Konfigurere adgangskontrollister i Microsoft Entra ID
Brugere skal blot have adgang til de apps og flows, der er i overensstemmelse med deres afdelingsfunktion. Du kan oprette Microsoft Entra ID-sikkerhedsgrupper baseret på forretningsprocesser og tildele teammedlemmer til de relevante grupper. Sikkerhedsgrupperne styrer brugeradgang til appsene og synligheden af de forskellige komponenter i appsene.
Oprette Microsoft Entra ID-sikkerhedsgrupper
Følgende udrulningsmodel illustrerer, hvordan du tildeler brugere forskellige Microsoft Entra ID-sikkerhedsgrupper baseret på deres afdelingsfunktion.
Administratorsikkerhedsgruppe
Konfigurer en eller flere administratorer til et SAP Procurement Admin-team.
Funktionelle sikkerhedsgrupper
Sikkerhedsgrupperne kan tilpasses bestemte forretningsprocesser. Tildel alle de brugere, der er med i processen fra køb til betaling, til en eller flere af de seks forskellige brugerteams:
- Leverandøradministration
- Indkøbsrekvisitioner
- Indkøbsordrer
- Leverandørvarekvitteringer
- Leverandørfaktura
- Leverandørbetalinger
Denne model bruges i resten af dette dokument til at vise hensigten, men konfigurationen kan variere, afhængigt af dine behov.
Flere oplysninger:
Oprette Dataverse-gruppeteams
Administratorer styrer de menupunkter, der er synlige for brugere på lærredapps, direkte i SAP Administrator-appen. Dataverse Gruppeteammedlemskab styrer adgang til og synlighed til menupunkterne. Microsoft Entra ID-sikkerhedsgrupper styrer Dataverse-gruppeteammedlemskabet og sikrer én af to muligheder:
- Brugerne har synlighed og adgang til de relevante menupunkter i lærredapps, når de føjes til en eller flere sikkerhedsgrupper.
- Brugere mister synligheden og adgangen, når de fjernes fra en sikkerhedsgruppe.
Derudover driver menusynligheden detaljeadgang gennem bestemte felter lærredapps. Hvis en bruger f.eks. ikke er en del af indkøbsordreteamet, kan brugeren kun få vist det tilknyttede indkøbsordrenummer til rekvisitionen i appen SAP Requisition Management. De kan ikke få detaljeadgang til at se alle oplysninger om indkøbsordren.
Flere oplysninger: Arbejde med Microsoft Entra ID-gruppeteams
Trin til administration af team
Brug disse trin til at oprette teams og konfigurere sikkerhedsindstillinger:
- Log på Power Platform Administration.
- Vælg Miljøer, og vælg det miljø, der indeholder løsningerne.
- Gå til Indstillinger>Brugere + tilladelser>Teams.
- Vælg + Opret team.
- Udfyld alle obligatoriske felter. I Teamtype skal du vælge Microsoft Entra ID-sikkerhedsgruppe. Du skal også udfylde Gruppenavn og Medlemstype.
- Søg efter den eksempelsikkerhedsgruppe, der tidligere er oprettet i Microsoft Entra ID, og knyt den til det nyoprettede gruppeteam.
- Tildel sikkerhedsroller til teams, der svarer til teamfunktioner.
Vejledning til sikkerhedsrolle
Følgende tabel indeholder en vejledning i at tildele sikkerhedsroller:
| Dataverse-teamnavn | SAP-skabelonbruger | SAP-skabelonadministrator | Basisbruger |
|---|---|---|---|
| Leverandøradministration | X | X | |
| Indkøbsrekvisitioner | X | X | |
| Indkøbsordrer | X | X | |
| Leverandørvarekvitteringer | X | X | |
| Leverandørfaktura | X | X | |
| Leverandørbetalinger | X | X | |
| Administration | X | X |
Bemærk
- Brugere tilføjes eller fjernes i et gruppeteam baseret på deres medlemskab af den tilknyttede Microsoft Entra ID-sikkerhedsgruppe.
- Adgang til Dataverse-data styres af teammedlemskab med adgangsniveauer, der er differentieret mellem tildelinger af sikkerhedsrollen SAP-integrationsbruger og SAP-integrationsadministrator til teams.
- Konfigurationen af Dataverse-gruppeteam i Power Platform Administration kan også ses i SAP Admin-app, som du kan referere til.
Flere oplysninger: Administrere gruppeteams, Sikkerhedsroller og -privilegier
Dele adgang til apps og flows
Medlemmer i sikkerhedsgrupper har kun adgang til apps og flows, som deles med dem. Brug sikkerhedsgruppemodellen som et eksempel til at hjælpe dig med at konfigurere sikkerhedsgrupper for organisationen.
Del flowene med rettigheder udelukkende til kørsel, så brugere har adgang til integrerede flows og SAP ERP, Dataverse og Office 365-connectorbrugertjenesterne med de udløsende brugerlegitimationsoplysninger.
Advarsel!
Hvis du ikke ændrer de skrivebeskyttede rettigheder til flows, kan connector-tjenesterne ikke sende brugerlegitimationsoplysninger. Deling af Dataverse og Office 365-forbindelser skal være begrænset.
Trin til deling af apps
- Gå til de enkelte apps i Power Apps.
- Vælg indstillingen Del.
- Søg efter og vælg den relevante sikkerhedsgruppe, der indeholder de medlemmer, der skal have adgang til denne app.
- Vælg Del. Du kan også vælge, om du vil inkludere en invitation via mail (ikke påkrævet).
Trin til deling af flows
- Gå til de enkelte cloudflows i Power Apps.
- Vælg Rediger i sektionen Kun kørselsbrugere.
- Inviter systembrugere og teams ved at søge efter og vælge de Microsoft Entra ID-sikkerhedsgrupper, der skal have adgang til flowet i henhold til de lærredapps, som teamet skal bruge.
- For alle de tre forbindelser, der bruges, skal du vælge indstillingen Angivet af kørselsbruger.
- Vælg Gem.
Delingsoversigt
Tabellen indeholder en tilknytningsoversigt over, hvilke komponenter der skal tildeles eller deles i henhold til eksemplet på Microsoft Entra ID-sikkerhedsgruppeteams.
| Komponent | Type | Leverandøradministrationsteam | Indkøbsrekvisitionsteam | Indkøbsordreteam | Leverandørvarekvitteringsteam | Leverandørfakturateam | Leverandørbetalingsteam | Administratorteam |
|---|---|---|---|---|---|---|---|---|
| SAP Vendor Management | -app | X | ||||||
| SAP Purchase Requisitions | -app | X | ||||||
| SAP-indkøbsordrer | -app | X | ||||||
| SAP-varekvitteringer | -app | X | ||||||
| SAP-leverandørfaktura | -app | X | ||||||
| SAP-leverandørbetalinger | -app | X | ||||||
| SAP-skabelonadministrator | -app | X | ||||||
| ApprovePurchaseOrder | flow | X | ||||||
| ApproveVendorInvoice | flow | X | ||||||
| ConvertRequisitionToPurchaseOrder | flow | X | ||||||
| CreateGoodsReceipt | flow | X | ||||||
| CreatePurchaseOrder | flow | X | ||||||
| CreateRequisition | flow | X | ||||||
| CreateVendor | flow | X | ||||||
| CreateVendorInvoice | flow | X | ||||||
| ReadGLAccount | flow | X | X | X | ||||
| ReadGLAccountList | flow | X | X | X | ||||
| ReadGoodsReceipt | flow | X | X | X | ||||
| ReadGoodsReceiptList | flow | X | X | X | ||||
| ReadMaterial | flow | X | X | X | X | X | X | |
| ReadMaterialList | flow | X | X | X | X | X | X | |
| ReadPurchaseOrder | flow | X | X | X | X | |||
| ReadPurchaseOrderList | flow | X | X | X | X | |||
| ReadRequisition | flow | X | X | X | ||||
| ReadRequisitionList | flow | X | X | X | ||||
| ReadVendor | flow | X | X | X | X | X | X | |
| ReadVendorInvoice | flow | X | X | X | X | |||
| ReadVendorInvoiceList | flow | X | X | X | X | |||
| ReadVendorList | flow | X | X | X | X | X | X | |
| ReadVendorPayment | flow | X | X | X | ||||
| ReadVendorPaymentList | flow | X | X | X | ||||
| ReverseVendorInvoice | flow | X | ||||||
| UpdatePurchaseOrder | flow | X | ||||||
| UpdateVendor | flow | X | ||||||
| UpdateVendorInvoice | flow | X |
Flere oplysninger: