Nastavení seznamů řízení přístupu v Microsoft Entra ID
Uživatelé potřebují pouze přístup k aplikacím a tokům, které jsou v souladu s funkcí jejich oddělení. Můžete vytvořit skupiny zabezpečení Microsoft Entra ID založené na obchodních procesech a přiřadit členy týmu do příslušných skupin. Skupiny zabezpečení řídí přístup uživatelů k aplikacím a viditelnost různých komponent v aplikacích.
Vytvoření skupin zabezpečení Microsoft Entra ID
Následující model nasazení ukazuje, jak přiřadit uživatele k různým skupinám zabezpečení Microsoft Entra ID na základě jejich funkcí v oddělení.
Skupina zabezpečení správců
Nastavte jednoho nebo více administrátorů do týmu správců SAP Procurement.
Funkční skupiny zabezpečení
Skupiny zabezpečení se mohou přizpůsobit konkrétním obchodním procesům. Přiřaďte všechny uživatele, kteří se účastní procesu nákupu a plateb, do jednoho nebo více ze šesti různých uživatelských týmů:
- Správa dodavatelů
- Nákupní žádanky
- Nákupní objednávky
- Účtenky za zboží dodavatele
- Faktura dodavatele
- Platby dodavatelů
Tento model se používá ve zbytku tohoto dokumentu k vyjádření záměru, ale vaše konfigurace se může lišit podle vašich požadavků.
Další informace:
Vytvoření týmu skupin Dataverse
Správci spravují Položky nabídky viditelné uživatelům v aplikacích plátna přímo v aplikaci SAP Administrator. Dataverse Členství ve skupině řídí přístup a viditelnost položek nabídky. Skupiny zabezpečení Microsoft Entra ID řídí členství ve skupinových týmech Dataverse a zajišťují jednu ze dvou možností:
- Uživatelé mají viditelnost a přístup k příslušným položkám nabídky v aplikacích plátna, když jsou přidáni do jedné či více skupin zabezpečení.
- Uživatelé ztratí viditelnost a přístup, když jsou odebráni ze skupiny zabezpečení.
Viditelnost nabídky navíc řídí chování procházení v určitých polích v aplikacích plátna. Pokud například uživatel není součástí týmu nákupních objednávek, může v aplikaci SAP Requisition Management zobrazit pouze přiřazené číslo nákupní objednávky k žádance. Nemohou procházet a zobrazit všechny podrobnosti nákupní objednávky.
Další informace: Práce s týmy skupiny Microsoft Entra ID
Kroky k řízení týmů
Chcete-li vytvořit týmy a nakonfigurovat nastavení zabezpečení, postupujte takto:
- Přihlaste se k centru pro správu Power Platform.
- Přejděte na Prostředí a vyberte prostředí, které obsahuje řešení.
- Přejděte na Nastavení>Uživatelé + oprávnění>Týmy.
- Vyberte + Vytvořit tým.
- Vyplňte povinná pole. Pro Typ týmu vyberte Skupina zabezpečení Microsoft Entra ID. Budete také muset vyplnit Název skupiny a Typ členství.
- Vyhledejte vzorovou skupinu zabezpečení dříve vytvořenou v Microsoft Entra ID a přiřaďte ji k nově vytvořenému týmu skupiny.
- Přidělte týmům role zabezpečení, které odpovídají týmovým funkcím.
Návod rolí zabezpečení
Následující tabulka poskytuje pokyny pro přiřazení rolí zabezpečení:
| Název týmu Dataverse | Uživatel šablony SAP | Správce šablon SAP | Základní uživatel |
|---|---|---|---|
| Správa dodavatelů | X | X | |
| Nákupní žádanky | X | X | |
| Nákupní objednávky | X | X | |
| Účtenka za zboží dodavatele | X | X | |
| Faktura dodavatele | X | X | |
| Platby dodavatelů | X | X | |
| Správa | X | X |
Poznámka:
- Uživatelé jsou přidáváni nebo odebíráni z týmu skupin na základě jejich členství v propojené skupině zabezpečení Microsoft Entra ID.
- Přístup k datům Dataverse se řídí členstvím v týmu s úrovněmi přístupu rozlišenými mezi rolemi zabezpečení Uživatel integrace SAP a Správce integrace SAP přiřazeným týmům.
- Nastavení skupiny Dataverse v centru pro správu Power Platform lze pro referenci vidět také v aplikaci SAP Admin.
