Partager via


Tutoriel : Intégration de l’authentification unique (SSO) Microsoft Entra à SAP Fiori

Dans ce tutoriel, vous allez apprendre à intégrer SAP Fiori à Microsoft Entra ID. Quand vous intégrez SAP Fiori à Microsoft Entra ID, vous pouvez :

  • Contrôler dans Microsoft Entra ID qui a accès à SAP Fiori.
  • Permettez à vos utilisateurs d’être automatiquement connectés à SAP Fiori avec leurs comptes Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • Abonnement SAP Fiori pour lequel l’authentification unique est activée.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

  • SAP Fiori prend en charge l’authentification unique lancée par le fournisseur de services

Notes

Pour l’authentification iFrame lancée par SAP Fiori, nous vous recommandons d’utiliser le paramètre IsPassive dans la requête d’authentification (AuthnRequest) SAML pour l’authentification silencieuse. Pour plus de détails sur le paramètre IsPassive, reportez-vous aux informations sur l’authentification unique SAML Microsoft Entra.

Pour configurer l’intégration de SAP Fiori à Microsoft Entra, vous devez ajouter SAP Fiori à partir de la galerie à votre liste d’applications SaaS gérées.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, tapez SAP Fiori dans la zone de recherche.
  4. Sélectionnez SAP Fiori dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour SAP Fiori

Configurez et testez Microsoft Entra SSO avec SAP Fiori à l’aide d’un utilisateur test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur SAP Fiori associé.

Pour configurer et tester Microsoft Entra SSO avec SAP Fiori, effectuez les étapes suivantes :

  1. Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
    1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
    2. Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurer l’authentification unique SAP Fiori pour configurer les paramètres de l’authentification unique côté application.
    1. Créer un utilisateur de test SAP Fiori pour avoir un équivalent de B.Simon dans SAP Fiori lié à la représentation Microsoft Entra associée.
  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Ouvrez une nouvelle fenêtre de navigateur web et connectez-vous à votre site d’entreprise SAP Fiori en tant qu’administrateur.

  2. Vérifiez que les services http et https sont actifs, et que les ports appropriés sont affectés au code de transaction SMICM.

  3. Connectez-vous à SAP Business Client pour le système SAP T01, où l’authentification unique est requise. Ensuite, activez la gestion de session de sécurité HTTP.

    1. Accédez au code de transaction SICF_SESSIONS. Tous les paramètres de profil appropriés sont affichés avec les valeurs actuelles. Ils doivent ressembler à l’exemple qui suit :

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Notes

      Ajustez les paramètres en fonction des besoins de votre organisation. Les paramètres précédents sont fournis uniquement à titre d’exemple.

    2. Si nécessaire, ajustez les paramètres dans le profil (par défaut) d’instance du système SAP et redémarrez le système SAP.

    3. Double-cliquez sur le client approprié pour activer la session de sécurité HTTP.

      The Current Values of Relevant Profile Parameters page in SAP

    4. Activez les services SICF suivants :

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      
  4. Accédez au code de transaction SAML2 dans Business Client pour le système SAP [T01/122]. L’interface utilisateur de configuration s’ouvre dans une nouvelle fenêtre de navigateur. Dans cet exemple, nous utilisons Business Client pour le système SAP 122.

    The SAP Fiori Business Client sign-in page

  5. Entrez votre nom d’utilisateur et votre mot de passe, puis sélectionnez Log on (Connexion).

    The SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  6. Dans la zone Nom du fournisseur, remplacez T01122 par http://T01122, puis sélectionnez Enregistrer.

    Notes

    Par défaut, le nom du fournisseur est au format <sid><client>. Microsoft Entra ID attend le nom au format <protocole>://<nom>. Nous vous conseillons de conserver https://<sid><client> comme nom du fournisseur, afin de pouvoir configurer plusieurs moteurs ABAP SAP Fiori dans Microsoft Entra ID.

    The updated provider name in the SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  7. Sélectionnez l’onglet Local Provider>Metadata (Fournisseur Local>Métadonnées).

