Intégrer Microsoft Entra ID à SAP NetWeaver

  • 13 minutes

L’intégration de SAP NetWeaver à Microsoft Entra ID vous offre les avantages suivants :

  • Dans Microsoft Entra ID, vous pouvez contrôler tous les accès à SAP NetWeaver.
  • Vous pouvez activer la connexion automatique à SAP NetWeaver (authentification unique) pour vos utilisateurs par leurs comptes Microsoft Entra.
  • Vous pouvez gérer vos comptes dans un emplacement central : le portail Azure

Pour configurer l’intégration de Microsoft Entra au protocole SAP NetWeaver, vous avez besoin des éléments suivants :

  • Un abonnement Microsoft Entra
  • Un abonnement SAP NetWeaver pour lequel l’authentification unique est activée
  • SAP NetWeaver v7.20 requis au minimum

SAP NetWeaver prend en charge l’authentification unique initiée par le fournisseur de service.

Pour configurer l’intégration de SAP NetWeaver à Microsoft Entra ID, commencez par ajouter SAP NetWeaver à partir de la galerie à votre liste d’applications SaaS gérées.

Configurer et tester l'authentification unique Microsoft Entra

Pour configurer l’authentification unique Microsoft Entra avec SAP NetWeaver, vous devez suivre les étapes suivantes :

  1. Configurez l’authentification unique Microsoft Entra – afin de permettre aux utilisateurs d’utiliser cette fonctionnalité.
  2. Configurez l’authentification unique SAP NetWeaver pour configurer les paramètres de l’authentification unique côté application.
  3. Affectez l’utilisateur de test Microsoft Entra ID à l’application Microsoft Entra.
  4. Créez des utilisateurs du protocole SAP NetWeaver liés à leurs comptes d’utilisateur Microsoft Entra.

Configurer l'authentification unique Microsoft Entra

Pour configurer l’authentification unique Microsoft Entra avec SAP NetWeaver, effectuez les étapes suivantes :

  1. Ouvrez une nouvelle fenêtre de navigateur web et connectez-vous à votre site d’entreprise SAP NetWeaver en tant qu’administrateur.

  2. Assurez-vous que les services HTTP et HTTPS sont actifs et que les ports appropriés sont affectés dans SMICM T-Code.

  3. Connectez-vous au client d’entreprise du système SAP (T01), qui demande l’authentification unique, puis activez la gestion des sessions de sécurité HTTP.

  4. Accédez à Code de transaction SICF_SESSIONS. Passez en revue tous les paramètres de profil. Ajustez selon les besoins de votre organisation, puis redémarrez le système SAP.

  5. Double-cliquez sur le client approprié pour activer une session de sécurité HTTP.

  6. Activez les services SICF suivants :

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (utilisé uniquement pour activer/désactiver la trace)

  7. Accédez à Code de transaction SAML2 dans le client d’entreprise du système SAP [T01/122]. Une interface utilisateur s’ouvre dans un navigateur.

  8. Spécifiez votre nom d’utilisateur et votre mot de passe pour entrer dans l’interface utilisateur, puis sélectionnez Modifier.

  9. Remplacez le Nom du fournisseurT01122 par <http://T01122>, puis sélectionnez Enregistrer.

  10. Par défaut, le nom du fournisseur est au format [sid][client], mais Microsoft Entra ID s’attend à ce qu’il soit au format protocole://[sid][client]. Nous vous recommandons de conserver le nom du fournisseur au format https://[sid][client] pour permettre la configuration de plusieurs moteurs SAP NetWeaver ABAP dans Microsoft Entra ID.

  11. Générer les métadonnées du fournisseur de services : une fois que vous avez fini de configurer les paramètres du fournisseur local et des fournisseurs approuvés sur l’interface utilisateur SAML 2.0, l’étape suivante consiste à générer le fichier de métadonnées du fournisseur de services (qui contient tous les paramètres, les contextes d’authentification et d’autres configurations dans SAP).

  12. Sous l’onglet Fournisseur local, sélectionnez Métadonnées.

  13. Enregistrez le fichier XML de métadonnées généré sur votre ordinateur et chargez-le dans la section Configuration SAML de base pour renseigner automatiquement les valeurs Identificateur et URL de réponse dans le portail Azure.

  14. Dans le portail Azure, dans la page Intégration de l'application SAP NetWeaver, sélectionnez Authentification unique.

  15. Dans la boîte de dialogue Sélectionner une méthode d’authentification unique, sélectionnez le mode SAML/WS-Fed afin d’activer l’authentification unique.

  16. Dans la page Configurer l’authentification unique avec SAML, sélectionnez l’icône Modifier pour ouvrir la boîte de dialogue Configuration SAML de base.

