SAP BI

Fin de la prise en charge du chiffrement RC4 pour Kerberos AD SSO sur SAP BusinessObjects

Depuis avril 2026, Microsoft a désactivé le chiffrement RC4 pour Kerberos. Si votre authentification AD SSO sur SAP BusinessObjects repose encore sur RC4, vos utilisateurs ne peuvent plus se connecter en Single Sign-On. Voici ce qui change, comment diagnostiquer le problème et les fichiers à modifier pour rétablir l’authentification en passant à AES.

Ce qui change : fin du RC4 pour Kerberos

Depuis le début de l’année 2026, et plus particulièrement depuis le 14 avril 2026, Microsoft a mis fin à la prise en charge du chiffrement RC4 dans le cadre de la correction de failles de sécurité référencées sous la CVE-2026-20833.

Cette évolution concerne l’ensemble des environnements, quelle que soit la version de votre contrôleur de domaine (ancienne ou récente) et quelle que soit votre version de SAP BusinessObjects.

Comment identifier le problème RC4 dans les logs Tomcat

Si votre authentification AD SSO Kerberos repose encore sur le chiffrement RC4, vous risquez de voir apparaître un message d’erreur de ce type dans les logs Tomcat :

FWM 00006 error code is 14
error Message is KDC has no support for encryption type
jcsi.kerberos: Could not decrypt service ticket with Key type 18


Ce message est révélateur d’une incompatibilité entre la méthode de chiffrement utilisée par votre plateforme BO et ce que le contrôleur de domaine accepte désormais.

Les éléments à modifier pour passer de RC4 à AES

Si vous utilisiez RC4 comme méthode de chiffrement dans le cadre d’une authentification AD SSO Kerberos, le principe consiste à basculer vers le chiffrement AES (AES256 / AES128). Il faudra pour cela modifier :

  • Le fichier krb5.ini (déclaration des types de chiffrement AES) ;
  • Le fichier global.properties ;
  • Les propriétés du compte utilisateur dédié à l’authentification (prise en charge AES côté Active Directory) ;
  • Les propriétés serveur et KDC.

Ces réglages doivent être cohérents entre le contrôleur de domaine, le compte de service et la configuration BO : une seule valeur incorrecte suffit à bloquer l’authentification.

Point d'attention : SAP BusinessObjects XI 3.1

À noter que l’authentification AD SSO n’est plus possible sur les plateformes XI 3.1 suite à cette évolution. Si vous êtes encore sur cette version, une réflexion sur la migration vers une version supportée est à envisager — l’occasion aussi de remettre à plat la sécurité de votre environnement via une Intervention de Sécurisation de la Plateforme (ISP).

Cette évolution s’inscrit dans la lignée des vulnérabilités de sécurité SAP BI Platform que nous suivons pour nos clients : maintenir une plateforme à jour reste la meilleure protection.

Questions fréquentes

Oui. Le correctif Microsoft désactive RC4 de façon générale ; la seule solution pérenne est de basculer Kerberos sur AES.

Oui, le changement est côté Active Directory / KDC : il s’applique quelle que soit votre version de BO. Seule la version XI 3.1 perd définitivement l’AD SSO. 

CONCLUSION DE L’EXPERT

Ces modifications nécessitent une intervention précise sur votre plateforme BO.
Pour vous accompagner dans la mise en œuvre :

  • Rapprochez-vous de votre ingénieur d’affaires DeciVision pour évaluer les actions à mener sur votre environnement.
  • Dans le cadre d’un contrat de maintenance DeciVision, contactez notre support à l’adresse support@decivision.com.
Besoin de formation Webi BI 4.3
Besoin d'expertise SAP BusinessObjects
  • DÉMO GRATUITE SAP BI

Inscrivez-vous gratuitement à notre prochaine démo sur la solution

  • SAP BI
Articles récents
Évènements à venir
Newsletter DeciVision

Soyez notifiés de nos derniers articles de blog, de nos prochains webinars et nos actualités !