Partager via

Configurer SAP Fiori pour l’authentification unique avec l’ID Microsoft Entra

Dans cet article, vous allez apprendre à intégrer SAP Fiori à Microsoft Entra ID. Quand vous intégrez SAP Fiori à Microsoft Entra ID, vous pouvez :

  • Contrôler dans Microsoft Entra ID qui a accès à SAP Fiori.
  • Permettre à vos utilisateurs de se connecter automatiquement à SAP Fiori avec leurs comptes Microsoft Entra.
  • Gérez vos comptes dans un emplacement central.

Conditions préalables

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

  • Abonnement SAP Fiori pour lequel l’authentification unique est activée.

Description du scénario

Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

  • SAP Fiori prend en charge l’authentification unique lancée par le fournisseur de services

Remarque

Pour l’authentification iFrame lancée par SAP Fiori, nous vous recommandons d’utiliser le paramètre IsPassive dans l’authnRequest SAML pour l’authentification silencieuse. Pour plus d’informations sur le paramètre IsPassive , consultez les informations d’authentification unique Microsoft Entra SAML .

Pour configurer l’intégration de SAP Fiori à Microsoft Entra ID, vous devez ajouter SAP Fiori à partir de la galerie à votre liste d’applications SaaS gérées.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.
  2. Accédez à Entra ID>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie , tapez SAP Fiori dans la zone de recherche.
  4. Sélectionnez SAP Fiori dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez sinon également utiliser l’Assistant de configuration des applications d'entreprise . Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les Assistants Microsoft 365.

Configurer et tester l’authentification unique (SSO) Microsoft Entra pour SAP Fiori

Configurez et testez l’authentification unique Microsoft Entra avec SAP Fiori à l’aide d’un utilisateur de test appelé B.Simon. Pour que l’authentification unique (SSO) fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur associé dans SAP Fiori.

Pour configurer et tester l’authentification unique (SSO) Microsoft Entra avec SAP Fiori, effectuez les étapes suivantes :

  1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
    1. Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
    2. Affectez l’utilisateur de test Microsoft Entra pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurez l’authentification unique SAP Fiori pour configurer les paramètres de l’authentification unique côté application.
    1. Créer un utilisateur de test SAP Fiori pour avoir un équivalent de B.Simon dans SAP Fiori lié à la représentation Microsoft Entra de l’utilisateur.
  3. Testez SSO pour vérifier si la configuration fonctionne.

Configurer l’authentification unique Microsoft Entra

Suivez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Ouvrez une nouvelle fenêtre de navigateur web et connectez-vous à votre site d’entreprise SAP Fiori en tant qu’administrateur.

  2. Assurez-vous que les services http et https sont actifs et que les ports appropriés sont affectés au code de transaction SMICM.

  3. Connectez-vous à SAP Business Client pour le système SAP T01, où l’authentification unique est requise. Ensuite, activez la gestion de session de sécurité HTTP.

    1. Accédez au code de transaction SICF_SESSIONS. Tous les paramètres de profil appropriés sont affichés avec les valeurs actuelles. Ils doivent ressembler à l’exemple qui suit :

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      Remarque

      Ajustez les paramètres en fonction des besoins de votre organisation. Les paramètres précédents sont fournis uniquement à titre d’exemple.

    2. Si nécessaire, ajustez les paramètres dans le profil (par défaut) d’instance du système SAP et redémarrez le système SAP.

    3. Double-sélectionnez le client approprié pour activer une session de sécurité HTTP.

      Les valeurs actuelles de la page Paramètres de profil pertinents dans SAP

    4. Activez les services SICF suivants :

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. Accédez au code de transaction SAML2 dans Business Client pour le système SAP [T01/122]. L’interface utilisateur de configuration s’ouvre dans une nouvelle fenêtre de navigateur. Dans cet exemple, nous utilisons Business Client pour le système SAP 122.

    Page de connexion sap Fiori Business Client

  5. Entrez votre nom d’utilisateur et votre mot de passe, puis sélectionnez Se connecter.

    La page de la configuration SAML 2.0 du système ABAP T01/122 dans SAP

  6. Dans la zone Nom du fournisseur, remplacezhttp://T01122, puis sélectionnez Enregistrer.

    Remarque

    Par défaut, le nom du fournisseur est au format <sid><client>. Microsoft Entra ID attend le nom au format <protocole>://<nom>. Nous vous recommandons de conserver le nom du fournisseur sous la forme https://<sid><client> afin de pouvoir configurer plusieurs moteurs SAP Fiori ABAP dans Microsoft Entra ID.

