accédez à la page d’intégration de l’application SAP Cloud Identity Services et sélectionnez Authentification liée.

    Configure Linked Sign-On

  5. Enregistrez la configuration.

Notes

La nouvelle application utilise la configuration de l’authentification unique de l’application SAP précédente. Veillez à utiliser les mêmes fournisseurs d’identité d’entreprise dans la console d’administration de SAP Cloud Identity Services.

Créer l’utilisateur test SAP Cloud Identity Services

Vous n’avez pas besoin de créer un utilisateur dans SAP Cloud Identity Services. Les utilisateurs qui se trouvent dans le magasin d’utilisateurs Microsoft Entra peuvent utiliser la fonctionnalité d’authentification unique (SSO).

SAP Cloud Identity Services prend en charge l’option de fédération des identités. Cette option permet à l’application de vérifier si les utilisateurs authentifiés par le fournisseur d’identité d’entreprise sont présents dans le magasin d’utilisateurs de SAP Cloud Identity Services.

L’option de fédération des identités est désactivée par défaut. Si la fédération des identités est activée, seuls les utilisateurs importés dans SAP Cloud Identity Services peuvent accéder à l’application.

Pour savoir comment activer ou désactiver la fédération des identités avec SAP Cloud Identity Services, consultez « Enable Identity Federation with SAP Cloud Identity Services » dans Configure Identity Federation with the User Store of SAP Cloud Identity Services.

Notes

SAP Cloud Identity Services prend aussi en charge le provisionnement automatique d’utilisateurs. Vous trouverez plus d’informations ici sur la manière de le configurer.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

Lancée par le fournisseur de services :

  • Cliquez sur Tester cette application. Vous êtes alors redirigé vers l'URL de connexion à SAP Cloud Identity Services, d’où vous pouvez lancer le flux de connexion.

  • Accédez directement à l’URL d’authentification de SAP Cloud Identity Services pour lancer le processus de connexion.

Lancée par le fournisseur d’identité :

  • Cliquez sur Tester cette application, ce qui devrait vous connecter automatiquement à l’instance SAP Cloud Identity Services pour laquelle vous avez configuré l’authentification unique.

Vous pouvez aussi utiliser Mes applications de Microsoft pour tester l’application dans n’importe quel mode. Si, quand vous cliquez sur la vignette SAP Cloud Identity Services dans Mes applications, le mode Fournisseur de services est configuré, vous devriez être redirigé vers la page d’authentification de l’application pour lancer le processus de connexion. S’il s’agit du mode Fournisseur d’identité, vous devriez être connecté automatiquement à l’application SAP Cloud Identity Services pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré SAP Cloud Identity Services, vous pouvez appliquer des contrôles de session, qui protègent en temps réel contre l’exfiltration et l’infiltration des données sensibles de votre organisation. Les contrôles de session sont étendus à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.

Consultez les recommandations et le guide des bonnes pratiques pour rendre la configuration opérationnelle.