Partager via


Tutoriel : Intégration de l’authentification unique (SSO) Microsoft Entra avec SAP HANA

Dans ce tutoriel, vous allez apprendre à intégrer SAP HANA à Microsoft Entra ID. Quand vous intégrez SAP HANA à Microsoft Entra ID, vous pouvez :

  • Contrôler dans Microsoft Entra ID qui a accès à SAP HANA.
  • Permettre à vos utilisateurs d’être automatiquement connectés à SAP HANA avec leur compte Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour configurer l’intégration de Microsoft Entra à SAP HANA, vous avez besoin des éléments suivants :

  • Un abonnement Microsoft Entra
  • Un abonnement SAP HANA pour lequel l’authentification unique est activée
  • Une instance HANA en cours d’exécution sur une IaaS publique, locale, sur une machine virtuelle Azure ou sur une grande instance SAP dans Azure
  • L’interface web d’administration XSA ainsi que HANA Studio, installés sur l’instance HANA

Remarque

Nous déconseillons l’utilisation d’un environnement de production de SAP HANA pour tester les étapes de ce didacticiel. Testez d’abord l’intégration dans l’environnement de développement ou l’environnement intermédiaire de l’application, puis passez à l’environnement de production.

Pour tester la procédure de ce didacticiel, suivez les recommandations ci-dessous :

  • Un abonnement Microsoft Entra. Si vous ne disposez pas d'un environnement Microsoft Entra, vous pouvez bénéficier d'un essai d'un mois ici
  • Un abonnement SAP HANA pour lequel l’authentification unique est activée

Description du scénario

Dans ce didacticiel, vous configurez et testez l’authentification unique Microsoft Entra dans un environnement de test.

  • SAP HANA prend en charge l’authentification unique initiée par l’IDP.
  • SAP HANA prend en charge l’attribution d’utilisateurs juste-à-temps.

Remarque

L’identifiant de cette application étant une valeur de chaîne fixe, une seule instance peut être configurée dans un client.

Pour configurer l’intégration de SAP HANA à Microsoft Entra ID, vous devez ajouter SAP HANA à partir de la galerie à votre liste d’applications SaaS gérées.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, saisissez SAP HANA dans la zone de recherche.
  4. Sélectionnez SAP HANA dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre client.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour SAP HANA

Configurez et testez l’authentification unique Microsoft Entra avec SAP HANA pour un utilisateur de test appelé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur SAP HANA associé.

Pour configurer et tester l’authentification unique Microsoft Entra avec SAP HANA, effectuez les étapes suivantes :

  1. Configurez l’authentification unique Microsoft Entra pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
    1. Créer un utilisateur test Microsoft Entra – pour tester l’authentification unique Microsoft Entra avec Britta Simon.
    2. Attribuez l’utilisateur de test Microsoft Entra pour permettre à Britta Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurer le SSO SAP HANA : pour configurer les paramètres de l’authentification unique côté application.
    1. Créez un utilisateur de test SAP HANA pour avoir, dans SAP HANA, un équivalent de Britta Simon lié à la représentation Microsoft Entra de l’utilisateur.
  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>SAP HANA>Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

    Modifier la configuration SAML de base

  5. Dans la section Configuration SAML de base, entrez les valeurs pour les champs suivants :

    Dans la zone de texte URL de réponse, saisissez une URL au format suivant : https://<Customer-SAP-instance-url>/sap/hana/xs/saml/login.xscfunc

    Remarque

    La valeur de l’URL de réponse n’est pas réelle. Mettez à jour la valeur avec l’URL de réponse réelle. Pour obtenir ces valeurs, contactez l’équipe de support SAP HANA. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.

  6. L’application SAP HANA attend les assertions SAML dans un format spécifique. Configurez les revendications suivantes pour cette application. Vous pouvez gérer les valeurs de ces attributs à partir de la section Attributs utilisateur sur la page d’intégration des applications. Dans la page Configurer l’authentification unique avec SAML, cliquez sur le bouton Modifier pour ouvrir la boîte de dialogue Attributs utilisateur.

    Capture d’écran montrant la section « Attributs d’utilisateur » avec l’icône « Modifier » sélectionnée.

  7. Dans la section Attributs utilisateur de la boîte de dialogue Attributs et revendications de l’utilisateur, procédez comme suit :

    a. Cliquez sur l’icône Modifier pour ouvrir la boîte de dialogue Gérer les revendications des utilisateurs.

    Capture d’écran montrant la boîte de dialogue « Attributs utilisateur et revendications » avec le bouton « Modifier » sélectionné.

    image

    b. Dans la liste Transformation, sélectionnez ExtractMailPrefix().

    c. Dans la liste Paramètre 1, sélectionnez user.mail.

    d. Cliquez sur Enregistrer.

  8. Sur la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, cliquez sur Télécharger pour télécharger le fichier XML de métadonnées de fédération en fonction des options définies selon vos besoins, puis enregistrez-le sur votre ordinateur.

    Lien Téléchargement de certificat

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Créer.

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez permettre à B.Simon d'utiliser l'authentification unique en accordant l'accès à SAP HANA.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>SAP HANA.
  3. Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
  4. Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
    1. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
    2. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle. Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
    3. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique SAP HANA

  1. Pour configurer l’authentification unique côté SAP HANA, connectez-vous à votre console web HANA XSA en accédant au point de terminaison HTTPS correspondant.

