Configurer SAP Business Technology Platform pour l’authentification unique avec l’ID Microsoft Entra

Dans cet article, vous allez apprendre à intégrer SAP Business Technology Platform à Microsoft Entra ID. Lorsque vous intégrez SAP Business Technology Platform à Microsoft Entra ID, vous pouvez :

• Contrôler les accès à SAP Business Technology Platform depuis Microsoft Entra ID.
• Permettre à vos utilisateurs de se connecter automatiquement à SAP Business Technology Platform avec leur compte Microsoft Entra.
• Gérez vos comptes dans un emplacement central.
• Attribuez des utilisateurs dans Microsoft Entra aux rôles SAP Business Technology Platform.

Conditions préalables

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

• Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
• L’un des rôles suivants :
  • Administrateur d’application
  • Administrateur d’applications cloud
  • Propriétaire de l’application.

• Un abonnement SAP Business Technology Platform pour lequel l’authentification unique est activée.

Important

Vous devez déployer votre propre application ou vous abonner à une application sur votre compte SAP Business Technology Platform pour tester l’authentification unique. Dans cet article, une application est déployée dans le compte.

Description du scénario

Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

• SAP Business Technology Platform prend en charge le SSO initié par le fournisseur de services.

Ajouter SAP Business Technology Platform à partir de la galerie

Pour configurer l’intégration de SAP Business Technology Platform à Microsoft Entra ID, vous devez ajouter SAP Business Technology Platform à partir de la galerie à votre liste d’applications SaaS gérées.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu'administrateur d’application cloud au minimum.
2. Accédez à Entra ID>applications d'entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie , tapez SAP Business Technology Platform dans la zone de recherche.
4. Sélectionnez SAP Business Technology Platform dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’Assistant de Configuration d'Application d'Entreprise . Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les Assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour SAP Business Technology Platform

Configurez et testez l’authentification unique Microsoft Entra avec SAP Business Technology Platform à l’aide d’un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur SAP Business Technology Platform associé.

Pour configurer et tester l’authentification unique Microsoft Entra avec SAP Business Technology Platform, procédez comme suit :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
   1. Créer un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec Britta Simon.
   2. Affectez l’utilisateur de test Microsoft Entra pour permettre à Britta Simon d’utiliser l’authentification unique Microsoft Entra.
2. Configurez l’authentification unique sur SAP Business Technology Platform - pour configurer les paramètres de Sign-On de manière individuelle côté application.
   1. Créer un utilisateur de test SAP Business Technology Platform pour avoir un équivalent de Britta Simon dans SAP Business Technology Platform lié à la représentation Microsoft Entra de l’utilisateur.
3. Testez le SSO pour vérifier si la configuration fonctionne correctement.

Configurer l’authentification unique Microsoft Entra

Suivez ces étapes pour activer l’authentification unique Microsoft Entra.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu'administrateur d’application cloud au minimum.

2. Accédez à Entra ID>Enterprise apps>SAP Business Technology Platform>Single sign-on.

3. Dans la page Sélectionner une méthode d’authentification unique , sélectionnez SAML.

4. Dans la page Configurer l’authentification unique avec SAML , sélectionnez l’icône crayon de configuration SAML de base pour modifier les paramètres.

   

5. Dans la section Configuration SAML de base , entrez les valeurs des champs suivants :

   a) Dans la zone de texte Identificateur , vous fournissez le type d’URL de votre plateforme de technologie métier SAP à l’aide de l’un des modèles suivants :

   Identificateur
   https://hanatrial.ondemand.com/<instancename>
   https://hana.ondemand.com/<instancename>
   https://us1.hana.ondemand.com/<instancename>
   https://ap1.hana.ondemand.com/<instancename>

   b. Dans l’URL de réponse zone de texte, tapez une URL à l’aide de l’un des modèles suivants :

   URL de réponse
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>
   https://<subdomain>.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
   https://<subdomain>.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
   https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

   v. Dans la zone de texte URL de connexion, tapez l’URL utilisée par vos utilisateurs pour vous connecter à votre application SAP Business Technology Platform . Il s’agit de l’URL spécifique au compte d’une ressource protégée dans votre application SAP Business Technology Platform. L’URL est basée sur le modèle suivant : https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

   Remarque

   Il s’agit de l’URL de votre application SAP Business Technology Platform qui oblige l’utilisateur à s’authentifier.