  8. Dans la boîte de dialogue SAML 2.0 Metadata (Métadonnées SAML 2.0), téléchargez le fichier XML de métadonnées généré et enregistrez-le sur votre ordinateur.

    The Download Metadata link in the SAP SAML 2.0 Metadata dialog box

  9. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  10. Accédez à Identité>Applications>Applications d’entreprise>SAP Fiori>Authentification unique.

  11. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  12. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

    Edit Basic SAML Configuration

  13. Dans la section Configuration SAML de base, si vous disposez d’un fichier de métadonnées du fournisseur de services, suivez les étapes ci-dessous :

    1. Cliquez sur Charger un fichier de métadonnées.

      Upload metadata file

    2. Cliquez sur le logo du dossier pour sélectionner le fichier de métadonnées, puis cliquez sur Charger.

      choose metadata file

    3. Une fois le fichier de métadonnées chargé, les valeurs Identificateur et URL de réponse sont renseignées automatiquement dans le volet Configuration SAML de base. Dans la zone URL de connexion, entrez une URL au format suivant : https://<your company instance of SAP Fiori>.

      Remarque

      Certains clients ont rencontré une erreur de type URL de réponse incorrecte configurée pour leur instance. Si vous recevez une telle erreur, utilisez les commandes PowerShell suivantes. Mettez d'abord à jour les URL de réponse dans l'objet d'application avec l'URL de réponse, puis mettez à jour le principal de service. Utilisez la commande Get-MgServicePrincipal pour obtenir l'ID du principal de service.

      $params = @{
         web = @{
            redirectUris = "<Your Correct Reply URL>"
         }
      }
      Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
      Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
      
  14. L’application SAP Fiori attend les assertions SAML dans un format spécifique. Configurez les revendications suivantes pour cette application. Pour gérer ces valeurs d’attributs, dans le volet Configurer l’authentification unique avec SAML, sélectionnez Modifier.

    The User attributes pane

  15. Dans le volet Attributs et revendications de l’utilisateur, configurez les attributs de jetons SAML comme illustré dans l’image précédente. Effectuez ensuite les tâches suivantes :

    1. Sélectionnez Modifier pour ouvrir le volet Gérer les revendications des utilisateurs.

    2. Dans la liste Transformation, sélectionnez ExtractMailPrefix() .

    3. Dans la liste Paramètre 1, sélectionnez user.userprincipalname.

    4. Cliquez sur Enregistrer.

      The Manage user claims pane

      The Transformation section in the Manage user claims pane

  16. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez XML de métadonnées de fédération et sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

    The Certificate download link

  17. Dans la section Configurer SAP Fiori, copiez l’URL ou les URL appropriées en fonction de vos besoins.

    Copy configuration URLs

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous autorisez B.Simon à utiliser l’authentification unique en lui accordant l’accès à SAP Fiori.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>SAP Fiori.
  3. Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
  4. Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
    1. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
    2. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
    3. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique SAP Fiori

  1. Connectez-vous au système SAP et accédez au code de transaction SAML2. Une nouvelle fenêtre de navigateur s’ouvre avec la page de configuration SAML.

  2. Pour configurer des points de terminaison pour un fournisseur d’identité approuvé (Microsoft Entra ID), accédez à l’onglet Trusted Providers (Fournisseurs approuvés).

    The Trusted Providers tab in SAP

  3. Sélectionnez Add (Ajouter) puis Upload Metadata File (Charger le fichier de métadonnées) dans le menu contextuel.

    The Add and Upload Metadata File options in SAP

  4. Chargez le fichier de métadonnées que vous avez téléchargé. Cliquez sur Suivant.

    Select the metadata file to upload in SAP

  5. Dans la page suivante, dans la zone Alias, entrez le nom d’alias. Par exemple, aadsts. Cliquez sur Suivant.

    The Alias box in SAP

  6. Vérifiez que la valeur de la zone Digest Algorithm est SHA-256. Cliquez sur Suivant.

    Verify the Digest Algorithm value in SAP

  7. Sous Single Sign-On Endpoints (Points de terminaison d’authentification unique), sélectionnez HTTP POST, puis suivant.

    Single Sign-On Endpoints options in SAP

  8. Sous Single Logout Endpoints (Points de terminaison de déconnexion unique), sélectionnez HTTP Redirect, puis suivant.

    Single Logout Endpoints options in SAP

  9. Sous Artifact Endpoints (Points de terminaison d’artefact), sélectionnez Suivant pour continuer.

    Artifact Endpoints options in SAP

  10. Sous Authentication Requirements (Exigences d’authentification), sélectionnez Finish (Terminer).

    Authentication Requirements options and the Finish option in SAP

  11. Sélectionnez Trusted Provider>Identity Federation (Fournisseurs approuvés>Fédération des identités) en bas de la page. Sélectionnez Modifier.

    The Trusted Provider and Identity Federation tabs in SAP

  12. Sélectionnez Ajouter.

    The Add option on the Identity Federation tab

  13. Dans la boîte de dialogue Supported NameID Formats (Formats NameID pris en charge), sélectionnez Unspecified (Non spécifié). Cliquez sur OK.

    The Supported NameID Formats dialog box and options in SAP

    Les valeurs user ID Source (Source d’ID utilisateur) et user ID mapping mode (Mode de mappage d’ID utilisateur) déterminent le lien entre l’utilisateur SAP et la revendication Microsoft Entra.

    Scenario 1 : Mappage d’un utilisateur SAP à un utilisateur Microsoft Entra

    1. Dans SAP, sous Details of NameID Format "Unspecified" (Détails du format NameID « Unspecified »), notez les détails :

      Screenshot that shows the 'Details of NameID Format

    2. Dans le portail Azure, sous Attributs et revendications de l’utilisateur, notez les revendications requises à partir de Microsoft Entra ID.

      Screenshot that shows the

    Scénario 2 : Sélectionner un ID utilisateur SAP en fonction de l’adresse e-mail configurée dans SU01. Dans ce cas, l’ID de l’adresse e-mail doit être configuré dans SU01 pour chaque utilisateur nécessitant l’authentification unique.

    1. Dans SAP, sous Details of NameID Format "Unspecified" (Détails du format NameID « Unspecified »), notez les détails :

      The Details of NameID Format

    2. Dans le portail Azure, sous Attributs et revendications de l’utilisateur, notez les revendications requises à partir de Microsoft Entra ID.

      The User Attributes and Claims dialog box in the Azure portal

  14. Sélectionnez Save (Enregistrer), puis Enable (Activer) pour activer le fournisseur d’identité.

    The Save and Enable options in SAP

  15. Cliquez sur OK lorsque vous y êtes invité.

    The OK option in SAML 2.0 Configuration dialog box in SAP

Créer un utilisateur de test SAP Fiori

Dans cette section, vous allez créer un utilisateur appelé Britta Simon dans SAP Fiori. Collaborez avec votre équipe d’experts SAP en interne ou avec le partenaire SAP de votre organisation pour ajouter l’utilisateur à la plateforme SAP Fiori.

Tester l’authentification unique (SSO)

  1. Une fois le fournisseur d’identité Microsoft Entra ID activé dans SAP Fiori, essayez d’accéder à l’une des URL suivantes pour tester l’authentification unique (vous ne devriez pas être invité à entrer un nom d’utilisateur et un mot de passe) :

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Remarque

    Remplacez <sap-url> par le nom d’hôte SAP réel.

  2. L’URL de test doit vous mener à la page d’application de test suivante dans SAP. Si la page s’ouvre, cela signifie que l’authentification unique Microsoft Entra ID est correctement configurée.

    The standard test application page in SAP

  3. Si vous êtes invité à fournir un nom d’utilisateur et un mot de passe, activez la trace pour vous aider à diagnostiquer le problème. Utilisez l’URL suivante pour la trace :

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Étapes suivantes

Après avoir configuré SAP Fiori, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.