    Remarque

    Dans la configuration par défaut, l’URL redirige la requête vers un écran d’ouverture de session, où les identifiants d’un utilisateur authentifié de la base de données SAP HANA sont nécessaires. L’utilisateur qui se connecte doit avoir les autorisations nécessaires pour effectuer des tâches d’administration SAML.

  2. Dans l’Interface web XSA, accédez à SAML Identity Provider (Fournisseur d’identité SAML). Ensuite, sélectionnez le bouton + en bas de l’écran pour afficher le volet Ajouter les informations du fournisseur d’identité. Ensuite, effectuez les étapes suivantes :

    Ajouter un fournisseur d’identité

    a. Dans le volet Ajouter des informations sur le fournisseur d’identité, collez le contenu du fichier XML de métadonnées que vous avez téléchargé dans la zone Métadonnées.

    Capture d’écran montrant le volet « Ajouter les informations du fournisseur d’identité » avec les zones « Métadonnées » et « Nom » mises en évidence.

    b. Si le contenu du document XML est valide, le processus d’analyse extrait les informations requises pour les champs Subject, Entity ID et Issuer (Sujet, ID d’entité et Émetteur) dans la zone d’écran Données générales. Il extrait également les informations nécessaires pour les champs d’URL dans la zone d’écran Destination, tels que les champs Base URL and SingleSignOn URL (*) (URL de base et URL d’authentification unique).

    Paramètres d’ajout d’un fournisseur d’identité

    c. Dans la zone Nom de la zone d’écran Données générales, saisissez un nom pour le nouveau fournisseur d’identité d’authentification unique SAML.

    Remarque

    Le nom du fournisseur d’identité SAML est obligatoire et doit être unique. Il apparaît dans la liste des fournisseurs d’identité SAML disponibles qui s’affiche quand vous sélectionnez SAML comme méthode d’authentification pour les applications SAP HANA XS à utiliser. Par exemple, vous pouvez faire cela dans la zone d’écran Authentication (Authentification) de l’outil d’administration d’artefact XS.

  3. Sélectionnez Enregistrer pour enregistrer les détails du fournisseur d’identité SAML et ajouter le nouveau fournisseur d’identité SAML à la liste des fournisseurs d’identité SAML connus.

    Bouton Enregistrer

  4. Dans HANA Studio, dans les propriétés système de l’onglet Configuration, filtrez les paramètres par saml. Ensuite, ajustez assertion_timeout en remplaçant 10 s par 120 s.

    Paramètre assertion_timeout

Créer un utilisateur de test SAP HANA

Pour permettre aux utilisateurs Microsoft Entra de se connecter à SAP HANA, vous devez les provisionner dans SAP HANA. SAP HANA prend en charge l’approvisionnement juste-à-temps, qui est activé par défaut.

Si vous avez besoin de créer un utilisateur manuellement, effectuez les étapes suivantes :

Remarque

Vous pouvez changer l’authentification externe dont se sert l’utilisateur. Il peut s’authentifier auprès d’un système externe, tel que Kerberos. Pour plus d’informations sur les identités externes, contactez votre administrateur de domaine.

  1. Ouvrez SAP HANA Studio en tant qu’administrateur, puis activez l’utilisateur de base de données pour l’authentification unique SAML.

  2. Cochez la case invisible à gauche de SAML, puis sélectionnez le lien Configurer.

  3. Sélectionnez Ajouter pour ajouter le fournisseur d’identité SAML. Sélectionnez le fournisseur d’identité SAML approprié, puis sélectionnez OK.

  4. Ajouter l’identité externe (dans ce cas, BrittaSimon). Sélectionnez ensuite OK.

    Remarque

    Vous devez renseigner le champ Identité externe pour l’utilisateur, et cette valeur doit correspondre au champ NameID dans le jeton SAML de Microsoft Entra ID. La case Any (Tout) ne doit pas être cochée, car cette option nécessite que le fournisseur d’identité (IDP) envoie une propriété SPProvderID dans le champ NameID, ce qui n’est actuellement pas pris en charge par Microsoft Entra ID. Pour plus d’informations, consultez Authentification unique à l’aide de SAML 2.0.

  5. À des fins de test, affectez tous les rôles XS à l’utilisateur.

    Attribution de rôles

    Conseil

    Vous devez donner les autorisations qui sont appropriées pour vos cas d’usage uniquement.

  6. Enregistrez l’utilisateur.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

  • Cliquez sur Tester cette application, ce qui devrait automatiquement vous connecter à l’application SAP HANA pour laquelle vous avez configuré l’authentification unique

  • Vous pouvez utiliser Mes applications Microsoft. Le fait de cliquer sur la vignette SAP HANA dans Mes applications doit vous connecter automatiquement à l’application SAP HANA pour laquelle vous avez configuré l’authentification unique. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

L’approvisionnement de SAP Cloud Identity Services vers SAP HANA est une fonctionnalité bêta disponible sur SAP Business Technology Platform. Pour plus d’informations, consultez comment configurer l’approvisionnement d’utilisateurs de Microsoft Entra ID vers SAP Cloud Identity Services et comment configurer l’approvisionnement d’utilisateurs de SAP Cloud Identity Services vers une base de données SAP HANA (version bêta).

Une fois que vous avez configuré l’authentification unique SAP HANA, vous pouvez appliquer le contrôle de session, qui protège votre organisation en temps réel contre l’exfiltration et l’infiltration de ses données sensibles. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.