Freigeben über


Tutorial: Konfigurieren von Microsoft Entra ID und SAP Cloud Identity Services für die automatische Benutzerbereitstellung für SAP HANA

In diesem Tutorial werden die Schritte beschrieben, die Sie in SAP Cloud Identity Services und Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Bei Konfiguration stellt Microsoft Entra ID mithilfe des Microsoft Entra-Bereitstellungsdiensts und SAP Cloud Identity Services automatisch Benutzer für SAP HANA bereit bzw. hebt die Bereitstellung auf. Wichtige Details zum Zweck und zur Funktionsweise der Microsoft Entra-Bereitstellung sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.

Unterstützte Funktionen

  • Erstellen von Benutzern in SAP HANA, um Single Sign-On bei SAP HANA zu aktivieren
  • Entfernen Sie Benutzer aus SAP HANA, wenn diese keinen Zugriff mehr benötigen
  • Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und SAP HANA

Voraussetzungen

Das diesem Tutorial zu Grunde liegende Szenario setzt voraus, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • Ein Microsoft Entra-Mandant
  • Eine der folgenden Rollen: Anwendungsadministrator, Cloudanwendungsadministrator oder Anwendungsbesitzer.
  • SAP HANA Cloud oder SAP HANA-Datenbank
  • SAP Cloud Identity Services-Mandant
  • Ein Benutzerkonto in der Verwaltungskonsole für die SAP-Identitätsbereitstellung mit Administratorberechtigungen. Stellen Sie sicher, dass Sie Zugriff auf die Proxysysteme in der Verwaltungskonsole für die Identitätsbereitstellung haben. Wenn die Kachel Proxysysteme nicht angezeigt wird, erstellen Sie einen Incident für die Komponente BC-IAM-IPS, um Zugriff auf diese Kachel anzufordern.

Schritt 1: Planen der Bereitstellung

Microsoft Entra verfügt über Connectors zu SAP ECC, SAP Cloud Identity Services und SAP SuccessFactors. Die Bereitstellung in SAP HANA oder anderen Anwendungen erfordert, dass die Benutzer zuerst in der Microsoft Entra ID vorhanden sind. Sobald Sie Benutzer in der Microsoft Entra-ID haben, können Sie diese Benutzer aus Microsoft Entra-ID für SAP Cloud Identity Services bereitstellen. SAP Cloud Identity Services stellt dann die Benutzer aus Microsoft Entra-ID bereit, die sich im SAP Cloud Identity Directory befinden, in den nachgeschalteten SAP-Anwendungen, einschließlich SAP HANA Cloud und „SAP HANA-Datenbank“ über den SAP Cloud Connector und andere.

Diagramm mit Microsoft- und SAP-Technologien, die für die Bereitstellung von Identitäten von Microsoft Entra ID relevant sind.

Schritt 2: Sicherstellen, dass Sie über die richtigen Benutzer in der Microsoft Entra ID verfügen

Sie können HR-Inbound aus Quellen wie SuccessFactors verwenden, um die Liste der Benutzer in der Microsoft Entra ID auf dem neuesten Stand zu halten, wenn Mitarbeiter dazukommen, Rollen ändern oder gehen. Wenn Sie planen, Gruppen oder Anwendungsrollenzuweisungen zu verwenden, um festzulegen, wer auf SAP HANA zugreifen kann oder welche Rollen diese haben werden, und Ihr Mandant über eine Lizenz für Microsoft Entra ID Governance verfügt, können Sie auch Änderungen an den Anwendungsrollenzuweisungen in Microsoft Entra ID für Anwendungen automatisieren, die SAP Cloud Identity Services oder SAP HANA darstellen. Weitere Informationen zum Ausführen der Trennung von Aufgaben und anderen Complianceprüfungen vor der Bereitstellung finden Sie unter Migrieren von Szenarien zur Verwaltung des Zugriffslebenszyklus.

Eine schrittweise Anleitung zum Identitätslebenszyklus mit SAP-Anwendungen als Ziel finden Sie unter Planen der Bereitstellung von Microsoft Entra für die Benutzerbereitstellung mit SAP-Quell- und Zielanwendungen.

