L’authentification LDAP permet aux utilisateurs de se connecter à SAP BusinessObjects (BO) avec leurs identifiants Active Directory, sans avoir à créer de comptes BO manuellement. Cet article explique à la fois la configuration de base, le mapping des groupes LDAP, et les bonnes pratiques pour une intégration sécurisée et automatisée.
Table of Contents
Pourquoi activer l’authentification LDAP dans SAP BO ?
L’utilisation de l’annuaire LDAP (via Active Directory) permet :
- Une gestion centralisée des identités,
- Un gain de temps pour l’administration,
- L’application automatique des droits via les groupes AD,
- La cohérence avec le système d’information de l’entreprise.
Prérequis techniques
- Un contrôleur de domaine Active Directory accessible
- Un compte de service AD avec droits de lecture sur les utilisateurs et groupes
- Le port 389 (LDAP) ou 636 (LDAPS) ouvert entre BO et le DC
- (Optionnel) Certificat installé si LDAPS est utilisé
Configuration de l’authentification LDAP dans la CMC
- Connexion à la CMC :
http://<serveur>:8080/BOE/CMC - Naviguer vers Authentification > LDAP
- Configurer les paramètres de connexion :
- Hôte LDAP :
ad.monentreprise.local:389 - DN de base :
OU=Utilisateurs,DC=monentreprise,DC=local - Compte administrateur LDAP :
CN=svc-bo,CN=Users,DC=monentreprise,DC=local - Mot de passe associé
- SSL : cocher si LDAPS est utilisé sinon laisser décocher
- Hôte LDAP :
Cliquez sur Mettre à jour pour enregistrer la configuration.
Modifier le fichier FioriBI.properties pour activer l’affichage de LDAP
Pour que le mode d’authentification LDAP apparaisse dans l’écran de connexion de l’interface Fiori BI Launchpad, modifiez le fichier suivant :
Chemin :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\webapps\BOE\WEB-INF\config\custom\FioriBI.propertiesAjoutez ou modifiez les lignes suivantes :
authentication.visible=true
logon.authentication.visibleList=secEnterprise,secLDAP
authentication.default=secLDAPCela permet d’afficher la liste déroulante des méthodes d’authentification, avec LDAP sélectionné par défaut.
Redémarrez le service Tomcat pour prendre en compte les modifications.
Mapping automatique des groupes LDAP
Objectif
Associer dynamiquement les utilisateurs à des groupes BO en fonction de leur appartenance à des groupes AD.
Étapes
- Dans l’interface LDAP de la CMC, section « Groupes des membres LDAP mappés »
- Ajouter les groupes AD au format DN complet, par exemple :
secLDAP:cn=grp-finance,ou=groupes,dc=monentreprise,dc=local - Enregistrer
BO créera un groupe interne portant le même nom lors de la prochaine connexion d’un membre ou lors d’une synchronisation.
Utiliser les groupes LDAP pour la gestion des droits
Vous pouvez :
- Soit affecter directement des droits aux groupes LDAP créés automatiquement,
- Soit les utiliser comme conteneurs et y placer des groupes BO existants
Il est recommandé de s’appuyer uniquement sur les groupes LDAP mappés pour une administration unifiée.
📅 Bonne pratique recommandée
Créez des groupes internes BO (par exemple : BO-Finance, BO-Admin) et ajoutez-y les groupes AD mappés comme enfants. Cela permet de :
- Préserver la structure de droits même si la connexion AD est temporairement indisponible,
- Appliquer plus facilement des politiques internes,
- Gérer des droits spécifiques BO en superposition des droits AD.
Mise à jour automatique des utilisateurs et groupes LDAP
- Planification : définissez une mise à jour quotidienne des alias et groupes LDAP depuis la CMC.
- Mise à jour manuelle : option « Mettre à jour maintenant » disponible pour forcer une synchronisation
Tester la connexion d’un utilisateur LDAP
- Se connecter au BI Launchpad avec un compte AD
- Choisir « LDAP » comme mode d’authentification
- Vérifier que :
- L’utilisateur est importé automatiquement
- Il est ajouté aux groupes LDAP configurés
- Les droits sont bien appliqués
Logs utiles pour diagnostiquer l’authentification LDAP
| Emplacement | Type de log |
|---|---|
...\SAP BusinessObjects Enterprise XI 4.0\logging | Authentication_*.glf, cms.log |
...\tomcat\logs | catalina.out, stderr.log |
| Contrôleur de domaine | Journaux d’évènements, ID 4624/4625 |
Bonnes pratiques
- Mapper uniquement des groupes AD pertinents
- Nommer les groupes AD clairement (
grp-bi-readers,grp-bi-admins, etc.) - Documenter tous les DNs mappés
- Tester avec un utilisateur isolé avant d’ouvrir à tout le domaine
- Utiliser un compte de service avec droits en lecture uniquement
- Ajouter les groupes AD comme enfants de groupes internes BO pour assurer une résilience en cas de perte de connexion à l’annuaire
Conclusion
Configurer l’authentification LDAP dans SAP BusinessObjects est un excellent moyen de simplifier la gestion des utilisateurs et des droits. En combinant mapping dynamique des groupes AD et planification des mises à jour, vous obtenez une intégration sûre, centralisée et conforme aux standards de sécurité de l’entreprise.
Mots-clés SEO : SAP BusinessObjects LDAP, authentification AD BO, connexion Active Directory BO, mapping groupe LDAP BO, BI 4 authentification LDAP
