Intégrer Active Directory avec l’authentification unique SAP (Kerberos-SPNEGO)

  • 5 minutes

Active Directory peut être intégré à l’authentification unique SAP en configurant votre système SAP avec la SNC (communication réseau sécurisée). L’objectif principal de la SNC est de sécuriser les connexions entre le serveur d’applications NetWeaver ABAP et les applications externes, y compris l’interface graphique utilisateur SAP. La SNC fournit une interface pour les produits de sécurité externes qui peuvent être utilisés afin d’activer l’authentification unique.

Intégrer l’authentification unique SAP à Active Directory

  1. Configurez le système SAP : À partir de la version 7.31 de NetWeaver ABAP, utilisez les assistants de configuration (transactions SNCWIZARD et SPNEGO) dans votre système SAP pour configurer l’authentification unique. Pour les versions antérieures de NetWeaver ABAP, ou si vous n’avez pas accès aux assistants de configuration, vous pouvez configurer manuellement l’authentification unique :

    1. Créez un utilisateur AD à utiliser comme compte de service pour le système NetWeaver ABAP (de préférence avec un mot de passe qui n’expire pas).
    2. Utilisez SETSPN pour enregistrer le nom de principal du service (SPN) de l’utilisateur créé à l’étape précédente.
    3. Installez CommonCryptoLib sur votre système SAP.
    4. Définissez le répertoire SECUDIR (à savoir le répertoire où se trouvent le fichier de ticket de licence CommonCryptoLib et les fichiers PSE). Pour définir un répertoire comme répertoire SECUDIR, créez une variable d’environnement appelée SECUDIR et pointez-la vers un répertoire. Exemple : \usr\sap[SID]\DVEBMGS00\sec
    5. Dans votre instance SAP, définissez les paramètres de profil qui référencent l’emplacement de sapcrypto.dll et le SPN nouvellement créé.
    6. Redémarrez l’instance SAP.
    7. Créez le fichier Keytab Kerberos et le fichier SAP Cryptolib PSE correspondant pour la SNC basée sur Kerberos.

  2. Configurer le mappage utilisateur :

    1. Connectez-vous à votre instance SAP via SAPGUI et exécutez la transaction SU01.
    2. Dans le champ de nom, entrez votre utilisateur SAP (ou l’utilisateur que vous souhaitez mapper pour l’authentification unique), puis sélectionnez Modifier.
    3. Sélectionnez l’onglet SNC et tapez le nom SNC que vous avez configuré au cours de la tâche précédente au format p:CN=NomPrincipalService@domaine.

  3. Installez un logiciel de connexion sécurisée sur les ordinateurs clients.

  4. Configurez l’interface graphique utilisateur SAP pour la communication SNC.

    1. Dans l’interface Paramètres de réseau sécurisé, tapez le nom SNC au format p:CN=NomPrincipalService@domaine.
    2. Établissez une connexion. Vous devriez vous connecter sans avoir à entrer de mot de passe.