   URL de connexion
   https://<subdomain>.hanatrial.ondemand.com/<instancename>
   https://<subdomain>.hana.ondemand.com/<instancename>

   Remarque

   Ces valeurs ne sont pas réelles. Mettez à jour ces valeurs avec l’IDENTIFICATEUR, l’URL de réponse et l’URL de connexion réels. Contactez l’équipe du support technique SAP Business Technology Platform pour obtenir Sign-On URL et identificateur. URL de réponse que vous pouvez obtenir à partir de la section de gestion de la confiance, qui sera expliquée plus loin dans l'article.

6. Dans la page Configurer un seul Sign-On avec SAML , dans la section Certificat de signature SAML , sélectionnez Télécharger pour télécharger le xml des métadonnées de fédération à partir des options fournies en fonction de vos besoins et enregistrez-le sur votre ordinateur.

   

Créer et affecter un utilisateur de test Microsoft Entra

Suivez les instructions de création et d’affectation d’un compte d’utilisateur pour créer un compte d’utilisateur de test appelé B.Simon.

Configurer SSO pour SAP Business Technology Platform

1. Dans une autre fenêtre de navigateur web, connectez-vous à SAP Business Technology Platform Cockpit à https://account.<landscape host>.ondemand.com/cockpit(par exemple : https://account.hanatrial.ondemand.com/cockpit).

2. Sélectionnez l’onglet Approbation .

   

3. Dans la section Gestion des approbations, sous Fournisseur de services locaux, procédez comme suit :

   

   a) Sélectionnez Modifier.

   b. En tant que type de configuration, sélectionnez Personnalisé.

   v. En tant que nom de fournisseur local, conservez la valeur par défaut. Copiez cette valeur et collez-la dans le champ Identificateur de la configuration Microsoft Entra pour SAP Business Technology Platform.

   d. Pour générer une clé de signature et une paire de clés de certificat de signature , sélectionnez Générer une paire de clés.

   é. Pour propagation du principal, sélectionnez Désactivé.

   f. Lorsque force l’authentification, sélectionnez Désactivé.

   g. Sélectionnez Enregistrer.

4. Après avoir enregistré les paramètres du fournisseur de services locaux , procédez comme suit pour obtenir l’URL de réponse :

   

   a) Téléchargez le fichier de métadonnées SAP Business Technology Platform en sélectionnant Obtenir les métadonnées.

   b. Ouvrez le fichier XML des métadonnées SAP Business Technology Platform téléchargé, puis recherchez la balise ns3 :AssertionConsumerService .

   v. Copiez la valeur de l’attribut Location , puis collez-la dans le champ URL de réponse dans la configuration Microsoft Entra pour SAP Business Technology Platform.

5. Sélectionnez l’onglet Fournisseur d’identité approuvé, puis sélectionnez Ajouter un fournisseur d’identité approuvé.

   

   Remarque

   Pour gérer la liste des fournisseurs d’identité approuvés, vous devez avoir choisi le type de configuration personnalisé dans la section Fournisseur de services locaux. Pour le type de configuration par défaut, vous disposez d’une approbation non modifiable et implicite pour le service d’ID SAP. Pour None, vous n'avez pas de paramètres de confiance.

6. Sélectionnez l’onglet Général , puis sélectionnez Parcourir pour charger le fichier de métadonnées téléchargé.

   

   Remarque

   Après avoir chargé le fichier de métadonnées, les valeurs pour l’URL d’authentification unique, l’URL de déconnexion unique et le certificat de signature sont renseignées automatiquement.

7. Sélectionnez l’onglet Attributs .

8. Sous l’onglet Attributs , effectuez l’étape suivante :

   

   a) Sélectionnez Ajouter Assertion-Based Attribut, puis ajoutez les attributs basés sur l’assertion suivants :

   Attribut d’assertion	Attribut principal
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	prénom
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	nom de famille
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	Messagerie électronique

   Remarque

   La configuration des attributs dépend de la façon dont les applications sur SCP sont développées, c’est-à-dire quels attributs attendent dans la réponse SAML et sous quel nom (attribut principal) ils accèdent à cet attribut dans le code.

   b. L’attribut par défaut dans la capture d’écran est uniquement à des fins d’illustration. Il n’est pas nécessaire de faire fonctionner le scénario.

   v. Les noms et les valeurs de l’attribut principal affichés dans la capture d’écran dépendent de la façon dont l’application est développée. Il est possible que votre application nécessite différents mappages.

Groupes basés sur des assertions

En guise d’étape facultative, vous pouvez configurer des groupes basés sur des assertions pour votre fournisseur d’identité Microsoft Entra.

L’utilisation de groupes sur SAP Business Technology Platform vous permet d’affecter dynamiquement un ou plusieurs utilisateurs à un ou plusieurs rôles dans vos applications SAP Business Technology Platform, déterminées par les valeurs d’attributs dans l’assertion SAML 2.0.

Par exemple, si l’assertion contient l’attribut « contract=temporary », vous souhaiterez peut-être que tous les utilisateurs affectés soient ajoutés au groupe « TEMPORARY ». Le groupe « TEMPORAIRE » peut contenir un ou plusieurs rôles d’une ou plusieurs applications déployées dans votre compte SAP Business Technology Platform.

Utilisez des groupes basés sur des assertions lorsque vous souhaitez affecter simultanément de nombreux utilisateurs à un ou plusieurs rôles d’applications dans votre compte SAP Business Technology Platform. Si vous souhaitez affecter un seul ou petit nombre d’utilisateurs à des rôles spécifiques, nous vous recommandons de les affecter directement dans l’onglet « Autorisations» du cockpit SAP Business Technology Platform.

Créer un utilisateur de test SAP Business Technology Platform

Pour permettre aux utilisateurs De Microsoft Entra de se connecter à SAP Business Technology Platform, vous devez leur attribuer des rôles dans SAP Business Technology Platform.

Pour attribuer un rôle à un utilisateur, procédez comme suit :

1. Connectez-vous à votre poste de pilotage SAP Business Technology Platform .

2. Procédez comme suit :

   

   a) Sélectionnez Autorisation.

   b. Sélectionnez l’onglet Utilisateurs .

   v. Dans la zone de texte Utilisateur , tapez l’adresse e-mail de l’utilisateur.

   d. Sélectionnez Attribuer pour affecter l’utilisateur à un rôle.

   é. Sélectionnez Enregistrer.

Tester l’authentification unique (SSO)

Dans cette section, vous allez tester la configuration de l’authentification unique Microsoft Entra avec les options suivantes.

• Sélectionnez Tester cette application, cette option redirige vers l’URL de connexion SAP Business Technology Platform où vous pouvez lancer le flux de connexion.

• Accédez directement à l’URL de connexion SAP Business Technology Platform pour lancer le flux de connexion.

• Vous pouvez utiliser Microsoft My Apps. Lorsque vous sélectionnez la vignette SAP Business Technology Platform dans Mes applications, vous devez être connecté automatiquement à l’application SAP Business Technology Platform pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Créer des groupes pour les rôles d’application SAP Business Technology Platform et affecter des groupes à la collection de rôles Business Technology Platform

Vous pouvez créer des groupes de sécurité Microsoft Entra et mapper ces ID de groupe aux rôles d’application. Pour plus d’informations, consultez Gestion de l’accès à SAP BTP.

Contenu connexe

• Après avoir configuré SAP Business Technology Platform, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session s’étend de l’accès conditionnel. Découvrez comment appliquer le contrôle de session avec Microsoft Defender pour Cloud Apps.