Partager via

Configurer SAP Cloud Identity Services pour l’authentification unique avec l’ID Microsoft Entra

Dans cet article, vous allez apprendre à intégrer SAP Cloud Identity Services à Microsoft Entra ID. Lorsque vous intégrez SAP Cloud Identity Services à Microsoft Entra ID, vous pouvez :

  • Contrôlez dans Microsoft Entra ID qui a accès à SAP Cloud Identity Services.
  • Permettre à vos utilisateurs de se connecter automatiquement à SAP Cloud Identity Services et aux applications SAP en aval avec leur compte Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Conseil

Suivez les suggestions et le guide des bonnes pratiques « Utilisation de Microsoft Entra ID pour sécuriser l’accès aux plateformes et applications SAP » afin de rendre l’installation opérationnelle.

Prérequis

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

Si vous n’avez pas encore d’utilisateurs dans Microsoft Entra ID, commencez par l'article sur la planification du déploiement de Microsoft Entra pour l’approvisionnement d’utilisateurs avec les applications SAP sources et cibles. Cet article montre comment connecter Microsoft Entra à des sources faisant autorité pour la liste des travailleurs d’une organisation, comme SAP SuccessFactors. Il vous montre également comment utiliser Microsoft Entra pour configurer des identités pour ces travailleurs, afin qu’ils puissent se connecter à une ou plusieurs applications SAP, telles que SAP ECC ou SAP S/4HANA.

Si vous configurez l’authentification unique dans SAP Cloud Identity Services dans un environnement de production, où vous gérez l’accès aux charges de travail SAP à l’aide de Microsoft Entra ID Governance, passez en revue les conditions préalables avant de configurer l’ID Microsoft Entra pour la gouvernance des identités avant de continuer.

Description du scénario

Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

  • SAP Cloud Identity Services prend en charge l’authentification unique lancée par le fournisseur de services (SP) et le fournisseur d’identité (IDP).
  • SAP Cloud Identity Services prend en charge le provisionnement d’utilisateurs automatisé.

Avant de rentrer dans les détails techniques, il est essentiel de comprendre les concepts que vous allez voir. SAP Cloud Identity Services vous permet d’implémenter l’authentification unique entre les applications et services SAP, avec la même expérience d’authentification unique que les applications non SAP intégrées directement à Microsoft Entra ID en tant que fournisseur d’identité.

SAP Cloud Identity Services agit en tant que fournisseur d’identité proxy pour d’autres applications SAP en tant que systèmes cibles. Microsoft Entra ID joue en retour le rôle de fournisseur d’identité principal dans cette configuration.

Le diagramme suivant illustre la relation de confiance.

Diagramme de l’architecture des relations d’approbation entre les applications SAP, SAP Cloud Identity Services et Microsoft Entra.

Avec cette configuration, vos services SAP Cloud Identity Services sont configurés en tant qu’une ou plusieurs applications dans Microsoft Entra ID. Microsoft Entra est configuré en tant que fournisseur d’identité d’entreprise dans vos services SAP Cloud Identity Services.

Toutes les applications et services SAP que vous souhaitez fournir l’authentification unique de cette façon sont ensuite configurés en tant qu’applications dans SAP Cloud Identity Services.

Diagramme de l’architecture de l’authentification unique et du flux d’approvisionnement entre les applications SAP, SAP Cloud Identity Services et Microsoft Entra.

L’attribution d’utilisateurs à un rôle d’application SAP Cloud Identity Services dans Microsoft Entra contrôle l’émission de jetons Microsoft Entra vers SAP Cloud Identity Services. L’autorisation d’octroi de l’accès à des applications et services SAP spécifiques, ainsi qu’aux attributions de rôles pour ces applications SAP, a lieu dans SAP Cloud Identity Services et les applications elles-mêmes. Cette autorisation peut être basée sur des utilisateurs et des groupes approvisionnés à partir de l’ID Microsoft Entra.

Remarque

Actuellement, seule l’authentification unique web a été testée par les deux parties. Les flux nécessaires à la communication application-API ou API-API devraient fonctionner mais n’ont pas encore été testés. Ils sont testés pendant les activités suivantes.

Pour configurer l’intégration de SAP Cloud Identity Services à Microsoft Entra ID, vous devez ajouter SAP Cloud Identity Services à votre liste d’applications SaaS managées à partir de la galerie.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Naviguez vers Entra ID>Applications d'entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, tapez SAP Cloud Identity Services dans la zone de recherche.
  4. Sélectionnez SAP Cloud Identity Services dans le volet d’informations, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour SAP Cloud Identity Services

Configurez et testez l’authentification unique Microsoft Entra avec SAP Cloud Identity Services en utilisant un utilisateur test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur SAP Cloud Identity Services associé.

Pour configurer et tester l’authentification unique Microsoft Entra avec SAP Cloud Identity Services, effectuez les étapes suivantes :

  1. Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
    1. Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
    2. Affectez l’utilisateur de test Microsoft Entra pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurer l’authentification unique de SAP Cloud Identity Services pour configurer les paramètres de l’authentification unique côté application.
    1. Créez un utilisateur de test SAP Cloud Identity Services pour avoir un équivalent de B.Simon dans SAP Cloud Identity Services lié à la représentation Microsoft Entra de l’utilisateur.
  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Obtenir les métadonnées de fédération SAP Cloud Identity Services

  1. Connectez-vous à la console d’administration SAP Cloud Identity Services. L’URL a le modèle suivant : https://<tenant-id>.accounts.ondemand.com/admin ou https://<tenant-id>.trial-accounts.ondemand.com/admin.

  2. Sous Applications et ressources, sélectionnez Paramètres du locataire.

    Capture d’écran montrant les paramètres du locataire.

  3. Sous l’onglet Authentification unique , sélectionnez SAML 2.0 Configuration. Sélectionnez Ensuite Télécharger le fichier de métadonnées pour télécharger les métadonnées de fédération de SAP Cloud Identity Services.

    Capture d’écran montrant le bouton télécharger les métadonnées.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez aux Entra ID>applications d'entreprise. Tapez le nom de votre application, par exemple SAP Cloud Identity Services. Sélectionnez l’application, puis sélectionnez Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans la section Configuration SAML de base , si vous disposez d’un fichier de métadonnées fournisseur de services à partir de SAP Cloud Identity Services, procédez comme suit :

    a) Sélectionnez Charger le fichier de métadonnées.

    b. Sélectionnez le logo du dossier pour sélectionner le fichier de métadonnées que vous avez téléchargé à partir de SAP, puis sélectionnez Charger.

    Capture d’écran montrant choisir un fichier de métadonnées

    v. Une fois le fichier de métadonnées chargé, les valeurs Identificateur et URL de réponse sont automatiquement renseignées dans la section Configuration SAML de base.

    Capture d’écran montrant les URL.

    Remarque

    Si les valeurs identificateur et URL de réponse ne sont pas renseignées automatiquement, renseignez les valeurs manuellement en fonction de vos besoins.

  5. Si vous souhaitez effectuer d’autres configurations, dans la page Configurer l’authentification unique avec SAML , sélectionnez l’icône de crayon pour La configuration SAML de base pour modifier les paramètres.

    Modifier la configuration SAML de base

    Dans la zone de texte URL de connexion (facultatif), tapez l’URL de connexion de votre application métier spécifique.

    Remarque

    Mettez-la à jour avec l’URL de connexion réelle. Pour plus d’informations, consultez l’article de la base de connaissances SAP 3128585. Contactez l’équipe du support technique SAP Cloud Identity Services si vous avez des questions.

  6. L’application SAP Cloud Identity Services attend les assertions SAML dans un certain format, ce qui oblige à ajouter des mappages d’attributs personnalisés à la configuration des attributs du jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut.

    Capture d’écran montrant les attributs.

  7. En plus de ce qui précède, l’application SAP Cloud Identity Services s’attend à ce que quelques attributs supplémentaires soient repassés dans la réponse SAML. Ces attributs sont également préremplis, mais vous pouvez les examiner pour voir s’ils répondent à vos besoins.

    Nom Attribut source
    prénom utilisateur.prénom

  8. Dans la page Configurer Single Sign-On avec SAML, dans la section Certificat de signature SAML, sélectionnez Télécharger pour télécharger le XML des métadonnées à partir des options fournies en fonction de vos besoins et enregistrez-le sur votre ordinateur.

    Lien Téléchargement de certificat

  9. Dans la section Configurer SAP Cloud Identity Services, copiez la ou les URL appropriées en fonction de vos besoins.

    Copier les URL de configuration

Créer et affecter un utilisateur de test Microsoft Entra

Suivez les instructions du guide de démarrage rapide pour créer et attribuer un compte utilisateur afin de créer un compte utilisateur de test appelé B.Simon.

Configurer l’authentification unique de SAP Cloud Identity Services

Dans cette section, vous allez créer un fournisseur d’identité d’entreprise dans la console d’administration SAP Cloud Identity Services. Pour plus d’informations, consultez Configuration du fournisseur d’identité d’entreprise dans la console d’administration.

  1. Connectez-vous à la console d’administration SAP Cloud Identity Services. L’URL a le modèle suivant : https://<tenant-id>.accounts.ondemand.com/admin ou https://<tenant-id>.trial-accounts.ondemand.com/admin.

  2. Sous Fournisseurs d’identité, choisissez la vignette Fournisseurs d’identité d’entreprise.

  3. Sélectionnez + Créer pour créer un fournisseur d’identité.

    Capture d’écran montrant Fournisseur d'identité.

  4. Procédez comme suit dans la boîte de dialogue Créer un fournisseur d’identité.

    Capture d’écran montrant la création d’un fournisseur d’identité.

    a) Donnez un nom valide dans nom complet.

    b. Sélectionnez Microsoft ADFS/Entra ID (SAML 2.0) dans la liste déroulante.

    v. Sélectionnez Create (Créer).