    Nom du fournisseur mis à jour dans la page SAML 2.0 Configuration du système ABAP T01/122 dans SAP

  7. Sélectionnez l'onglet Fournisseur local>Métadonnées.

  8. Dans la boîte de dialogue Métadonnées SAML 2.0 , téléchargez le fichier XML de métadonnées généré et enregistrez-le sur votre ordinateur.

    Le lien de téléchargement des métadonnées dans la boîte de dialogue Métadonnées SAP SAML 2.0

  9. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application cloud au moins.

  10. Accédez à Entra ID>Applications d'entreprise>SAP Fiori>Authentification unique.

  11. Dans la page Sélectionner une méthode d’authentification unique , sélectionnez SAML.

  12. Dans la page Configurer l’authentification unique avec SAML , sélectionnez l’icône crayon de configuration SAML de base pour modifier les paramètres.

    Modifier la configuration SAML de base

  13. Dans la section Configuration SAML de base , si vous disposez d’un fichier de métadonnées fournisseur de services, procédez comme suit :

    1. Sélectionnez Charger le fichier de métadonnées.

      Charger le fichier de métadonnées

    2. Sélectionnez le logo du dossier pour sélectionner le fichier de métadonnées, puis sélectionnez Charger.

      choisir un fichier de métadonnées

    3. Lorsque le fichier de métadonnées est correctement chargé, les valeurs d’IDENTIFICATEUR et d’URL de réponse sont automatiquement renseignées dans le volet Configuration SAML de base . Dans la zone URL de connexion , entrez une URL qui a le modèle suivant : https://<your company instance of SAP Fiori>.

      Remarque

      Certains clients ont rencontré une erreur de type URL de réponse incorrecte configurée pour leur instance. Si vous recevez une telle erreur, utilisez les commandes PowerShell suivantes. Mettez d'abord à jour les URL de réponse dans l'objet d'application avec l'URL de réponse, puis mettez à jour le principal de service. Utilisez Get-MgServicePrincipal pour obtenir la valeur d’ID du principal de service.

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. L’application SAP Fiori attend les assertions SAML dans un format spécifique. Configurez les revendications suivantes pour cette application. Pour gérer ces valeurs d’attributs, dans le volet Configurer l’authentification unique avec SAML, sélectionnez Modifier.

    Volet Attributs utilisateur

  15. Dans le volet Attributs utilisateur et revendications , configurez les attributs de jeton SAML comme indiqué dans l’image précédente. Effectuez ensuite les tâches suivantes :

    1. Sélectionnez Modifier pour ouvrir le volet Gérer les revendications utilisateur .

    2. Dans la liste transformation , sélectionnez ExtractMailPrefix().

    3. Dans la liste Paramètre 1 , sélectionnez user.userprincipalname.

    4. Sélectionnez Enregistrer.

      Volet Gérer les revendications utilisateur

      Section Transformation dans le volet Gérer les revendications utilisateur

  16. Dans la page Configurer l’authentification unique avec SAML , dans la section Certificat de signature SAML , recherchez le code XML des métadonnées de fédération , puis sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

    Lien de téléchargement du certificat

  17. Dans la section Configurer SAP Fiori , copiez la ou les URL appropriées en fonction de vos besoins.

    Copier des URL de configuration

Créer et affecter un utilisateur de test Microsoft Entra

Suivez les instructions de création et d’affectation d’un compte d’utilisateur pour créer un compte d’utilisateur de test appelé B.Simon.

Configurer l’authentification unique SAP Fiori

  1. Connectez-vous au système SAP et accédez au code de transaction SAML2. Une nouvelle fenêtre de navigateur s’ouvre avec la page de configuration SAML.

  2. Pour configurer des points de terminaison pour un fournisseur d’identité approuvé (ID Microsoft Entra), sélectionnez l’onglet Fournisseurs approuvés .

    Onglet Fournisseurs approuvés dans SAP

  3. Sélectionnez Ajouter, puis téléchargez le fichier de métadonnées dans le menu contextuel.

    Options Ajouter et charger un fichier de métadonnées dans SAP

  4. Chargez le fichier de métadonnées que vous avez téléchargé. Sélectionnez Suivant.

    Sélectionnez le fichier de métadonnées à charger dans SAP

  5. Dans la page suivante, dans la zone Alias , entrez le nom de l’alias. Par exemple, aadsts. Sélectionnez Suivant.

    La zone Alias dans SAP

  6. Vérifiez que la valeur de la zone Algorithme Digest est SHA-256. Sélectionnez Suivant.

    Vérifier la valeur de l’algorithme Digest dans SAP

  7. Sous Points de terminaison de Sign-On uniques, sélectionnez HTTP POST, puis sélectionnez Suivant.

    Options de points de terminaison Sign-On uniques dans SAP

  8. Sous Single Logout Endpoints (Points de terminaison de déconnexion unique), sélectionnez HTTP Redirect, puis suivant.

    Options Single Logout Endpoints dans SAP

  9. Sous Points de terminaison d’artefact, sélectionnez Suivant pour continuer.

    Options Artifact Endpoints dans SAP

  10. Sous Configuration requise pour l’authentification, sélectionnez Terminer.

    Options requises pour l’authentification et option Terminer dans SAP

  11. Sélectionnez Trusted Provider>Identity Federation (en bas de la page). Sélectionnez Modifier.

    Les onglets Fournisseur Approuvé et Fédération d'Identité dans SAP

  12. Sélectionnez Ajouter.

    Option Add sous l’onglet Identity Federation

  13. Dans la boîte de dialogue Formats NameID pris en charge , sélectionnez Non spécifié. Sélectionnez OK.

    Boîte de dialogue Supported NameID Formats dans SAP

    Les valeurs du mode source de l’ID utilisateur et du mode de mappage d’ID utilisateur déterminent le lien entre l’utilisateur SAP et la revendication Microsoft Entra.

    Scénario 1 : Mappage d’utilisateurs SAP à Microsoft Entra

    1. Dans SAP, sous Détails du format NameID « Non spécifié », notez les détails :

      Capture d’écran montrant la boîte de dialogue « Détails du format NameID « Non spécifié » dans S A P.

    2. Dans le portail Azure, sous Attributs utilisateur et Revendications, notez les revendications requises à partir de l’ID Microsoft Entra.

      Capture d’écran montrant la boîte de dialogue « Attributs utilisateur et revendications ».

    Scénario 2 : Sélectionnez l’ID utilisateur SAP en fonction de l’adresse e-mail configurée dans SU01. Dans ce cas, l’ID de l’adresse e-mail doit être configuré dans SU01 pour chaque utilisateur nécessitant l’authentification unique.

    1. Dans SAP, sous Détails du format NameID « Non spécifié », notez les détails :

      Boîte de dialogue Details of NameID Format

    2. Dans le portail Azure, sous Attributs utilisateur et Revendications, notez les revendications requises à partir de l’ID Microsoft Entra.

      Boîte de dialogue Attributs utilisateur et revendications dans le portail Azure

  14. Sélectionnez Enregistrer, puis Activez pour activer le fournisseur d’identité.

    Options Enregistrer et activer dans SAP

  15. Sélectionnez OK lorsque vous y êtes invité.

    Option OK dans la boîte de dialogue Configuration SAML 2.0 dans SAP

Créer un utilisateur de test SAP Fiori

Dans cette section, vous allez créer un utilisateur appelé Britta Simon dans SAP Fiori. Collaborez avec votre équipe d’experts SAP en interne ou avec le partenaire SAP de votre organisation pour ajouter l’utilisateur à la plateforme SAP Fiori.

Tester l’authentification unique (SSO)

  1. Une fois le fournisseur d’identité Microsoft Entra ID activé dans SAP Fiori, essayez d’accéder à l’une des URL suivantes pour tester l’authentification unique (vous ne devriez pas être invité à entrer un nom d’utilisateur et un mot de passe) :

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Remarque

    Remplacez <sap-url> par le nom d’hôte SAP réel.

  2. L’URL de test doit vous mener à la page d’application de test suivante dans SAP. Si la page s’ouvre, cela signifie que l’authentification unique Microsoft Entra ID est correctement configurée.

    Page d’application de test standard dans SAP

  3. Si vous êtes invité à entrer un nom d’utilisateur et un mot de passe, activez la trace pour diagnostiquer le problème. Utilisez l’URL suivante pour la trace :

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#.

Contenu connexe

Après avoir configuré SAP Fiori, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session s’étend de l’accès conditionnel. Découvrez comment appliquer le contrôle de session avec Microsoft Defender pour Cloud Apps.