Kurz: Konfigurace Microsoft Entra ID a SAP Cloud Identity Services pro automatické zřizování uživatelů v SAP HANA
Tento kurz popisuje kroky, které potřebujete provést ve službách SAP Cloud Identity Services a Microsoft Entra ID ke konfiguraci automatického zřizování uživatelů. Při konfiguraci microsoft Entra ID automaticky zřídí a zruší zřízení uživatelů SAP HANA pomocí služby zřizování Microsoft Entra a služeb SAP Cloud Identity Services. Důležité podrobnosti o tom, co dělá zřizování Microsoft Entra, jak funguje a nejčastější dotazy, najdete v tématu Automatizace zřizování a rušení zřizování uživatelů pro aplikace SaaS pomocí ID Microsoft Entra.
Podporované funkce
- Vytvoření uživatelů v SAP HANA pro povolení jednotného přihlašování k SAP HANA
- Odebrání uživatelů v SAP HANA, pokud už nevyžadují přístup
- Udržování atributů uživatelů synchronizovaných mezi ID Microsoft Entra a SAP HANA
Požadavky
Scénář popsaný v tomto kurzu předpokládá, že už máte následující požadavky:
- Tenant Microsoft Entra
- Jedna z následujících rolí: Správce aplikací, Správce cloudových aplikací nebo Vlastník aplikace.
- Sap HANA Cloud nebo databáze SAP HANA
- Tenant SAP Cloud Identity Services
- Uživatelský účet v konzole pro správu SAP Identity Provisioning s oprávněními správce Ujistěte se, že máte přístup k proxy systémům v konzole pro správu zřizování identit. Pokud dlaždici Proxy Systems nevidíte, vytvořte incident pro komponentu BC-IAM-IPS a požádejte o přístup k této dlaždici.
Krok 1: Plánování nasazení zřizování
Microsoft Entra má konektory pro SAP ECC, SAP Cloud Identity Services a SAP SuccessFactors. Zřizování v SAP HANA nebo jiných aplikacích vyžaduje, aby uživatelé byli v Microsoft Entra ID. Jakmile budete mít uživatele v Microsoft Entra ID, můžete tyto uživatele zřídit z Microsoft Entra ID pro SAP Cloud Identity Services. SAP Cloud Identity Services pak zřídí uživatele pocházející z Microsoft Entra ID, které jsou v adresáři SAP Cloud Identity Directory, do podřízených aplikací SAP, včetně SAP HANA Cloud databáze SAP HANA prostřednictvím cloudového konektoru SAP a dalších.
Krok 2: Ujistěte se, že máte správné uživatele v Microsoft Entra ID
Příchozí personální oddělení ze zdrojů, jako jsou SuccessFactors, můžete použít k udržování seznamu uživatelů v Microsoft Entra ID aktuální, protože se zaměstnanci připojují, přesouvají a odcházejí. Pokud plánujete používat skupiny nebo přiřazení rolí aplikace k určení rozsahu, kdo má přístup k SAP HANA nebo jaké role budou mít, a váš tenant má licenci pro zásady správného řízení Microsoft Entra ID, můžete také automatizovat změny přiřazení rolí aplikace v Microsoft Entra ID pro aplikace představující SAP Cloud Identity Services nebo SAP HANA. Další informace o oddělení povinností a dalších kontrol dodržování předpisů před zřizováním najdete v tématu Scénáře správy životního cyklu přístupu migrace.
Podrobné pokyny k životnímu cyklu identit s aplikacemi SAP jako cíle najdete v tématu Plánování nasazení Microsoft Entra pro zřizování uživatelů pomocí zdrojové a cílové aplikace SAP.
Krok 3: Konfigurace zřizování z Microsoft Entra ID pro SAP Cloud Identity Services
Pokud se chcete připravit na zřizování uživatelů do SAP HANA nebo jiných aplikací SAP integrovaných se službou SAP Cloud Identity Services, ověřte, že služba SAP Cloud Identity Services má pro tyto aplikace potřebná mapování schémat. Pak nakonfigurujte zřizování uživatelů z Microsoft Entra ID pro SAP Cloud Identity Services. SAP Cloud Identity Services následně podle potřeby zřídí uživatele do podřízených aplikací SAP.
Existují dva způsoby, jak zřídit uživatele z Microsoft Entra do SAP Cloud Identity Services.
Pokud budete používat skupiny z ID Microsoft Entra, například k přiřazení uživatelů k rolím v cloudu SAP HANA, použijte zřizování SAP Cloud Identity Services. Nejprve vytvořte skupiny Microsoft Entra pro obchodní role SAP používané v cloudu SAP Analytics. Potom v zřizování SAP Cloud Identity Services nakonfigurujte ID Microsoft Entra jako zdroj, aby se uživatelé a skupiny z Microsoft Entra ID přenesli do SAP Cloud Identity Services a namapovali vytvořené skupiny na vaše obchodní role SAP. Další informace najdete v dokumentaci k SAP o tom, jak zřídit uživatele z Microsoft Azure AD do SAP Cloud Identity Services – Ověřování identit.
Pokud také nepotřebujete používat skupiny v MICROSOFT Entra ID, můžete použít službu zřizování Microsoft Entra. V tomto scénáři vytvořte aplikaci představující SAP HANA a přiřaďte k této aplikaci uživatele, kteří potřebují přístup k SAP HANA. Pak nakonfigurujte automatické zřizování uživatelů pomocí Microsoft Entra ID pro SAP Cloud Identity Services pro. Počkejte, až se tito uživatelé zřídí do služby SAP Cloud Identity Services, a ověřte, že mají atributy potřebné pro váš cíl SAP HANA.
Poznámka:
Začněte v malém. Než se pustíte do zavádění pro všechny, proveďte testování s malou skupinou uživatelů a skupin. Zkontrolujte, že uživatelé mají správný přístup k podřízeným cílům SAP a při přihlášení mají správné role.
Krok 4: Konfigurace zřizování ze služeb SAP Cloud Identity Services do SAP HANA
V tomto kroku pomocí služby SAP Cloud Identity Services Identity Provisioning nakonfigurujte SAP HANA jako cílový systém, kde můžete zřídit uživatele a členy skupiny. Informace o cloudu SAP HANA nebo databázi SAP HANA najdete v dokumentaci SAP ke zřizování pro SAP HANA Cloud nebo SAP HANA Database.
Krok 5: Konfigurace jednotného přihlašování
Po konfiguraci zřizování pro uživatele v aplikacích SAP byste pro ně měli povolit jednotné přihlašování. Microsoft Entra ID může sloužit jako zprostředkovatel identity a ověřovací autorita pro vaše aplikace SAP. Pokud jste to ještě neudělali, nakonfigurujte integraci jednotného přihlašování (SSO) Microsoft Entra se službou SAP Cloud Identity Services.
Další informace o tom, jak nakonfigurovat jednotné přihlašování k SAP SaaS a moderním aplikacím, najdete v tématu povolení jednotného přihlašování.