Schritt 3: Konfigurieren der Bereitstellung von Microsoft Entra ID in SAP Cloud Identity Services

Um die Bereitstellung von Benutzern für SAP HANA oder andere SAP-Anwendungen, die in SAP Cloud Identity Services integriert sind, vorzubereiten, stellen Sie sicher, dass die SAP Cloud Identity Services die erforderlichen Schemazuordnungen für diese Anwendungen haben. Dann konfigurieren Sie die Bereitstellung von Benutzern von Microsoft Entra ID zu SAP Cloud Identity Services. SAP Cloud Identity Services stellt anschließend Benutzer bei Bedarf in den nachgeschalteten SAP-Anwendungen bereit.

Es gibt zwei Möglichkeiten, Benutzer von Microsoft Entra in SAP Cloud Identity Services bereitzustellen.

  • Wenn Sie Gruppen aus der Microsoft Entra ID verwenden, z. B. um Benutzern Rollen in SAP HANA Cloud zuzuweisen, verwenden Sie die SAP Cloud Identity Services-Bereitstellung. Erstellen Sie zunächst Microsoft Entra-Gruppen für Ihre SAP-Geschäftsrollen, die in SAP Analytics Cloud verwendet werden. Konfigurieren Sie dann in der Bereitstellung von SAP Cloud Identity Services die Microsoft Entra ID als Quelle, um Benutzer und Gruppen aus Microsoft Entra ID zu SAP Cloud Identity Services zu bringen und die erstellten Gruppen Ihren SAP-Geschäftsrollen zuzuordnen. Weitere Informationen finden Sie in der SAP-Dokumentation zur Bereitstellung von Benutzern von Microsoft Azure AD zu SAP Cloud Identity Services – Identity Authentication.

  • Alternativ können Sie den Microsoft Entra-Bereitstellungsdienst verwenden, wenn Sie keine Gruppen in der Microsoft Entra ID verwenden müssen. Erstellen Sie in diesem Szenario eine Anwendung, die SAP HANA darstellt und weisen Sie Benutzern, die Zugriff auf SAP HANA benötigen, dieser Anwendung zu. Dann konfigurieren Sie die automatische Benutzerbereitstellung mit Microsoft Entra ID für SAP Cloud Identity Services. Warten Sie, bis diese Benutzer in SAP Cloud Identity Services bereitgestellt werden und überprüfen Sie, ob sie über die für Ihr SAP HANA-Ziel erforderlichen Attribute verfügen.

Hinweis

Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Überprüfen Sie, ob die Benutzer*innen über den richtigen Zugriff in SAP-Downstreamzielen verfügen, und stellen Sie sicher, dass sie nach der Anmeldung die richtigen Rollen aufweisen.

Schritt 4: Konfigurieren der Bereitstellung von SAP Cloud Identity Services in SAP HANA

Verwenden Sie in diesem Schritt die SAP Cloud Identity Services Identity Provisioning, um SAP HANA als Zielsystem zu konfigurieren, in dem Sie Benutzer und Gruppenmitglieder bereitstellen können. Informationen zur SAP HANA Cloud oder SAP HANA-Datenbank finden Sie in der SAP-Dokumentation zur Bereitstellung in der SAP HANA Cloud oder in der SAP HANA-Datenbank.

Schritt 5: Konfigurieren von Single Sign-On

Nachdem Sie die Bereitstellung für Benutzer in Ihren SAP-Anwendungen konfiguriert haben, sollten Sie einmaliges Anmelden für sie aktivieren. Microsoft Entra ID kann als Identitätsanbieter sowie als Authentifizierungsstelle für Ihre SAP-Anwendungen fungieren. Falls noch nicht geschehen, konfigurieren Sie die Microsoft Entra Single Sign-On(SSO)-Integration in SAP Cloud Identity Services.

Weitere Informationen zum Konfigurieren des einmaligen Anmeldens bei SAP SaaS und modernen Apps finden Sie unter Aktivieren von SSO.

Nächste Schritte