Další informace: Správa týmů skupiny, Role zabezpečení a oprávnění
Sdílejte přístup k aplikacím a tokům
Členové skupiny zabezpečení mají přístup pouze k aplikacím a tokům, které jsou s nimi sdíleny. Použijte model skupin zabezpečení jako příklad, který vám pomůže nastavit skupiny zabezpečení pro vaši organizaci.
Sdílejte toky pomocí Oprávnění pouze ke spouštění, aby uživatelé měli přístup k vloženým tokům a služby uživatelů konektoru SAP ERP, Dataverse a Office 365 používají přihlašovací údaje spouštěcího uživatele.
Upozorňující
Pokud nezměníte oprávnění toků Pouze pro čtení, zabráníte tím službám konektoru předat uživatelské přihlašovací údaje. Sdílení připojení Dataverse a Office 365 by mělo být omezeno.
Kroky ke sdílení aplikací
- Přejděte na jednotlivé aplikace v Power Apps.
- Vyberte možnost Sdílet.
- Vyhledejte a vyberte vhodnou skupinu zabezpečení, která obsahuje členy, kteří potřebují přístup k této aplikaci.
- Vyberte Sdílet. Můžete si také vybrat, zda chcete nebo nechcete zahrnout e-mailovou pozvánku (není povinné).
Kroky ke sdílení toků
- Přejděte na jednotlivé cloudové toky v Power Apps.
- Přejděte do sekce Uživatelé s oprávněním jenom pro spuštění a vyberte Upravit.
- Pozvěte uživatele systému a týmy hledáním a výběrem skupin zabezpečení Microsoft Entra ID, které potřebují přístup k toku podle aplikací plátna, které daný tým potřebuje používat.
- Pro všechna tři použitá připojení vyberte možnost Poskytnuto koncovým uživatelem pouze ke spuštění.
- Zvolte Uložit.
Souhrn sdílení
Tabulka poskytuje souhrn mapování, jaké komponenty je třeba přiřadit nebo sdílet podle vzorových týmů skupiny zabezpečení Microsoft Entra ID.
| Komponenta | Type | Tým správy dodavatelů | Tým nákupních žádanek | Tým nákupních objednávek | Tým pro účtenky za zboží dodavatele | Tým pro faktury dodavatele | Tým pro platby dodavatelů | Tým správců |
|---|---|---|---|---|---|---|---|---|
| Správa dodavatelů SAP | Aplikace | X | ||||||
| Nákupní žádanky SAP | Aplikace | X | ||||||
| Nákupní objednávky SAP | Aplikace | X | ||||||
| SAP – příjem zboží | Aplikace | X | ||||||
| SAP – faktura dodavatele | Aplikace | X | ||||||
| SAP – platby dodavatelů | Aplikace | X | ||||||
| Správce šablon SAP | Aplikace | X | ||||||
| ApprovePurchaseOrder | tok | X | ||||||
| ApproveVendorInvoice | tok | X | ||||||
| ConvertRequisitionToPurchaseOrder | tok | X | ||||||
| CreateGoodsReceipt | tok | X | ||||||
| CreatePurchaseOrder | tok | X | ||||||
| CreateRequisition | tok | X | ||||||
| CreateVendor | tok | X | ||||||
| CreateVendorInvoice | tok | X | ||||||
| ReadGLAccount | tok | X | X | X | ||||
| ReadGLAccountList | tok | X | X | X | ||||
| ReadGoodsReceipt | tok | X | X | X | ||||
| ReadGoodsReceiptList | tok | X | X | X | ||||
| ReadMaterial | tok | X | X | X | X | X | X | |
| ReadMaterialList | tok | X | X | X | X | X | X | |
| ReadPurchaseOrder | tok | X | X | X | X | |||
| ReadPurchaseOrderList | tok | X | X | X | X | |||
| ReadRequisition | tok | X | X | X | ||||
| ReadRequisitionList | tok | X | X | X | ||||
| ReadVendor | tok | X | X | X | X | X | X | |
| ReadVendorInvoice | tok | X | X | X | X | |||
| ReadVendorInvoiceList | tok | X | X | X | X | |||
| ReadVendorList | tok | X | X | X | X | X | X | |
| ReadVendorPayment | tok | X | X | X | ||||
| ReadVendorPaymentList | tok | X | X | X | ||||
| ReverseVendorInvoice | tok | X | ||||||
| UpdatePurchaseOrder | tok | X | ||||||
| UpdateVendor | tok | X | ||||||
| UpdateVendorInvoice | tok | X |
Další informace: