Configurer SAP NetWeaver pour l’authentification unique avec l’ID Microsoft Entra

Dans cet article, vous allez apprendre à intégrer SAP NetWeaver à Microsoft Entra ID. Quand vous intégrez SAP NetWeaver à Microsoft Entra ID, vous pouvez :

• Contrôler dans Microsoft Entra ID à qui l'accès est accordé à SAP NetWeaver.
• Permettre à vos utilisateurs d’être automatiquement connectés à SAP NetWeaver avec leurs comptes Microsoft Entra.
• Gérer vos comptes à partir d’un emplacement central.

Prérequis

Le scénario décrit dans cet article suppose que vous disposez déjà des conditions préalables suivantes :

• Un compte d’utilisateur Microsoft Entra avec un abonnement actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
• L’un des rôles suivants :
  • Administrateur d’application
  • Administrateur d’application cloud
  • Responsable de l’application.

• Un abonnement SAP NetWeaver pour lequel l’authentification unique est activée.
• SAP NetWeaver V7.20 ou version ultérieure

Description du scénario

• SAP NetWeaver prend en charge SAML (Authentification unique lancée par le fournisseur de services) et OAuth. Dans cet article, vous allez configurer et tester l’authentification unique Microsoft Entra dans un environnement de test.

Ajout de SAP NetWeaver à partir de la galerie

Pour configurer l’intégration de SAP NetWeaver à Microsoft Entra ID, vous devez ajouter SAP NetWeaver depuis la galerie à votre liste d’applications SaaS gérées.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Naviguez vers Entra ID>Applications d'entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie, tapez SAP NetWeaver dans la zone de recherche.
4. Sélectionnez SAP NetWeaver dans le volet des résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre instance, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, ainsi que parcourir la configuration de l’authentification unique (SSO). En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour SAP NetWeaver

Configurez et testez Microsoft Entra SSO avec SAP NetWeaver à l'aide d'un utilisateur test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur associé dans SAP NetWeaver.

Pour configurer et tester Microsoft Entra SSO avec SAP NetWeaver, effectuez les étapes suivantes :

1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
   1. Créez un utilisateur test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
   2. Attribuez l’utilisateur test Microsoft Entra pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
2. Configurer SAP NetWeaver avec SAML pour configurer les paramètres de l’authentification unique côté application.
   1. Créez un utilisateur de test SAP NetWeaver pour avoir un équivalent de B.Simon dans SAP NetWeaver lié à la représentation Microsoft Entra de l’utilisateur.
3. Tester l’authentification unique pour vérifier si la configuration fonctionne.
4. Configurer SAP NetWeaver pour OAuth​ pour configurer les paramètres OAuth côté application.
5. Demandez le jeton d’accès à partir de l’ID Microsoft Entra pour utiliser l’ID Microsoft Entra en tant que fournisseur d’identité (IDP).

Configurer l’authentification unique Microsoft Entra

Dans cette section, vous activez l’authentification unique Microsoft Entra.

Pour configurer l’authentification unique Microsoft Entra avec SAP NetWeaver, effectuez les étapes suivantes :

1. Ouvrez une nouvelle fenêtre de navigateur web et connectez-vous à votre site d’entreprise SAP NetWeaver en tant qu’administrateur.

2. Vérifiez que les services http et https sont actifs et que les ports appropriés sont affectés dans le T-Code SMICM.

3. Connectez-vous au client d’entreprise de SAP System (T01), où l’authentification unique est nécessaire, et activez HTTP Security Session Management (Gestion des sessions avec la sécurité HTTP).

   1. Accédez au code Transaction SICF_SESSIONS. Tous les paramètres de profil appropriés sont affichés avec les valeurs actuelles. Ils se présentent comme ceci :

      login/create_sso2_ticket = 2
      login/accept_sso2_ticket = 1
      login/ticketcache_entries_max = 1000
      login/ticketcache_off = 0  login/ticket_only_by_https = 0 
      icf/set_HTTPonly_flag_on_cookies = 3
      icf/user_recheck = 0  http/security_session_timeout = 1800
      http/security_context_cache_size = 2500
      rdisp/plugin_auto_logout = 1800
      rdisp/autothtime = 60
      

      Remarque

      Ajustez les paramètres ci-dessus conformément aux besoins de votre organisation. Les paramètres ci-dessus sont fournis ici à titre indicatif.

