Zugriffskontrolllisten in Microsoft Entra ID einrichten
Benutzer benötigen nur Zugriff auf die Apps und Flows, die ihrer Abteilungsfunktion entsprechen. Sie können Microsoft Entra ID-Sicherheitsgruppen basierend auf Geschäftsprozessen erstellen und weisen Sie Teammitglieder den entsprechenden Gruppen zu. Mithilfe der Sicherheitsgruppen können Sie den Benutzerzugriff auf die Apps und die Sichtbarkeit der verschiedenen Komponenten innerhalb der Apps steuern.
Microsoft Entra ID-Sicherheitsgruppen erstellen
Das folgende Bereitstellungsmodell veranschaulicht, wie Benutzende verschiedenen Microsoft Entra ID-Sicherheitsgruppen basierend auf der Abteilungsfunktion zugewiesen werden können.
Administratorsicherheitsgruppe
Richten Sie einen oder mehrere Administratoren für ein SAP-Beschaffungs-Administratorteam ein.
Funktionale Sicherheitsgruppen
Die Sicherheitsgruppen können auf bestimmte Geschäftsprozesse ausgerichtet werden. Weisen Sie alle am Procure-to-Pay-Prozess beteiligten Benutzer einem oder mehreren der sechs verschiedenen Benutzerteams zu:
- Kreditorenverwaltung
- Bestellanforderungen
- Bestellungen
- Zuliefererwarenquittungen
- Kreditorenrechnung
- Kreditorenzahlungen
Dieses Modell wird im weiteren Verlauf dieses Dokuments verwendet, um die Absicht zu verdeutlichen. Ihre Konfiguration kann jedoch je nach Ihren Anforderungen abweichen.
Weitere Informationen:
- Erfahren Sie mehr über Gruppen und Zugriffsrechte in Microsoft Entra
- Teams (einschließlich Gruppenteams)
Dataverse-Gruppenteams erstellen
Die Administratoren verwalten Menüelemente, die für Benutzer in den Canvas-Apps sichtbar sind, direkt in der SAP-Administrator-App verwaltet. Dataverse Die Gruppenteammitgliedschaft steuert den Zugriff auf und die Sichtbarkeit der Menüelemente. Microsoft Entra ID-Sicherheitsgruppen steuern die Dataverse-Gruppenteammitgliedschaft und stellen eine von zwei Optionen sicher:
- Benutzer profitieren von Sichtbarkeit der und Zugriff auf die entsprechenden Menüelemente in den Canvas-Apps, wenn sie mindestens einer Sicherheitsgruppe hinzugefügt werden.
- Benutzer verlieren Sichtbarkeit und Zugriff, wenn sie aus einer Sicherheitsgruppe entfernt werden.
Darüber hinaus steuert die Menüsichtbarkeit das Drillthrough-Verhalten in bestimmten Feldern in den Canvas-Apps. Wenn ein Benutzer beispielsweise nicht Teil des Bestellteams ist, kann er in der SAP-Anforderungsverwaltungs-App nur die mit der Bestellanforderung verknüpfte Bestellnummer anzeigen. Sie können keinen Drillthrough durchführen, um alle Bestelldetails anzuzeigen.
Weitere Informationen: Arbeiten mit Microsoft Entra ID-Gruppenteams
Schritte zum Verwalten von Teams
Führen Sie diese Schritte aus, um Teams zu erstellen und Sicherheitseinstellungen zu konfigurieren:
- Melden Sie sich beim Power Platform Admin Center an.
- Gehen Sie zu Umgebungen und wählen Sie die Umgebung aus, die die Lösungen enthält.
- Gehen Sie zu Einstellungen>Benutzer + Berechtigungen>Teams.
- Wählen Sie + Team erstellen aus.
- Füllen Sie die erforderlichen Felder aus. Wählen Sie für Teamtyp die Option Microsoft Entra ID-Sicherheitsgruppe aus. Sie müssen außerdem Gruppenname und Mitgliedschaftstyp ausfüllen.
- Suchen Sie nach der zuvor in Microsoft Entra ID erstellten Beispielsicherheitsgruppe und verknüpfen Sie sie mit dem neu erstellten Gruppenteam.
- Weisen Sie Teams Sicherheitsrollen zu, die den Teamfunktionen entsprechen.
Anleitung für Sicherheitsrollen
Die folgende Tabelle bietet eine Anleitung zum Zuweisen von Sicherheitsrollen:
| Dataverse-Teamname | SAP-Vorlagenbenutzer | SAP-Vorlagenadministrator | Basisbenutzer |
|---|---|---|---|
| Kreditorenverwaltung | X | X | |
| Bestellanforderungen | X | X | |
| Bestellungen | X | X | |
| Zuliefererwarenquittung | X | X | |
| Kreditorenrechnung | X | X | |
| Kreditorenzahlungen | X | X | |
| Administrator | X | X |
Anmerkung
- Benutzende werden basierend auf ihrer Mitgliedschaft in der verknüpften Microsoft Entra ID-Sicherheitsgruppe einem Gruppenteam hinzugefügt oder daraus entfernt.
- Der Zugriff auf Dataverse-Daten wird durch die Teammitgliedschaft geregelt, wobei die Zugriffsebenen zwischen den Zuweisungen von SAP-Integrationsbenutzern und SAP-Integrationsadministratoren zu den Teams unterschieden werden.
- Die Dataverse-Gruppenteam-Einrichtung im Power Platform Admin Center kann als Referenz auch in der SAP-Administrator-App eingesehen werden.
Weitere Informationen: Gruppenteams verwalten, Sicherheitsrollen und Rechte
Zugriff auf die Apps und Flows teilen
Mitglieder der Sicherheitsgruppe können nur auf Apps und Flows zugreifen, die für sie freigegeben sind. Verwenden Sie das Sicherheitsgruppenmodell als Beispiel, um Ihnen beim Einrichten von Sicherheitsgruppen für Ihre Organisation zu helfen.
Teilen Sie die Flows mit Nur Berechtigungen ausführen, damit Benutzer Zugriff auf eingebettete Flows haben und die Benutzerdienste für SAP ERP-, Dataverse- und Office 365-Konnektoren die Anmeldeinformationen des auslösenden Benutzers verwenden.
Warnung
Wenn das Ändern der Leseberechtigungen für die Flows fehlschlägt, wird verhindert, dass die Konnektordienste Benutzeranmeldeinformationen weitergeben. Die gemeinsame Nutzung von Dataverse- und Office 365-Verbindungen sollte eingeschränkt werden.
Schritte zum Teilen von Apps
- Gehen Sie zu den einzelnen Apps in Power Apps.
- Wählen Sie die Option Freigeben aus.
- Suchen Sie nach der entsprechenden Sicherheitsgruppe, die die Mitglieder enthält, die auf diese App zugreifen müssen, und wählen Sie sie aus.
- Wählen Sie Teilen aus. Sie können auch wählen, ob Sie eine E-Mail-Einladung hinzufügen möchten oder nicht (nicht erforderlich).
Schritte zum Teilen von Flows
- Gehen Sie zu den einzelnen Cloud-Flows in Power Apps.
- Gehen Sie zum Abschnitt Nur-Ausführen-Benutzer und wählen Sie Bearbeiten aus.
- Laden Sie Systembenutzende und Teams ein, indem Sie nach den Microsoft Entra ID-Sicherheitsgruppen suchen und diese auswählen, die entsprechend den Canvas-Apps, die das Team verwenden muss, Zugriff auf den Flow benötigen.
- Wählen Sie für alle drei verwendeten Verbindungen die Option Vom Endbenutzer bereitgestellte Berechtigungen zum Ausführen aus.
- Wählen Sie Speichern.
Zusammenfassung für das Teilen
Diese Tabelle bietet eine Zuordnungszusammenfassung darüber, welche Komponenten gemäß den Beispiel-Microsoft Entra ID-Sicherheitsgruppenteams zugewiesen oder gemeinsam genutzt werden müssen.
| Komponente | typ | Zuliefererverwaltungs-Team | Bestellanforderungs-Team | Bestellungs-Team | Zuliefererwarenquittungs-Team | Zuliefererrechnungsteam | Team für Kreditorenzahlungen | Administratorteam |
|---|---|---|---|---|---|---|---|---|
| SAP-Zuliefererverwaltung | App | X | ||||||
| SAP-Kaufanforderungen | App | X | ||||||
| SAP-Bestellungen | App | X | ||||||
| SAP-Warenquittungen | App | X | ||||||
| SAP-Kreditorenrechnung | App | X | ||||||
| SAP-Kreditorenzahlungen | App | X | ||||||
| SAP-Vorlagenadministrator | App | X | ||||||
| ApprovePurchaseOrder | Flow | X | ||||||
| ApproveVendorInvoice | Flow | X | ||||||
| ConvertRequisitionToPurchaseOrder | Flow | X | ||||||
| CreateGoodsReceipt | Flow | X | ||||||
| CreatePurchaseOrder | Flow | X | ||||||
| CreateRequisition | Flow | X | ||||||
| CreateVendor | Flow | X | ||||||
| CreateVendorInvoice | Flow | X | ||||||
| ReadGLAccount | Flow | X | X | X | ||||
| ReadGLAccountList | Flow | X | X | X | ||||
| ReadGoodsReceipt | Flow | X | X | X | ||||
| ReadGoodsReceiptList | Flow | X | X | X | ||||
| ReadMaterial | Flow | X | X | X | X | X | X | |
| ReadMaterialList | Flow | X | X | X | X | X | X | |
| ReadPurchaseOrder | Flow | X | X | X | X | |||
| ReadPurchaseOrderList | Flow | X | X | X | X | |||
| ReadRequisition | Flow | X | X | X | ||||
| ReadRequisitionList | Flow | X | X | X | ||||
| ReadVendor | Flow | X | X | X | X | X | X | |
| ReadVendorInvoice | Flow | X | X | X | X | |||
| ReadVendorInvoiceList | Flow | X | X | X | X | |||
| ReadVendorList | Flow | X | X | X | X | X | X | |
| ReadVendorPayment | Flow | X | X | X | ||||
| ReadVendorPaymentList | Flow | X | X | X | ||||
| ReverseVendorInvoice | Flow | X | ||||||
| UpdatePurchaseOrder | Flow | X | ||||||
| UpdateVendor | Flow | X | ||||||
| UpdateVendorInvoice | Flow | X |
Weitere Informationen: