intégrer Microsoft Entra ID au protocole SAP Fiori

Effectué

L'intégration du protocole SAP Fiori à Microsoft Entra ID vous offre les avantages suivants :

• vous pouvez utiliser Microsoft Entra ID pour contrôler tout accès au protocole SAP Fiori.
• Les utilisateurs peuvent être automatiquement connectés au protocole SAP Fiori via leurs comptes Microsoft Entra (authentification unique).
• Vous pouvez centraliser la gestion de vos comptes à un seul emplacement : le Portail Azure.

Pour configurer l'intégration de Microsoft Entra au protocole SAP Fiori, vous avez besoin des éléments suivants :

• Un abonnement Microsoft Entra.
• Un abonnement SAP Fiori pour lequel l’authentification unique est activée.
• SAP Fiori 7.20 ou version ultérieure est nécessaire.

Ajouter SAP Fiori à partir de la Galerie

pour intégrer le protocole SAP Fiori à Microsoft Entra ID, vous devez au préalable ajouter le protocole SAP Fiori de la galerie d'application SaaS à votre liste d'applications SaaS gérées.

Configurer l'authentification unique de Microsoft Entra avec le protocole SAP Fiori

Pour que l'authentification unique fonctionne, vous devez établir une relation liée entre un utilisateur Microsoft Entra et l'utilisateur correspondant dans le protocole SAP Fiori. Effectuez les tâches suivantes :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
2. Configurez l’authentification unique SAP Fiori.
3. Attribuez des utilisateurs Microsoft Entra à l'application du protocole SAP Fiori.
4. Créez des utilisateurs du protocole SAP Fiori liés à leurs comptes d'utilisateur Microsoft Entra.

Configurer l'authentification unique Microsoft Entra

1. Ouvrez une nouvelle fenêtre de navigateur web et connectez-vous à votre site d’entreprise SAP Fiori en tant qu’administrateur. Vérifiez que les services http et https sont actifs, et que les ports appropriés sont affectés au code de transaction SMICM.

2. Connectez-vous à SAP Business Client pour le système SAP T01, où l’authentification unique est requise. Ensuite, activez la gestion de session de sécurité HTTP. Accédez au code de transaction SICF_SESSIONS et passez en revue les paramètres du profil. Ajustez les paramètres en fonction des besoins de votre organisation et redémarrez le système SAP.

3. Activez les services SICF suivants :

   • /sap/public/bc/sec/saml2
   • /sap/public/bc/sec/cdc_ext_service
   • /sap/bc/webdynpro/sap/saml2
   • /sap/bc/webdynpro/sap/sec_diag_tool (utilisé uniquement pour activer/désactiver la trace)

4. Accédez au code de transaction SAML2 dans Business Client pour le système SAP [T01/122]. L’interface utilisateur de configuration s’ouvre dans une nouvelle fenêtre de navigateur. Entrez votre nom d’utilisateur et votre mot de passe, puis sélectionnez Log on (Connexion).

5. Dans la zone Nom du fournisseur, remplacez T01122 par <http://T01122>, puis sélectionnez Enregistrer.

   Notes

   Par défaut, le nom du fournisseur est au format _sid-client_. Microsoft Entra ID attend le nom au format protocol://name. Nous vous recommandons de conserver le nom du fournisseur comme https:// _sid-client_ afin de pouvoir configurer plusieurs moteurs ABAP du protocole SAP Fiori dans Microsoft Entra ID.

6. Sélectionnez l’onglet Fournisseur local/Métadonnées. Dans la boîte de dialogue SAML 2.0 Metadata (Métadonnées SAML 2.0), téléchargez le fichier XML de métadonnées généré et enregistrez-le sur votre ordinateur.

7. Dans le portail Azure, dans le volet Intégration d’application SAP Fiori, sélectionnez Authentification unique.

8. Dans le volet Sélectionner une méthode d’authentification unique, sélectionnez le mode SAML ou SAML/WS-Fed pour activer l’authentification unique.

9. Dans le volet Configurer l’authentification unique avec SAML, sélectionnez Modifier (icône de crayon) pour ouvrir le volet Configuration SAML de base.

