Configurar listas de control de acceso en Microsoft Entra ID
Los usuarios solo necesitan acceso a las aplicaciones y flujos que se alinean con su función departamental. Puede crear grupos de seguridad de Microsoft Entra ID basados en procesos comerciales y asigne miembros del equipo a los grupos apropiados. Los grupos de seguridad controlan el acceso de los usuarios a las aplicaciones y la visibilidad de los diversos componentes dentro de las aplicaciones.
Crear grupos de seguridad de Microsoft Entra ID
El siguiente modelo de implementación ilustra cómo asignar usuarios a diferentes grupos de seguridad de Microsoft Entra ID basados en su función del departamento.
Grupo de seguridad de administrador
Configure uno o más administradores para un equipo de administración de adquisiciones de SAP.
Grupos de seguridad funcionales
Los grupos de seguridad pueden alinearse con procesos comerciales específicos. Asigne a todos los usuarios que participan en el proceso de compra a pago a uno o más de los seis equipos de usuarios diferentes:
- Administración de proveedores
- Solicitudes de compra
- Pedidos de compra
- Recibos de productos de proveedores
- Factura del proveedor
- Pagos a proveedores
Este modelo se usa en el resto de este documento para mostrar la intención, pero su configuración puede diferir según sus requisitos.
Más información:
- Obtenga información sobre los grupos y los derechos de acceso en Microsoft Entra
- Equipos (incluidos equipos grupales)
Crear equipos de grupo de Dataverse
Los administradores gestionan los elementos de menú visibles para los usuarios en las aplicaciones de lienzo directamente en la aplicación SAP Administrador. Dataverse Los controles de membresía del equipo de grupo controlan el acceso y la visibilidad de los elementos del menú. Los grupos de seguridad de Microsoft Entra ID controlan la pertenencia del equipo del grupo de Dataverse y garantizan una de dos opciones:
- Los usuarios tienen visibilidad y acceso a los elementos de menú apropiados en las aplicaciones de lienzo cuando se agrega a uno o más grupos de seguridad.
- Los usuarios pierden visibilidad y acceso cuando se eliminan de un grupo de seguridad.
Además, la visibilidad del menú impulsa el comportamiento de profundización en ciertos campos en las aplicaciones de lienzo. Por ejemplo, si un usuario no forma parte del equipo de órdenes de compra, solo puede ver el número de orden de compra asociado a la solicitud en la aplicación SAP Requisition Management. No pueden profundizar para ver todos los detalles de la orden de compra.
Más información: Trabajar con equipos de grupos Microsoft Entra ID
Pasos para gestionar equipos
Siga estos pasos para crear equipos y configurar opciones de seguridad:
- Inicie sesión en el Centro de administración de Power Platform.
- Vaya a Entornos y seleccione el entorno que contiene las soluciones.
- Vaya a Configuración>Usuarios + permisos>Equipos.
- Seleccione + Crear equipo.
- Complete los campos obligatorios. Para Tipo de equipo, seleccione Grupo de seguridad de Microsoft Entra ID. También deberá completar Nombre del grupo y Tipo de membresía.
- Busque el grupo de seguridad de ejemplo creado anteriormente en Microsoft Entra ID y asócielo al equipo de grupo recién creado.
- Asigne roles de seguridad a los equipos que correspondan a las funciones del equipo.
Guía de roles de seguridad
La siguiente tabla proporciona orientación para la asignación de roles de seguridad:
| Nombre del equipo de Dataverse | Usuario de plantilla de SAP | Administrador de plantilla de SAP | Usuario Basic |
|---|---|---|---|
| Administración de proveedores | X | X | |
| Solicitudes de compra | X | X | |
| Pedidos de compra | X | X | |
| Recibo de productos de proveedores | X | X | |
| Factura del proveedor | X | X | |
| Pagos a proveedores | X | X | |
| Admin | X | X |
Nota
- Los usuarios se agregan o eliminan de un equipo de grupo en función de su pertenencia al grupo de seguridad de Microsoft Entra ID vinculado.
- El acceso a los datos de Dataverse se rige por la pertenencia al equipo con niveles de acceso diferenciados entre el usuario de integración de SAP y el administrador de integración de SAP rol de seguridad asignaciones a los equipos.
- La configuración del equipo de grupo de Dataverse en el centro de administración de Power Platform también se puede ver en la aplicación SAP Admin como referencia.
Más información: Administrar equipos de grupo, Roles y privilegios de seguridad
Comparta el acceso a las aplicaciones y los flujos
Los miembros del grupo de seguridad solo pueden acceder a aplicaciones y flujos que se comparten con ellos. Utilice el modelo de grupos de seguridad como ejemplo para configurar grupos de seguridad para su organización.
Comparta los flujos con privilegios de solo ejecución para que los usuarios tengan acceso a los flujos integrados y los servicios de usuario de conectores SAP ERP, Dataverse y Office 365 utilicen las credenciales del usuario activador.
Advertencia
Si no cambia los privilegios de solo lectura de los flujos, los servicios del conector no podrán pasar las credenciales de usuario. Se debe limitar el uso compartido de conexiones de Dataverse y Office 365.
Pasos para compartir aplicaciones
- Vaya a las aplicaciones individuales en Power Apps.
- Seleccione la opción Compartir.
- Busque y seleccione el grupo de seguridad adecuado que contiene los miembros que necesitan acceder a esa aplicación.
- Seleccione Compartir. También puede elegir incluir o no una invitación por correo electrónico (no es obligatorio).
Pasos para compartir flujos
- Vaya a los flujos de nube individuales en Power Apps.
- Vaya a la sección Usuarios de solo ejecución y seleccione Editar.
- Invite a los usuarios del sistema y a los equipos buscando y seleccionando los grupos de seguridad de Microsoft Entra ID que necesita acceso al flujo de acuerdo con las aplicaciones de lienzo que ese equipo necesita usar.
- Para las tres conexiones utilizadas, seleccione la opción Provisto por el usuario final de solo ejecución.
- Seleccione Guardar.
Resumen de uso compartido
La tabla proporciona un resumen de asignación de los componentes que deben asignarse o compartirse según los equipos del grupo de seguridad de Microsoft Entra ID de ejemplo.
| Componente | Type | Equipo de administración de proveedores | Equipo de solicitudes de compra | Equipo de pedidos de compra | Equipo de recibo de productos de proveedores | Equipo de factura del proveedor | Equipo de pagos a proveedores | Equipo de administración |
|---|---|---|---|---|---|---|---|---|
| Administración de proveedores SAP | Aplicación | X | ||||||
| Solicitudes de compra SAP | Aplicación | X | ||||||
| Pedidos de compra de SAP | Aplicación | X | ||||||
| Recibos de productos SAP | Aplicación | X | ||||||
| Factura del proveedor SAP | Aplicación | X | ||||||
| Pagos a proveedores SAP | Aplicación | X | ||||||
| Administrador de plantilla de SAP | Aplicación | X | ||||||
| ApprovePurchaseOrder | flujo | X | ||||||
| ApproveVendorInvoice | flujo | X | ||||||
| ConvertRequisitionToPurchaseOrder | flujo | X | ||||||
| CreateGoodsReceipt | flujo | X | ||||||
| CreatePurchaseOrder | flujo | X | ||||||
| CreateRequisition | flujo | X | ||||||
| CreateVendor | flujo | X | ||||||
| CreateVendorInvoice | flujo | X | ||||||
| ReadGLAccount | flujo | X | X | X | ||||
| ReadGLAccountList | flujo | X | X | X | ||||
| ReadGoodsReceipt | flujo | X | X | X | ||||
| ReadGoodsReceiptList | flujo | X | X | X | ||||
| ReadMaterial | flujo | X | X | X | X | X | X | |
| ReadMaterialList | flujo | X | X | X | X | X | X | |
| ReadPurchaseOrder | flujo | X | X | X | X | |||
| ReadPurchaseOrderList | flujo | X | X | X | X | |||
| ReadRequisition | flujo | X | X | X | ||||
| ReadRequisitionList | flujo | X | X | X | ||||
| ReadVendor | flujo | X | X | X | X | X | X | |
| ReadVendorInvoice | flujo | X | X | X | X | |||
| ReadVendorInvoiceList | flujo | X | X | X | X | |||
| ReadVendorList | flujo | X | X | X | X | X | X | |
| ReadVendorPayment | flujo | X | X | X | ||||
| ReadVendorPaymentList | flujo | X | X | X | ||||
| ReverseVendorInvoice | flujo | X | ||||||
| UpdatePurchaseOrder | flujo | X | ||||||
| UpdateVendor | flujo | X | ||||||
| UpdateVendorInvoice | flujo | X |
Más información:
- Compartir una aplicación de lienzo
- Compartir una aplicación basada en modelos
- Compartir y flujo de nube