  17. Dans la section Configuration SAML de base, effectuez les étapes suivantes :

    1. Sélectionnez Charger le fichier de métadonnées pour charger le fichier de métadonnées du fournisseur de services que vous avez obtenu précédemment.
    2. Sélectionnez le logo de dossier pour sélectionner le fichier de métadonnées, puis Charger.
    3. Une fois le fichier de métadonnées chargé, les valeurs Identificateur et URL de réponse sont automatiquement renseignées dans la zone de texte de la section Configuration SAML de base, comme indiqué :
    4. Dans la zone de texte URL de connexion, tapez une URL au format suivant : https://[instance SAP NetWeaver de votre entreprise]

  18. L’application SAP NetWeaver attend les assertions SAML dans un format spécifique. Les revendications, notamment givenname, surname, emailaddress, name et Unique User Identifier. Vous pouvez gérer leurs valeurs à partir de la section Attributs utilisateur sur la page Intégration de l’application.

  19. Dans la page Configurer l’authentification unique avec SAML, cliquez sur le bouton Modifier pour ouvrir la boîte de dialogue Attributs utilisateur.

  20. Dans la section Revendications de l’utilisateur de la boîte de dialogue Attributs utilisateur, configurez l’attribut de jeton SAML et procédez comme suit :

    1. Sélectionnez l’icône Modifier pour ouvrir la boîte de dialogue Gérer les revendications utilisateur.
    2. Dans la liste Transformation, sélectionnez ExtractMailPrefix() .
    3. Dans la liste Paramètre 1, sélectionnez user.userprinicipalname.
    4. Sélectionnez Enregistrer.

  21. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, sélectionnez Télécharger pour télécharger le fichier XML de métadonnées de fédération en fonction des options que vous avez définies par rapport à vos besoins, puis enregistrez-le sur votre ordinateur.

  22. Dans la section Configurer SAP NetWeaver, copiez les URL appropriées en fonction de vos besoins.

    • URL de connexion
    • Identificateur Microsoft Entra
    • URL de déconnexion

Configurer l’authentification unique SAP NetWeaver

  1. Connectez-vous au système SAP et accédez au code de transaction SAML2. Cela ouvre une nouvelle fenêtre de navigateur sur l’écran de configuration SAML.

  2. Pour configurer des points de terminaison pour le fournisseur d’identité approuvé (Microsoft Entra ID), accédez à l’onglet Fournisseurs approuvés.

  3. Appuyez sur Add (Ajouter) et sélectionnez Upload Metadata File (Charger le fichier de métadonnées) dans le menu contextuel.

  4. Chargez le fichier de métadonnées que vous avez téléchargé à partir du portail Azure.

  5. Dans l’écran suivant, tapez un nom d’Alias arbitraire. Vérifiez que votre Digest Algorithm (Algorithme Digest) est SHA-256 et qu’aucun changement n’est requis, puis appuyez sur Next (Suivant).

  6. Sur Points de terminaison d’authentification unique, utilisez HTTP POST, puis sélectionnez Suivant pour continuer.

  7. Sur Points de terminaison de déconnexion uniques, sélectionnez HTTP Redirect, puis cliquez sur Suivant pour continuer.

  8. Dans Artifact Endpoints (Points de terminaison d’artefact), appuyez sur Next (Suivant) pour continuer.

  9. Dans Conditions d’authentification, acceptez les paramètres par défaut et sélectionnez Terminer.

  10. Accédez à l’onglet Fournisseur approuvé, puis Fédération d’identité.

  11. Sélectionnez Modifier.

  12. Sélectionnez Ajouter sous l’onglet Fédération d’identité.

  13. Dans la fenêtre contextuelle, sélectionnez Non spécifié dans les formats NameID pris en charge, puis sélectionnez OK. Les valeurs de la source de l’ID utilisateur et du mode de mappage de l’ID utilisateur déterminent le lien entre l’utilisateur SAP et la revendication Microsoft Entra.

  14. Il existe deux scénarios possibles :

    • Scenario : Mappage d’un utilisateur SAP à un utilisateur Microsoft Entra.
    • Scénario : Sélectionner un identifiant utilisateur SAP en fonction de l’adresse e-mail configurée dans SU01. Dans ce cas, l’ID de l’adresse e-mail doit être configurée dans su01 pour chaque utilisateur nécessitant l’authentification unique.

  15. Sélectionnez Enregistrer, puis Activer pour activer le fournisseur d’identité.

Attribuer des utilisateurs Microsoft Entra

Dans le portail Azure, sélectionnez Applications d’entreprise, Toutes les applications, puis sélectionnez SAP NetWeaver. Dans la liste des applications, sélectionnez SAP NetWeaver.

Créer des utilisateurs SAP NetWeaver

  1. Pour permettre aux utilisateurs Microsoft Entra de se connecter à SAP NetWeaver, vous devez les approvisionner dans SAP NetWeaver. Collaborez avec votre équipe d’experts SAP en interne ou le partenaire SAP de votre organisation pour ajouter des utilisateurs dans la plateforme SAP NetWeaver.
  2. Pour vérifier le résultat, après l’activation du fournisseur d’identité Microsoft Entra ID, accédez à <https://sapurl/sap/bc/bsp/sap/it00/default.htm> (remplacez sapurl par l’actuel nom d’hôte SAP) pour vérifier l’authentification unique. Aucun nom d’utilisateur ni mot de passe ne doit être demandé.