Verwalten des Zugriffs auf Ihre SAP-Anwendungen
SAP-Software und -Dienste werden in Ihrer Organisation wahrscheinlich für kritische Funktionen wie Personalverwaltung (Human Resources, HR) und ERP (Enterprise Resource Planning) genutzt. Gleichzeitig setzt Ihre Organisation in Bezug auf die Verwaltung des Zugriffs auf Anwendungen auf Produkte von Microsoft wie verschiedene Azure-Dienste, Microsoft 365 und Microsoft Entra ID Governance. In diesem Artikel wird beschrieben, wie Sie Identity Governance verwenden können, um Identitäten in Ihren SAP-Anwendungen zu verwalten.
Migrieren von SAP Identity Management
Wenn Sie SAP Identity Management (IDM) verwendet haben, können Sie Identitätsverwaltungsszenarios von SAP IDM zu Microsoft Entra migrieren. Weitere Informationen finden Sie unter Migrieren von Identitätsverwaltungsszenarios von SAP IDM zu Microsoft Entra.
Integrieren von Identitäten aus HR in Microsoft Entra ID
Das Tutorial Planen der Bereitstellung von Microsoft Entra für die Benutzerbereitstellung mit Quell- und Ziel-Apps von SAP veranschaulicht, wie Sie Microsoft Entra mit autoritativen Quellen für die Liste der Beschäftigten in einer Organisation (z. B. SAP SuccessFactors) verbinden. Außerdem erfahren Sie, wie Sie Microsoft Entra zum Einrichten von Identitäten für diese Beschäftigten verwenden. Anschließend erfahren Sie, wie Sie Microsoft Entra verwenden, um Beschäftigten Zugriff auf die Anmeldung bei SAP-Anwendungen wie SAP ECC oder SAP S/4HANA zu gewähren.
SuccessFactors
Kunden, die SAP SuccessFactors verwenden, können Identitäten von SuccessFactors mithilfe von nativen Connectors problemlos in Microsoft Entra ID oder von SuccessFactors in ein lokales Active Directory integrieren. Die Connectors unterstützen die folgenden Szenarien:
- Einstellung neuer Mitarbeiter: Wenn Sie in SuccessFactors einen neuen Mitarbeiter hinzufügen, wird in Microsoft Entra ID und optional in Microsoft 365 und anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch ein Benutzerkonto erstellt. Dieser Prozess umfasst das Zurückschreiben der E-Mail-Adresse in SuccessFactors.
- Aktualisierung von Mitarbeiterattributen und -profilen: Wenn Sie in SuccessFactors einen Mitarbeiterdatensatz (z. B. den Namen, Titel oder Vorgesetzten) aktualisieren, wird das Benutzerkonto des Mitarbeiters in Microsoft Entra ID und optional in Microsoft 365 und anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch aktualisiert.
- Kündigung von Mitarbeitern: Wenn Sie in SuccessFactors eine Kündigung vornehmen, wird das Benutzerkonto des entsprechenden Mitarbeiters in Microsoft Entra ID und optional in Microsoft 365 und anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch deaktiviert.
- Wiedereinstellung von Mitarbeiter*innen: Wenn Mitarbeiter*innen in SuccessFactors erneut eingestellt werden, können ihre alten Konten in Microsoft Entra ID und optional in Microsoft 365 und anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen (je nach Präferenz) automatisch erneut aktiviert oder erneut bereitgestellt werden.
Sie können auch das Rückschreiben von Microsoft Entra ID in SAP SuccessFactors aktivieren.
SAP HCM
Kunden, die weiterhin SAP Human Capital Management (HCM) verwenden, können auch Identitäten in Microsoft Entra ID integrieren. Mithilfe von SAP Integration Suite können Sie Listen von Mitarbeitern zwischen SAP HCM und SAP SuccessFactors synchronisieren. Von dort aus können Sie Identitäten direkt in Microsoft Entra ID integrieren oder sie über die zuvor erwähnten nativen Bereitstellungsintegrationen in Active Directory Domain Services bereitstellen.