   2. Si nécessaire, ajustez les paramètres dans l’instance ou le profil par défaut du système SAP, et redémarrez le système SAP.

   3. Double-sélectionnez le client approprié pour activer la session de sécurité HTTP.

      

   4. Activez les services SICF ci-dessous :

      /sap/public/bc/sec/saml2
      /sap/public/bc/sec/cdc_ext_service
      /sap/bc/webdynpro/sap/saml2
      /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
      

4. Accédez au code Transaction SAML2 dans le client d’entreprise du système SAP [T01/122]. Une interface utilisateur s’ouvre dans un navigateur. Dans cet exemple, nous utilisons 122 comme client d’entreprise SAP.

   

5. Indiquez votre nom d’utilisateur et votre mot de passe pour entrer dans l’interface utilisateur, puis sélectionnez Modifier.

   

6. Remplacez le nom du fournisseur de T01122 par http://T01122 et sélectionnez Enregistrer.

   Remarque

   Par défaut, le nom du fournisseur est au format <sid><client>, mais Microsoft Entra ID attend le nom au format <protocol>://<name>. Il est donc recommandé de conserver le nom du fournisseur au format https://<sid><client> pour permettre la configuration de plusieurs moteurs SAP NetWeaver ABAP dans Microsoft Entra ID.

   

7. Génération de métadonnées du fournisseur de services :- Une fois que nous avons terminé de configurer les paramètres fournisseur local et fournisseurs approuvés sur l’interface utilisateur SAML 2.0, l’étape suivante consiste à générer le fichier de métadonnées du fournisseur de services (qui contient tous les paramètres, contextes d’authentification et autres configurations dans SAP). Une fois ce fichier généré, chargez-le sur Microsoft Entra ID.

   

   1. Accédez à l’onglet Local Provider (Fournisseur local).

   2. Sélectionnez Métadonnées.

   3. Enregistrez le fichier XML de métadonnées sur votre ordinateur, puis chargez-le dans la section Configuration SAML de base pour renseigner automatiquement les valeurs Identificateur et URL de réponse dans le portail Azure.

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à la page d’intégration de l’application SAP NetWeaver des >Entra ID>, recherchez la section Gérer, puis sélectionnez Authentification unique.

3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

4. Dans la page Configurer l’authentification unique avec SAML, sélectionnez l’icône de crayon pour Configuration SAML de base afin de modifier les paramètres.

   

5. Dans la section Configuration SAML de base, si vous souhaitez configurer l’application en mode lancé par le fournisseur d’identité, effectuez l’étape suivante :

   1. Sélectionnez Charger le fichier de métadonnées pour charger le fichier de métadonnées du fournisseur de services, que vous avez obtenu précédemment.

   2. Sélectionnez le logo du dossier pour sélectionner le fichier de métadonnées, puis sélectionnez Charger.

   3. Une fois le fichier de métadonnées chargé, les valeurs Identificateur et URL de réponse sont automatiquement renseignées dans la zone de texte de la section Configuration SAML de base, comme indiqué ci-dessous :

   4. Dans la zone de texte URL de connexion, tapez une URL au format suivant : https://<your company instance of SAP NetWeaver>.

   Remarque

   Certains clients ont rencontré une erreur de type URL de réponse incorrecte configurée pour leur instance. Si vous recevez une telle erreur, utilisez les commandes PowerShell suivantes. Mettez d'abord à jour les URL de réponse dans l'objet d'application avec l'URL de réponse, puis mettez à jour le principal de service. Utilisez la commande Get-MgServicePrincipal pour obtenir l'ID du principal de service.

   $params = @{
      web = @{
         redirectUris = "<Your Correct Reply URL>"
      }
   }
   Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
   Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"
   

6. L’application SAP NetWeaver attend les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration des attributs du jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut. Sélectionnez l'icône Modifier pour ouvrir la boîte de dialogue attributs utilisateur.

   

7. Dans la section Revendications des utilisateurs de la boîte de dialogue Attributs utilisateur, configurez le jeton SAML comme sur l’image ci-dessus et procédez comme suit :

   1. Sélectionnez l’icône Modifier pour ouvrir la boîte de dialogue Gérer les revendications utilisateur .

      

      

   2. Dans la liste Transformation, sélectionnez ExtractMailPrefix() .

   3. Dans la liste Paramètre 1, sélectionnez user.userprincipalname.

   4. Cliquez sur Enregistrer.

8. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez XML de métadonnées de fédération et sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

   

9. Dans la section Configurer SAP NetWeaver, copiez les URL appropriées en fonction de vos besoins.

   

Créer et affecter un utilisateur de test Microsoft Entra

Suivez les instructions du guide de démarrage rapide pour créer et attribuer un compte utilisateur afin de créer un compte utilisateur de test appelé B.Simon.