10. Dans la section Configuration SAML de base, sélectionnez Charger le fichier de métadonnées et utilisez l’option Charger le fichier de métadonnées pour charger le fichier de métadonnées que vous avez téléchargé précédemment.

11. Une fois le fichier de métadonnées chargé, les valeurs Identificateur et URL de réponse sont renseignées automatiquement dans le volet Configuration SAML de base. Dans la zone URL de connexion, entrez une URL au format suivant : https://[instance SAP Fiori de votre entreprise].

12. L’application SAP Fiori attend les assertions SAML dans un format spécifique. Les revendications, notamment givenname, surname, emailaddress, name et Unique User Identifier. Pour gérer leurs valeurs, dans le volet Configurer l'authentification unique avec SAML, sélectionnez Modifier.

13. Dans le volet Attributs utilisateur et revendications, configurez les attributs du jeton SAML. Effectuez ensuite les tâches suivantes :

    • Sélectionnez Modifier pour ouvrir le volet Gérer les revendications des utilisateurs.
    • Dans la liste Transformation, sélectionnez ExtractMailPrefix() .
    • Dans la liste Paramètre 1, sélectionnez user.userprinicipalname.

14. Dans le volet Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, sélectionnez Télécharger en regard de XML de métadonnées de fédération.

15. Sélectionnez une option de téléchargement en fonction de vos exigences. Enregistrez le certificat sur votre ordinateur.

16. Dans la section Configurer SAP Fiori, copiez les URL suivantes en fonction de vos besoins :

    • URL de connexion
    • Identificateur Microsoft Entra
    • URL de déconnexion

Configurer l’authentification unique SAP Fiori

1. Connectez-vous au système SAP et accédez au code de transaction SAML2. Une nouvelle fenêtre de navigateur s’ouvre avec la page de configuration SAML.

2. Pour configurer des points de terminaison pour un fournisseur d’identité approuvé (Microsoft Entra ID), accédez à l’onglet Trusted Providers (Fournisseurs approuvés).

3. Sélectionnez Add (Ajouter) puis Upload Metadata File (Charger le fichier de métadonnées) dans le menu contextuel.

4. Chargez le fichier de métadonnées que vous avez téléchargé dans le portail Azure.

5. Sur la page suivante, dans la zone Alias, entrez un nom d’alias arbitraire.

6. Vérifiez que la valeur de la zone Digest Algorithm est SHA-256.

7. Sous Points de terminaison d’authentification unique, sélectionnez HTTP POST.

8. Sous Points de terminaison de déconnexion uniques, sélectionnez HTTP Redirect.

9. Acceptez les paramètres par défaut des Points de terminaison d’artefact et des Exigences d’authentification.

10. Sélectionnez Fournisseur approuvé / Fédération des identités et formats NameID non spécifiés pris en charge.

11. Les valeurs user ID Source (Source d’ID utilisateur) et user ID mapping mode (Mode de mappage d’ID utilisateur) déterminent le lien entre l’utilisateur SAP et la revendication Microsoft Entra. Il existe deux scénarios pris en charge :

    • Scenario 1 : Mappage d’un utilisateur SAP à un utilisateur Microsoft Entra
    • Scénario 2 : Sélectionner un ID utilisateur SAP en fonction de l’adresse e-mail configurée dans SU01. Dans ce cas, l’ID de l’adresse e-mail doit être configuré dans SU01 pour chaque utilisateur nécessitant l’authentification unique.

Attribuer des utilisateurs Microsoft Entra

1. Dans le portail Azure, sélectionnez Applications d’entreprise, Toutes les applications, puis SAP Fiori.

2. Dans la liste des applications, sélectionnez SAP Fiori.

3. Pour vérifier le résultat, après l'activation du fournisseur d'identité Microsoft Entra ID dans le protocole SAP Fiori, essayez d'accéder à l'une des URL suivantes pour tester l'authentification unique comme utilisateur attribué (il ne vous sera pas demandé d'entrer un nom d'utilisateur et un mot de passe) :

   • https://help.sap.com/doc/saphelp_nw73ehp1/7.31.19/en-US/49/4594d63a293b5be10000000a42189b/content.htm
   • https://help.sap.com/doc/saphelp_nw73ehp1/7.31.19/en-US/49/4594d63a293b5be10000000a42189b/content.htm