Intégrer Microsoft Entra ID à SAP Cloud Platform Identity Authentication

  • 9 minutes

L’intégration de SAP Cloud Platform Identity Authentication avec Microsoft Entra ID vous offre les avantages suivants :

  • Dans Microsoft Entra ID, vous pouvez contrôler qui a accès à SAP Cloud Platform Identity Authentication.
  • Cela permet à vos utilisateurs d’être automatiquement connectés à SAP Cloud Platform Identity Authentication avec leurs comptes Microsoft Entra.
  • Vous pouvez gérer vos comptes dans un emplacement central : le portail Azure

Pour configurer l’intégration de SAP Cloud Platform Identity Authentication dans Microsoft Entra ID, ajoutez d’abord SAP Cloud Platform Identity Authentication à votre liste d’applications SaaS managées à partir de la galerie d’applications Microsoft Entra.

Configurer et tester l’authentification unique basée sur Microsoft Entra ID

Ensuite, vous devez configurer et tester l’authentification unique basée sur Microsoft Entra ID à l’aide de la séquence d’étapes suivante :

  1. Configurez l’authentification unique Microsoft Entra afin de permettre à vos utilisateurs d’utiliser cette fonctionnalité.
  2. Configurer l’authentification unique SAP Cloud Platform Identity Authentication pour configurer les paramètres d’authentification unique côté application.
  3. Affectez des utilisateurs Microsoft Entra à SAP Cloud Platform Identity Authentication.

Configurer l'authentification unique Microsoft Entra

  1. Dans le portail Azure, dans la page Intégration de l’application SAP Cloud Platform Identity Authentication, sélectionnez Authentification unique.

  2. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez le mode SAML/WS-Fed afin d’activer l’authentification unique.

  3. Dans la page Configurer l’authentification unique avec SAML, sélectionnez l’icône Modifier pour ouvrir la boîte de dialogue Configuration SAML de base.

  4. Dans la section Configuration SAML de base :

    • Pour configurer le mode initié par IDP, spécifiez l’identificateur de locataire SAP de la plateforme Cloud SAP (ID d’entité) et l’URL de réponse correspondante (URL du service consommateur d’assertion).
    • Pour configurer l’application en mode initié par le fournisseur de service, sélectionnez Définir des URL supplémentaires et indiquez l’URL d’authentification.

Pour obtenir ces valeurs, vous pouvez contacter l’équipe de support client SAP Cloud Platform Identity Authentication.

L’application SAP Cloud Platform Identity Authentication attend les assertions SAML dans un format précis. Configurez les revendications pertinentes pour cette application, notamment givenname, surname, emailaddress, name, et Unique User Identifier. Vous pouvez gérer les valeurs de ces attributs à partir de la section « Attributs utilisateur » sur la page d’intégration des applications.

Configurer l’authentification unique SAP Cloud Platform Identity Authentication

Pour configurer l’authentification unique pour votre application, accédez à la console d’administration de SAP Cloud Platform Identity Authentication. Sous Fournisseurs d’identité, choisissez la vignette Fournisseurs d’identité d’entreprise. Cliquez sur le bouton Ajouter pour créer un fournisseur d’identité d’entreprise Microsoft Entra. Sous SAML 2.0, choisissez Configuration SAML 2.0.

Téléchargez le fichier XML de métadonnées Microsoft Entra ou configurez manuellement les champs suivants :

  • Nom : ID d’entité du fournisseur d’identité d’entreprise.
  • URL du point de terminaison d’authentification unique : URL du point de terminaison d’authentification unique du fournisseur d’identité qui reçoit les demandes d’authentification. Pour la Liaison, choisissez celle qui correspond au point de terminaison d’authentification unique concerné.
  • URL du point de terminaison de déconnexion unique : URL du point de terminaison de déconnexion unique du fournisseur d’identité qui reçoit les messages de déconnexion. Pour la Liaison, choisissez celle qui correspond au point de terminaison de déconnexion unique concerné.
  • Certificat de signature : certificat encodé en base64 utilisé par le fournisseur d’identité pour signer numériquement les messages du protocole SAML envoyés à Identity Authentication.

Attribuer des utilisateurs Microsoft Entra

  1. Dans le portail Azure, sélectionnez Applications d'entreprise, puis Toutes les applications et SAP Cloud Platform Identity Authentication.

  2. Dans la liste des applications, sélectionnez SAP Cloud Platform Identity Authentication.

  3. Dans le portail Azure, sélectionnez Utilisateurs et groupes.

  4. Sélectionnez le bouton Ajouter un utilisateur, puis sélectionnez les utilisateurs et les groupes que vous souhaitez affecter à l’application dans le dialogue Ajouter une attribution.

  5. Si vous attendez une valeur de rôle dans l’assertion SAML, dans la boîte de dialogue Sélectionner un rôle, choisissez le rôle approprié pour l’utilisateur dans la liste, puis cliquez sur le bouton Sélectionner en bas de l’écran. Dans la boîte de dialogue Ajouter une attribution, sélectionnez le bouton Attribuer.

    Notes

    Vous n’avez pas besoin de créer un utilisateur dans SAP Cloud Platform Identity Authentication. Les utilisateurs qui se trouvent dans le magasin d’utilisateurs Microsoft Entra peuvent utiliser la fonctionnalité d’authentification unique (SSO). SAP Cloud Platform Identity Authentication prend en charge l’option de fédération des identités. Cette option permet à l’application de vérifier si les utilisateurs authentifiés par le fournisseur d’identité d’entreprise sont présents dans le magasin d’utilisateurs de SAP Cloud Platform Identity Authentication. L’option de fédération des identités est désactivée par défaut. Si la fédération des identités est activée, seuls les utilisateurs importés dans SAP Cloud Platform Identity Authentication peuvent accéder à l’application.

  6. Pour vérifier le résultat, sélectionnez la vignette SAP Cloud Platform Identity Authentication dans le volet d’accès. Vous devriez être automatiquement connecté à l’application SAP Cloud Platform Identity Authentication pour laquelle vous avez configuré l’authentification unique.