Configurer SAP NetWeaver avec SAML

1. Connectez-vous au système SAP et accédez au code de transaction SAML2. Une nouvelle fenêtre de navigateur s’ouvre avec l’écran de configuration SAML.

2. Pour configurer des points de terminaison pour le fournisseur d’identité approuvé (Microsoft Entra ID), accédez à l’onglet Trusted Providers (Fournisseurs approuvés).

   

3. Appuyez sur Add (Ajouter) et sélectionnez Upload Metadata File (Charger le fichier de métadonnées) dans le menu contextuel.

   

4. Chargez le fichier de métadonnées que vous avez téléchargé.

   

5. Dans l’écran suivant, tapez le nom d’alias. Par exemple, tapez aadsts, puis appuyez sur Next (Suivant) pour continuer.

   

6. Vérifiez que votre Digest Algorithm (Algorithme Digest) est SHA-256 et qu’aucun changement n’est requis, puis appuyez sur Next (Suivant).

   

7. Sur Points de terminaison d’authentification unique, utilisez HTTP POST, puis sélectionnez Suivant pour continuer.

   

8. Sur les points de terminaison de déconnexion uniques , sélectionnez HTTPRedirect et sélectionnez Suivant pour continuer.

   

9. Dans Points de terminaison d’artefact, appuyez sur Suivant pour continuer.

   

10. Dans Configuration requise pour l’authentification, sélectionnez Terminer.

    

11. Accédez à l’onglet Trusted Providers (Fournisseurs approuvés)>Identity Federation (Fédération des identités), en bas de l’écran. Sélectionnez Modifier.

    

12. Sélectionnez Ajouter sous l’onglet Fédération des identités (fenêtre inférieure).

    

13. Dans la fenêtre contextuelle, sélectionnez Non spécifié dans les formats NameID pris en charge , puis sélectionnez OK.

    

14. Affectez à Source de l’ID d’utilisateur la valeur Attribut d’assertion, à Mode de mappage de l’ID d’utilisateur la valeur E-mail et à Nom d’attribut d’assertion la valeur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.

    

15. Notez que les valeurs Source de l’ID d’utilisateur et Mode de mappage de l’ID d’utilisateur déterminent le lien entre l’utilisateur SAP et la revendication Microsoft Entra.

Scenario : Mappage d’un utilisateur SAP à un utilisateur Microsoft Entra.

1. Capture d’écran des détails de NameID à partir de SAP.

   

2. Capture d’écran mentionnant les revendications requises par Microsoft Entra ID.

   

   Scénario : Sélectionner un identifiant utilisateur SAP en fonction de l’adresse e-mail configurée dans SU01. Dans ce cas, l’ID de l’adresse e-mail doit être configurée dans su01 pour chaque utilisateur nécessitant l’authentification unique.

   1. Capture d’écran des détails de NameID à partir de SAP.

      

   2. capture d’écran mentionnant les assertions requises du Microsoft Entra ID.

   

3. Sélectionnez Enregistrer, puis Activer pour activer le fournisseur d’identité.

   

4. Sélectionnez OK une fois invité.

   

Créer un utilisateur de test SAP NetWeaver

Dans cette section, vous créez un utilisateur appelé B.Simon dans SAP NetWeaver. Collaborez avec votre équipe d’experts SAP en interne ou avec le partenaire SAP de votre organisation pour ajouter les utilisateurs dans la plateforme SAP NetWeaver.

Tester l’authentification unique (SSO)

1. Une fois Microsoft Entra ID, le fournisseur d'identité, activé, essayez d'accéder à l'URL ci-dessous pour vérifier l'authentification unique (SSO), en vous assurant qu'il n'y a pas de demande de saisie du nom d'utilisateur et du mot de passe.

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   (ou) utilisez l’URL ci-dessous.

   https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

   Remarque

   Remplacez sapurl par le nom d’hôte SAP réel.

2. L’URL ci-dessus doit vous diriger vers l’écran mentionné ci-dessous. Si vous êtes en mesure d’atteindre la page ci-dessous, le programme d’installation de l’authentification unique Microsoft Entra s’effectue correctement.

   

3. Si une invite de nom d’utilisateur et de mot de passe apparaît, vous pouvez diagnostiquer le problème en activant une trace à l’aide de l’URL :

   https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

Configurer SAP NetWeaver pour OAuth

1. Le processus documenté de SAP est disponible à l’emplacement suivant : NetWeaver Gateway Service Enabling and OAuth 2.0 Scope Creation

2. Accédez à SPRO et recherchez Activate and Maintain services (Activer et maintenir les services).

   

3. Dans cet exemple, nous voulons connecter le service OData DAAG_MNGGRP avec OAuth à l’authentification unique Microsoft Entra. Utilisez la recherche de nom du service technique pour le service DAAG_MNGGRP et activez-le s’il n’est pas encore actif (recherchez l’état green sous l’onglet des nœuds ICF). Vérifiez si l’alias système (le système back-end connecté, où le service est en cours d’exécution) est correct.

   

   • Sélectionnez ensuite pushbutton OAuth dans la barre de boutons supérieure et affectez scope (conservez le nom par défaut comme proposé).

4. Pour notre exemple, l’étendue est DAAG_MNGGRP_001. Il est généré à partir du nom du service en ajoutant automatiquement un nombre. Vous pouvez utiliser le rapport /IWFND/R_OAUTH_SCOPES pour changer le nom de l’étendue ou la créer manuellement.

   

   Remarque

   Message soft state status isn't supported : vous pouvez l’ignorer sans problème.

Créer un utilisateur du service pour le client OAuth 2.0

1. OAuth2 utilise un service ID pour obtenir le jeton d’accès pour l’utilisateur final en son nom. Restriction importante découlant de la conception d’OAuth : le OAuth 2.0 Client ID doit être identique au username utilisé par le client OAuth 2.0 pour la connexion lors de la demande d’un jeton d’accès. Par conséquent, pour notre exemple, nous allons inscrire un client OAuth 2.0 avec le nom CLIENT1. À titre de prérequis, un utilisateur portant le même nom (CLIENT1) doit exister dans le système SAP, et c’est cet utilisateur que nous allons configurer pour qu’il soit utilisé par l’application référencée.

2. Lors de l’inscription d’un client OAuth, nous utilisons le SAML Bearer Grant type.

   Remarque

   Pour plus d’informations, consultez le document consacré à l’inscription du client OAuth 2.0 pour le type d’octroi du porteur SAML ici.

3. Exécutez le T-Code SU01 pour créer l’utilisateur CLIENT1 en tant que System type et lui attribuer un mot de passe. Enregistrez le mot de passe lorsque vous devez fournir les informations d’identification au programmeur d’API, qui doit l’enregistrer avec le nom d’utilisateur dans le code appelant. Aucun profil ou rôle ne doit être affecté.

Inscrire le nouvel identifiant client OAuth 2.0 à l'aide de l'assistant de création

1. Pour inscrire un nouveau client OAuth 2.0, démarrez la transaction SOAUTH2. La transaction affiche une vue d’ensemble des clients OAuth 2.0 qui ont déjà été inscrits. Choisissez Create (Créer) pour démarrer l’Assistant pour le nouveau client OAuth, nommé CLIENT1 dans cet exemple.

2. Accédez à T-Code : SOAUTH2 et fournissez la description, puis sélectionnez suivant.

   

   

3. Sélectionnez le Fournisseur d’identité SAML2 – Microsoft Entra ID déjà ajouté dans la liste déroulante et enregistrez.

   

   

   

4. Sélectionnez Ajouter sous affectation d’étendue pour ajouter l’étendue créée précédemment : DAAG_MNGGRP_001

   

   

5. Sélectionnez Terminer.

Demander un jeton d’accès à partir de l’ID Microsoft Entra

Pour demander un jeton d’accès à partir du système SAP à l’aide de Microsoft Entra ID (anciennement Azure AD) en tant que fournisseur d’identité (IDP), procédez comme suit :

Étape 1 : Inscrire l’application dans Microsoft Entra ID

1. Se connecter au portail Azure : accédez au portail Azure à l’adresse portal.azure.com.
2. Inscrire une nouvelle application :
   • Accédez à « Microsoft Entra ID ».
   • Sélectionnez « Inscriptions d’applications » > « Nouvelle inscription ».
   • Renseignez les détails de l’application, tels que le nom, l’URI de redirection, etc.
   • Sélectionnez « Inscrire ».
3. Configurer les autorisations d’API :
   • Après l’inscription, accédez à « Autorisations d’API ».
   • Sélectionnez « Ajouter une autorisation », puis sélectionnez « API utilisées par mon organisation ».
   • Recherchez le système SAP ou l’API appropriée et ajoutez les autorisations nécessaires.
   • Accordez le consentement administratif aux autorisations.

Étape 2 : créer une clé secrète client

1. Accéder à l’application inscrite : accédez à « Certificats et clés secrètes ».
2. Créez une clé secrète client :
   • Sélectionnez « Nouveau secret client ».
   • Saisissez une description et définissez une période d’expiration.
   • Sélectionnez « Ajouter » et notez la valeur de la clé secrète client, car elle est nécessaire pour l’authentification.

Étape 3 : Configurer le système SAP pour l'intégration de Microsoft Entra ID

1. Accéder à SAP Cloud Platform : connectez-vous à votre cockpit SAP Cloud Platform.
2. Définir la configuration de confiance :
   • Accédez à « Sécurité » > « Configuration de confiance ».
   • Ajoutez Microsoft Entra ID en tant que fournisseur d’identité approuvé en important le XML des métadonnées de fédération depuis Microsoft Entra ID. Vous trouverez cette option dans la section « Points de terminaison » de l’inscription d’application Microsoft Entra ID (sous Document de métadonnées de fédération).
3. Configurer le client OAuth2 :
   • Dans le système SAP, configurez un client OAuth2 à l’aide de l’ID client et de la clé secrète client obtenues à partir de l’ID Microsoft Entra.
   • Définissez le point de terminaison du jeton et d’autres paramètres OAuth2 pertinents.

Étape 4 : demander le jeton d’accès

1. Préparer la demande de jeton :

   • Créez une demande de jeton à l’aide des détails suivants :
     • Point de terminaison du jeton : il s’agit généralement de https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token.
     • ID client : ID d’application (client) de Microsoft Entra ID.
     • Clé secrète client : valeur de clé secrète client de Microsoft Entra ID.
     • Étendue : Les étendues requises (par exemple, https://your-sap-system.com/.default).
     • Type d’autorisation : utilisez client_credentials pour l’authentification serveur à serveur.

2. Effectuer la demande de jeton :

   • Utilisez un outil comme Postman ou un script pour envoyer une requête POST au point de terminaison du jeton.
   • Exemple de requête (dans cURL) :

     curl -X POST \
       https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token \
       -H 'Content-Type: application/x-www-form-urlencoded' \
       -d 'client_id={client_id}&scope=https://your-sap-system.com/.default&client_secret={client_secret}&grant_type=client_credentials'
     

3. Extraire le jeton d’accès :

   • La réponse contient un jeton d’accès si la demande réussit. Utilisez ce jeton d’accès pour authentifier les demandes d’API auprès du système SAP.

Étape 5 : utiliser le jeton d’accès pour les demandes d’API

1. Inclure le jeton d’accès dans les demandes d’API :
   • Pour chaque demande adressée au système SAP, incluez le jeton d’accès dans l’en-tête Authorization.
   • Exemple d’en-tête :

     Authorization: Bearer {access_token}
     

Configurer simultanément l’application d’entreprise pour SAP NetWeaver pour SAML2 et OAuth2

Pour une utilisation parallèle de SAML2 pour l’authentification unique et OAuth2 pour l’accès aux API, vous pouvez configurer la même application d’entreprise dans Microsoft Entra ID pour les deux protocoles.

Une configuration par défaut standard est SAML2 pour l’authentification unique et OAuth2 pour l’accès aux API.

Contenu connexe

• Configurez SAP NetWeaver Microsoft Entra pour appliquer le contrôle de session qui protège en temps réel contre l’exfiltration et l’infiltration des données sensibles de votre organisation. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.
• Configurez la Principal Propagation SAP (OAuth2) en utilisant Azure API Management pour régir et sécuriser l’accès aux systèmes SAP des applications clientes dans Azure, Power Platform, Microsoft 365 et d'autres. En savoir plus sur la propagation du principal SAP avec Gestion des API Azure.