  5. Accédez à Confiance -> Configuration SAML 2.0. Dans le champ fichier de métadonnées, sélectionnez Parcourir pour charger le fichier XML de métadonnées que vous avez téléchargé à partir de la configuration de l’authentification unique Microsoft Entra.

    Capture d’écran montrant la configuration du fournisseur d’identité.

  6. Cliquez sur Enregistrer.

  7. Effectuez les étapes suivantes uniquement si vous souhaitez ajouter et activer l’authentification unique pour une autre application SAP. Répétez les étapes décrites dans la section Ajouter SAP Cloud Identity Services à partir de la galerie.

  8. Dans le côté Entra, dans la page d’intégration de l’application SAP Cloud Identity Services , sélectionnez connexion liée.

    Capture d’écran montrant configurer l’authentification liée

  9. Enregistrez la configuration.

  10. Pour plus d’informations, consultez la documentation relative à SAP Cloud Identity Services à Intégration avec Microsoft Entra ID.

Remarque

La nouvelle application utilise la configuration de l’authentification unique de l’application SAP précédente. Veillez à utiliser les mêmes fournisseurs d’identité d’entreprise dans la console d’administration de SAP Cloud Identity Services.

Créer l’utilisateur test SAP Cloud Identity Services

Vous n’avez pas besoin de créer un utilisateur dans SAP Cloud Identity Services. Les utilisateurs qui se trouvent dans le magasin d’utilisateurs Microsoft Entra peuvent utiliser la fonctionnalité d’authentification unique (SSO).

SAP Cloud Identity Services prend en charge l’option de fédération des identités. Cette option permet à l’application de vérifier si les utilisateurs authentifiés par le fournisseur d’identité d’entreprise sont présents dans le magasin d’utilisateurs de SAP Cloud Identity Services.

L’option de fédération des identités est désactivée par défaut. Si la fédération des identités est activée, seuls les utilisateurs importés dans SAP Cloud Identity Services peuvent accéder à l’application.

Pour savoir comment activer ou désactiver la fédération des identités avec SAP Cloud Identity Services, consultez « Enable Identity Federation with SAP Cloud Identity Services » dans Configure Identity Federation with the User Store of SAP Cloud Identity Services.

Remarque

SAP Cloud Identity Services prend aussi en charge le provisionnement automatique d’utilisateurs. Vous trouverez plus d’informations ici sur la manière de le configurer.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration de l'authentification unique Microsoft Entra avec les options suivantes: lancé par le fournisseur de services et lancé par le fournisseur d’identité.

Si vous rencontrez des erreurs lors de la connexion à SAP Cloud Identity Services, avec un ID de corrélation, dans la console d’administration SAP Cloud Identity Services, vous pouvez rechercher les journaux de résolution des problèmes pour cet ID de corrélation. Pour plus d’informations, consultez l’article de la base de connaissances SAP 2698571 et l’article de la base de connaissances SAP 3201824.

Lancée par le fournisseur de services :

  • Sélectionnez Tester cette application, cette option redirige vers l’URL de connexion SAP Cloud Identity Services, où vous pouvez lancer le flux de connexion.

  • Accédez directement à l’URL d’authentification de SAP Cloud Identity Services pour lancer le processus de connexion.

Lancée par le fournisseur d’identité :

  • Sélectionnez Tester cette application et vous devez être connecté automatiquement à l’application SAP Cloud Identity Services pour laquelle vous avez configuré l’authentification unique.

Vous pouvez aussi utiliser Mes applications de Microsoft pour tester l’application dans n’importe quel mode. Lorsque vous sélectionnez la vignette SAP Cloud Identity Services dans Mes applications, si le mode Fournisseur de services est configuré, vous êtes redirigé vers la page de connexion de l’application pour lancer le flux de connexion et, s’il est configuré en mode Fournisseur d’identité, vous êtes automatiquement connecté à l’application SAP Cloud Identity Services pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Contenu connexe

Pour synchroniser les utilisateurs de Microsoft Entra vers SAP Cloud Identity Services, activez l’attribution automatisée d’utilisateurs.

Une fois que vous avez configuré l’authentification unique auprès de SAP Cloud Identity Services, vous pouvez également configurer SAP Cloud Identity Services pour transférer toutes les demandes d’authentification unique à Microsoft Entra. Lorsque cette option est activée dans SAP Cloud Identity Services, chaque fois qu’un utilisateur tente d’accéder à une application connectée à SAP Cloud Identity Services pour la première fois, SAP Cloud Identity Services transfère une demande d’authentification à Microsoft Entra, même quand l’utilisateur a une session active dans SAP Cloud Identity Services.

Vous pouvez également appliquer des contrôles de session, qui protègent l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Les contrôles de session sont étendus à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.

Vous pouvez également gérer l’accès aux applications SAP BTP à l’aide de Microsoft Entra ID Governance pour remplir les groupes associés aux rôles dans la collection de rôles BTP. Pour plus d’informations, consultez Gestion de l’accès à SAP BTP.

Consultez les recommandations et le guide des bonnes pratiques pour rendre la configuration opérationnelle.