Tutorial: Configuración de Microsoft Entra ID y SAP Cloud Identity Services para el aprovisionamiento automático de usuarios en SAP HANA
En este tutorial se describen los pasos que debe realizar en SAP Cloud Identity Services y Microsoft Entra ID para configurar el aprovisionamiento automático de usuarios. Una vez configurado, Microsoft Entra ID aprovisiona y desaprovisiona de forma automática a los usuarios de SAP HANA mediante el servicio de aprovisionamiento de Microsoft Entra y SAP Cloud Identity Services. Para obtener detalles importantes sobre lo que hace el aprovisionamiento de Microsoft Entra, cómo funciona y las preguntas más frecuentes, consulte Automatizar el aprovisionamiento y desaprovisionamiento de usuarios a aplicaciones SaaS con Microsoft Entra ID.
Funcionalidades admitidas
- Crear usuarios en SAP HANA para habilitar el inicio de sesión único(SSO) en SAP HANA
- Quite usuarios de SAP HANA cuando ya no necesiten acceso
- Mantenimiento de la sincronización de los atributos de usuario entre Microsoft Entra ID y SAP HANA
Requisitos previos
En el escenario descrito en este tutorial se supone que ya cuenta con los requisitos previos siguientes:
- Un inquilino de Microsoft Entra
- Uno de los siguientes roles: Administrador de aplicaciones, Administrador de aplicaciones en la nube o Propietario de la aplicación.
- SAP HANA Cloud o Base de datos de SAP HANA
- Inquilino de SAP Cloud Identity Services
- Una cuenta de usuario en la consola de administración de aprovisionamiento de identidades de SAP con permisos de administrador. Asegúrese de que tiene acceso a los sistemas proxy en la consola de administración de aprovisionamiento de identidades. Si no ve el icono Proxy Systems (Sistemas proxy), cree un incidente para el componente BC-IAM-IPS para solicitar acceso a este icono.
Paso 1: Planeación de la implementación de aprovisionamiento
Microsoft Entra dispone de conectores a SAP ECC, SAP Cloud Identity Services y SAP SuccessFactors. El aprovisionamiento en SAP HANA u otras aplicaciones requiere que los usuarios estén presentes primero en Microsoft Entra ID. Una vez que tengas usuarios en Microsoft Entra ID, puedes aprovisionar esos usuarios de Microsoft Entra ID a SAP Cloud Identity Services. A continuación, SAP Cloud Identity Services aprovisiona los usuarios procedentes de Microsoft Entra ID que se encuentran en SAP Cloud Identity Directory en las aplicaciones SAP de nivel inferior, incluidos SAP HANA Cloud
y base de datos de SAP HANA a través del conector en la nube SAP y otros.
Paso 2: Asegúrese de que tiene los usuarios adecuados en Microsoft Entra ID
Puede usar la entrada de HR desde orígenes como SuccessFactors para mantener actualizada la lista de usuarios en Microsoft Entra ID a medida que los empleados se unen, se mueven y salen. Si planea usar grupos o asignaciones de roles de aplicación para definir el ámbito de quién puede acceder a SAP HANA o qué roles tendrán, y el inquilino tiene una licencia de gobernanza de Microsoft Entra ID, también puede automatizar los cambios en las asignaciones de roles de aplicación en Microsoft Entra ID para aplicaciones que representan SAP Cloud Identity Services o SAP HANA. Para obtener más información sobre cómo realizar la separación de tareas y otras comprobaciones de cumplimiento antes del aprovisionamiento, consulte Migrar escenarios de administración del ciclo de vida de acceso.
Para obtener instrucciones paso a paso sobre el ciclo de vida de la identidad con las aplicaciones SAP como destino, consulte Planificar la implementación de Microsoft Entra para el aprovisionamiento de usuarios con aplicaciones de origen y destino SAP.
Paso 3: Configurar el aprovisionamiento de Microsoft Entra ID a SAP Cloud Identity Services
Para preparar el aprovisionamiento de usuarios en SAP HANA u otras aplicaciones SAP integradas con SAP Cloud Identity Services, confirme que SAP Cloud Identity Services tiene las asignaciones de esquema necesarias para esas aplicaciones. A continuación, configure Microsoft Entra ID para aprovisionar usuarios en SAP Cloud Identity Services. SAP Cloud Identity Services aprovisionará posteriormente a los usuarios en las aplicaciones SAP de nivel inferior según sea necesario.
Hay dos maneras de aprovisionar usuarios de Microsoft Entra en SAP Cloud Identity Services.
Si va a usar grupos de Microsoft Entra ID, como asignar usuarios a roles en la nube de SAP HANA, use el aprovisionamiento de SAP Cloud Identity Services. En primer lugar, cree grupos de Microsoft Entra para los roles empresariales de SAP usados en SAP Analytics Cloud. A continuación, en el aprovisionamiento de SAP Cloud Identity Services, configure Microsoft Entra ID como origen para traer usuarios y grupos de Microsoft Entra ID a SAP Cloud Identity Services y asignar los grupos creados a los roles empresariales de SAP. Para obtener más información, consulte la documentación de SAP sobre el aprovisionamiento de usuarios de Microsoft Azure AD a SAP Cloud Identity Services - Identity Authentication.
Como alternativa, si no necesita usar grupos en Microsoft Entra ID, puede usar el servicio de aprovisionamiento de Microsoft Entra. En este escenario, cree una aplicación que represente SAP HANA y asigne usuarios que necesiten acceso a SAP HANA a esa aplicación. A continuación, configure el aprovisionamiento automático de usuarios con Microsoft Entra ID a SAP Cloud Identity Services. Espere a que esos usuarios se aprovisionen en SAP Cloud Identity Services y compruebe que tienen los atributos necesarios para el destino de SAP HANA.
Nota:
Empiece por algo pequeño. Pruebe con un pequeño conjunto de usuarios y grupos antes de implementarlo en todos. Compruebe que los usuarios tienen el acceso correcto en los destinos de nivel inferior de SAP y que, cuando inician sesión, tienen los roles correctos.
Paso 4: Configurar el aprovisionamiento de SAP Cloud Identity Services a SAP HANA
En este paso, use el aprovisionamiento de identidades de SAP Cloud Identity Services para configurar SAP HANA como sistema de destino, donde puede aprovisionar usuarios y miembros del grupo. Para SAP HANA Cloud o la base de datos de SAP HANA, consulte la documentación de SAP sobre el aprovisionamiento en SAP HANA Cloud o base de datos de SAP HANA.
Paso 5: Configurar el inicio de sesión único
Después de configurar el aprovisionamiento para los usuarios en las aplicaciones SAP, debe habilitar el inicio de sesión único para ellos. Microsoft Entra ID puede actuar como proveedor de identidades y entidad de autenticación para las aplicaciones SAP. Si aún no lo ha hecho, configure la integración del inicio de sesión único (SSO) de Microsoft Entra con SAP Cloud Identity Services.
Para obtener más información sobre cómo configurar el inicio de sesión único en SAP SaaS y aplicaciones modernas, consulte Habilitar inicio de sesión único.