Bereitstellen des Zugriffs auf SAP-Anwendungen
Zusätzlich zu den nativen Bereitstellungsintegrationen, mit denen Sie den Zugriff auf Ihre SAP-Anwendungen verwalten können, unterstützt Microsoft Entra ID eine Vielzahl von Integrationen in diese Anwendungen.
Aktivieren von SSO
Neben der Einrichtung des Provisioning für Ihre SAP-Anwendungen können Sie auch SSO für diese Anwendungen aktivieren. Microsoft Entra ID kann als Identitätsanbieter sowie als Authentifizierungsstelle für Ihre SAP-Anwendungen fungieren. Microsoft Entra ID kann mit SAML oder OAuth in SAP NetWeaver integriert werden. Für SAP-SaaS- und moderne Apps informieren Sie sich über das Konfigurieren von Microsoft Entra ID als Unternehmensidentitätsanbieter für Ihre SAP-Anwendungen über SAP Cloud Identity Services.
Weitere Informationen zum Konfigurieren des einmaligen Anmeldens über Microsoft Entra ID finden Sie in der folgenden Dokumentation und den folgenden Tutorials:
- SAP Cloud Identitätsdienste
- SAP SuccessFactors
- SAP Analytics Cloud
- SAP Fiori
- SAP Ariba
- SAP Concur Travel and Expense
- SAP Business Technology Platform
- SAP Business ByDesign
- SAP HANA
- SAP Cloud for Customer
- SAP Fieldglass
Sehen Sie sich auch die folgenden SAP-Ressourcen an:
- Einrichten des einmaligen Anmeldens per SAML von Azure Application Gateway für öffentliche und interne SAP-URLs
- Einmaliges Anmelden mit Microsoft Entra Domain Services und Kerberos
Bereitstellen von Identitäten in modernen SAP-Anwendungen
Nachdem Ihre Benutzer in Microsoft Entra ID integriert wurden, können Sie Konten in den verschiedenen SaaS- und lokalen SAP-Anwendungen bereitstellen, auf die sie Zugriff benötigen. Es gibt zwei Möglichkeiten, dies zu erreichen:
- Sie können die Unternehmensanwendung SAP Cloud Identity Services in Microsoft Entra ID verwenden, um Identitäten in SAP Cloud Identity Services bereitzustellen. Nachdem Sie alle Identitäten in SAP Cloud Identity Services integriert haben, können Sie SAP Cloud Identity Services – Identitätsbereitstellung verwenden, um die Konten von dort bei Bedarf in Ihren Anwendungen bereitzustellen.
- Sie können die Integration von SAP Cloud Identity Services – Identity Provisioning verwenden, um Identitäten direkt aus Microsoft Entra ID in SAP Cloud Identity Services-Anwendungen zu exportieren. Wenn Sie SAP Cloud Identity Services – Identity Provisioning verwenden, um Benutzer und Benutzerinnen in diese Anwendungen zu integrieren, wird die gesamte Bereitstellungskonfiguration für diese Anwendungen direkt in SAP verwaltet. Sie können weiterhin die Unternehmensanwendung in Microsoft Entra ID verwenden, um einmaliges Anmelden zu verwalten und Microsoft Entra ID als Unternehmensidentitätsanbieter zu verwenden.
Bereitstellen von Identitäten in lokalen SAP-Systemen
Sobald Sie Benutzer in der Microsoft Entra-ID haben, können Sie diese Benutzer aus Microsoft Entra-ID für SAP Cloud Identity Services oder SAP ECC bereitstellen, damit sie sich bei SAP-Anwendungen anmelden können. Wenn Sie über SAP S/4HANA On-premise
verfügen, stellen Sie Benutzer von Microsoft Entra ID in SAP Cloud Identity Directory bereit. SAP Cloud Identity Services stellt dann die Benutzer, die sich im SAP Cloud Identity Directory befinden, aus Microsoft Entra-ID in den nachgeschalteten SAP-Anwendungen zu SAP S/4HANA (lokal) über den SAP Cloud Connector bereit.
Kunden, die noch nicht von Anwendungen wie SAP R/3 und SAP ERP Central Component (SAP ECC) auf SAP S/4HANA umgestiegen sind, können weiterhin den Microsoft Entra-Bereitstellungsdienst nutzen, um Benutzerkonten bereitzustellen. In SAP/R3 und SAP ECC machen Sie die erforderlichen Anwendungsprogrammierschnittstellen (Business Application Programming Interfaces, BAPIs) zum Erstellen, Aktualisieren und Löschen von Benutzern verfügbar. Innerhalb Microsoft Entra ID stehen Ihnen zwei Optionen zur Auswahl:
- Verwenden Sie den einfachen Microsoft Entra-Bereitstellungs-Agent und den Webdienstconnector, um Benutzer in Apps wie SAP ECC bereitzustellen.
- In Szenarien, in denen eine komplexere Gruppen- und Rollenverwaltung erforderlich ist, verwenden Sie Microsoft Identity Manager, um den Zugriff auf Ihre älteren SAP-Anwendungen zu verwalten.
Sie können Microsoft Entra ID auch verwenden, um Arbeitskräfte in Active Directory oder in anderen lokalen Systemen bereitzustellen, die SAP Cloud Identity Services für die Bereitstellung nicht unterstützt.
Auslösen von benutzerdefinierten Workflows
Wenn in Ihrer Organisation neue Arbeitskräfte eingestellt werden, müssen Sie möglicherweise einen Workflow in Ihren lokalen SAP-Systemen auslösen, um zusätzliche Aufgaben neben der Benutzerbereitstellung auszuführen. Wenn Sie die Logic Apps-Erweiterbarkeit für Microsoft Entra-Lebenszyklus-Workflows oder die Logic Apps-Erweiterbarkeit für die Microsoft Entra-Berechtigungsverwaltung mit dem SAP-Connector in Azure Logic Apps verwenden, können Sie benutzerdefinierte Aktionen in SAP auslösen, wenn Sie neue Arbeitskräfte einstellen.
Überprüfung auf Aufgabentrennung
Mit den Überprüfungen der Aufgabentrennung, die jetzt in der Vorschauversion der Microsoft Entra-Berechtigungsverwaltung verfügbar sind, können Kunden und Kundinnen sicherstellen, dass Benutzerkonten keine übermäßigen Zugriffsrechte zugewiesen werden:
- Administrator*innen und Zugriffs-Manager*innen können verhindern, dass Benutzer*innen zusätzliche Zugriffspakete anfordern, wenn sie bereits anderen Zugriffspaketen zugewiesen sind oder Mitglieder anderer Gruppen sind, die mit dem angeforderten Zugriff nicht kompatibel sind.
- Unternehmen mit kritischen gesetzlichen Anforderungen für SAP-Apps profitieren von einer einheitlichen Ansicht der Zugriffssteuerungen. Sie können dann Überprüfungen der Aufgabentrennung für ihre Finanzanwendungen und für andere unternehmenskritische Anwendungen sowie für in Microsoft Entra integrierte Anwendungen erzwingen.
- Durch die Integration von Microsoft Entra in die SAP-Zugriffsverwaltung, in Pathlock und in andere Partnerprodukte können Kunden die Vorteile zusätzlicher Risiko- und feingranularer Kontrollen der Aufgabentrennung nutzen, die in diesen Produkten durch Zugriffspakete in Microsoft Entra ID Governance durchgesetzt werden.
Zusätzliche Anleitungen
Weitere Informationen zu SAP-Integrationen in Microsoft Entra ID finden Sie in der folgenden Dokumentation:
- Sicherer Zugriff mit SAP Cloud Identity Services und Microsoft Entra ID
- Sicherheit von SAP-Workloads: Microsoft Azure Well-Architected Framework
- Dienste und Integrationspartner für die Bereitstellung von Microsoft Entra mit SAP-Anwendungen