Compartir vía


Administración del acceso a las aplicaciones de SAP

Es probable que el software y los servicios de SAP ejecuten funciones críticas para su organización, como RR. HH. y ERP. Al mismo tiempo, su organización se basa en Microsoft para varios servicios de Azure, Microsoft 365 y Microsoft Entra ID Governance para administrar el acceso a las aplicaciones. En este artículo, se describe cómo puede usar Identity Governance para administrar identidades en las aplicaciones de SAP.

Diagrama de integraciones de SAP.

Migración desde SAP Identity Management

Si ha estado usando SAP Identity Management (IDM), puede migrar escenarios de administración de identidades de SAP IDM a Microsoft Entra. Para obtener más información, consulte Migrar escenarios de administración de identidades de SAP IDM a Microsoft Entra.

Incorporación de identidades de RR. HH. a Microsoft Entra ID

En el tutorial Planear la implementación de Microsoft Entra para el aprovisionamiento de usuarios con aplicaciones de origen y destino de SAP se muestra cómo conectar Microsoft Entra con orígenes autoritativos para la lista de trabajadores de una organización, como SAP SuccessFactors. También muestra cómo usar Microsoft Entra para configurar identidades para esos trabajadores. A continuación, aprenderá a usar Microsoft Entra para proporcionar a los trabajadores acceso para iniciar sesión en una o varias aplicaciones de SAP, como SAP ECC o SAP S/4HANA.

SuccessFactors

Los clientes que usan SAP SuccessFactors pueden incorporar fácilmente identidades de SuccessFactors a Microsoft Entra ID o de SuccessFactors a Active Directory local mediante conectores nativos. Los conectores admiten los siguientes escenarios:

  • Contratación de nuevos empleados: cuando se agrega un nuevo empleado a SuccessFactors, se crea automáticamente una cuenta de usuario en Microsoft Entra ID y, de manera opcional, en Microsoft 365 y otras aplicaciones de software como servicio (SaaS) compatibles con Microsoft Entra ID. Este proceso incluye la escritura diferida de la dirección de correo electrónico en SuccessFactors.
  • Actualizaciones de atributos y perfiles de empleados: si se actualiza un registro de empleado en SuccessFactors (por ejemplo, el nombre, el cargo o el jefe), su cuenta de usuario se actualiza automáticamente en Microsoft Entra ID y, de manera opcional, en Microsoft 365 y en otras aplicaciones SaaS compatibles con Microsoft Entra ID.
  • Despidos de empleados: cuando se prescinde de un empleado en SuccessFactors, su cuenta de usuario se deshabilita automáticamente en Microsoft Entra ID y, de manera opcional, en Microsoft 365 y en otras aplicaciones SaaS compatibles con Microsoft Entra ID.
  • Recontrataciones de empleados: cuando se vuelve a contratar a un empleado en SuccessFactors, se puede reactivar o volver a aprovisionar automáticamente su cuenta antigua (en función de las preferencias) en Microsoft Entra y, de manera opcional, en Microsoft 365 y en otras aplicaciones SaaS compatibles con Microsoft Entra ID.

También puede reescribir de Microsoft Entra ID a SAP SuccessFactors.

SAP HCM

Los clientes que todavía usan SAP Human Capital Management (HCM) también pueden incorporar identidades a Microsoft Entra ID. Con SAP Integration Suite, puede sincronizar listas de trabajos entre SAP HCM y SAP SuccessFactors. Desde allí, puedes incorporar identidades directamente a Microsoft Entra ID o aprovisionarlas en Active Directory Domain Services, mediante las integraciones de aprovisionamiento nativas mencionadas anteriormente.

Diagrama de integraciones de RR. HH. de SAP.

Proporcionar acceso a las aplicaciones SAP

Además de las integraciones de aprovisionamiento nativas que permiten administrar el acceso a las aplicaciones de SAP, Microsoft Entra ID admite un amplio conjunto de integraciones con dichas aplicaciones.

Habilitación de SSO

Al mismo tiempo que configura el aprovisionamiento para las aplicaciones SAP, puede habilitar el inicio de sesión único para ellas. Microsoft Entra ID puede actuar como proveedor de identidades y servir como la entidad de autenticación para las aplicaciones de SAP. Microsoft Entra ID se puede integrar con SAP NetWeaver mediante SAML o OAuth. En el caso de las aplicaciones SaaS modernas, Aprenda a configurar Microsoft Entra ID como proveedor de identidades corporativas para las aplicaciones de SAP.

Para obtener más información sobre cómo configurar el inicio de sesión único desde Microsoft Entra ID, consulte la siguiente documentación y tutoriales:

Vea también los recursos siguientes de SAP:

Aprovisionamiento de identidades en aplicaciones SAP modernas

Una vez que los usuarios estén en Microsoft Entra ID, puede aprovisionar cuentas en las distintas aplicaciones SaaS y SAP locales a las que necesitan acceso. Tiene dos formas de lograrlo:

Aprovisionamiento de identidades en sistemas SAP locales

Una vez que tenga usuarios en Microsoft Entra ID, puede aprovisionar esos usuarios de Microsoft Entra ID a SAP Cloud Identity Services o SAP ECC, para permitir que inicien sesión en las aplicaciones SAP. Si tiene SAP S/4HANA On-premise, aprovisione usuarios de Microsoft Entra ID en SAP Directorio de Identidad en la nube. A continuación, SAP Cloud Identity Services aprovisiona los usuarios que se originan en Microsoft Entra ID que se encuentran en SAP Cloud Identity Directory en las aplicaciones SAP de bajada a SAP S/4HANA Local a través del conector en la nube de SAP.

Los clientes que aún tienen que realizar la transición de aplicaciones como SAP R/3 y SAP ERP Central Component (SAP ECC) a SAP S/4HANA todavía pueden confiar en el servicio de aprovisionamiento de Microsoft Entra para aprovisionar cuentas de usuario. En SAP R/3 y SAP ECC, usted expone las interfaces de programación de aplicaciones empresariales (BAPI, por sus siglas en inglés) necesarias para crear, actualizar y eliminar usuarios. En Microsoft Entra ID tiene dos opciones:

También puede usar Microsoft Entra ID para aprovisionar trabajadores en Active Directory, así como otros sistemas locales que SAP Cloud Identity Services no admite para el aprovisionamiento.

Desencadenar flujos de trabajo personalizados

Cuando se contrata a un nuevo empleado en su organización, es posible que tenga que desencadenar un flujo de trabajo dentro de los sistemas locales de SAP para tareas adicionales más allá del aprovisionamiento de usuarios. Mediante el uso de la extensibilidad de flujos de trabajo de ciclo de vida de Microsoft Entra Logic Apps, o la extensibilidad de administración de derechos de Microsoft Entra Logic Apps con el conector SAP en Azure Logic Apps, puede desencadenar acciones personalizadas en SAP al contratar a un nuevo empleado.

Compruebe la separación de las tareas

Con las comprobaciones de separación de tareas de la administración de derechos de Microsoft Entra, los clientes ahora pueden asegurarse de que los usuarios no adquieren derechos de acceso excesivos:

  • Los administradores y los administradores de acceso pueden impedir que los usuarios soliciten paquetes de acceso adicionales si ya están asignados a otros paquetes de acceso o son miembros de otros grupos que no son compatibles con el acceso solicitado.
  • Las empresas con requisitos regulatorias críticos para las aplicaciones de SAP tienen una vista única y consistente de los controles de acceso. Después, pueden aplicar comprobaciones de separación de tareas en sus aplicaciones financieras y otras aplicaciones críticas para la empresa, junto con las aplicaciones integradas en Microsoft Entra.
  • Con las integraciones de Microsoft Entra para Gobierno de acceso SAP, para Pathlock y para otros productos asociados, los clientes pueden aprovechar los riesgos adicionales y las comprobaciones de separación de tareas específicas que se aplican en esos productos, con paquetes de acceso en gobierno de Microsoft Entra ID.

Instrucciones adicionales

Para obtener más información sobre las integraciones de SAP con Microsoft Entra ID, consulte la siguiente documentación:

Pasos siguientes