Käyttöoikeuksien hallintaluetteloiden määrittäminen Microsoft Entra ID:ssä
Käyttäjät tarvitsevat vain niiden sovellusten ja työnkulkujen käyttöoikeuden, jotka ovat linjassa heidän osastotoimintoihinsa. Microsoft Entra ID:n liiketoimintaprosesseihin perustuvia käyttöoikeusryhmiä voidaan luoda ja ryhmän jäsenet voidaan määrittää sopiviin ryhmiin. Käyttöoikeusryhmät valvovat sovellusten käyttäjien käyttökokemusta ja sovellusten eri osien näkyvyyttä.
Luo Microsoft Entra ID -käyttöoikeusryhmät
Seuraavassa käyttöönottomallissa on kuvattu, miten käyttäjät voidaan delegoida eri Microsoft Entra ID -käyttöoikeusryhmiin osastotoiminnon perusteella.
Järjestelmänvalvojan käyttöoikeusryhmä
Määritä vähintään yksi järjestelmänvalvoja SAP-hallinnan järjestelmänvalvojaryhmään.
Toiminnalliset käyttöoikeusryhmät
Käyttöoikeusryhmät voidaan kohdistaa tiettyihin liiketoimintaprosesseihin. Delegoi kaikki hankinnasta maksuun osallistuvat käyttäjät vähintään yhdelle kuudesta eri käyttäjäryhmästä:
- Toimittajan hallinta
- Ostoehdotukset
- Ostotilaukset
- Toimittajan tavaroiden vastaanotot
- Toimittajan lasku
- Toimittajan maksut
Tätä mallia käytetään tämän asiakirjan loppuosassa havainnollistamaan tarkoitusta, mutta määritys voi poiketa siitä tarpeidesi mukaan.
Lisätietoja:
- Lisätietoja ryhmistä ja käyttöoikeuksista on artikkelissa Microsoft Entra
- Joukkueet (mukaan lukien ryhmäjoukkueet)
Dataverse-ryhmän tiimien luominen
Järjestelmänvalvojat hallinnoivat valikkokohteita, jotka näkyvät käyttäjille pohjaan perustuvissa sovelluksissa suoraan SAP:n järjestelmänvalvojasovelluksessa. Dataverse Ryhmäryhmän jäsenyys hallitsee valikkokohteiden käyttöoikeuksia ja näkyvyyttä. Microsoft Entra ID -käyttöoikeusryhmät hallinnoivat Dataverse-ryhmän tiimin jäsenyyttä ja varmistavat jommankumman kahdesta seuraavasta vaihtoehdosta:
- Käyttäjät voivat nähdä ja käyttää soveltuvia valikkokohteita pohjaan perustuvissa sovelluksissa, kun heidät lisätään yhteen tai useampaan käyttöoikeusryhmään.
- Käyttäjät menettävät näkyvyyden ja käyttöoikeudet, kun heidät poistetaan käyttöoikeusryhmästä.
Lisäksi valikon näkyvyys ohjaa pohjaan perustuvien sovellusten tiettyjen kenttien porautumiskäyttäytymistä. Jos käyttäjä ei esimerkiksi kuulu ostotilausten tiimiin, hän voi tarkastella vain tilauspyyntöön liittyvää ostotilauksen numeroa SAP-hankintahallintasovelluksessa. He eivät voi porautua nähdäkseen kaikki ostotilauksen tiedot.
Lisätietoja: Microsoft Entra -ryhmän tiimien käyttäminen
Tiimien hallintavaiheet
Noudata seuraavia ohjeita luodaksesi tiimejä ja määrittääksesi suojausasetukset:
- Kirjaudu Power Platform -hallintakeskukseen.
- Siirry kohtaan Ympäristöt ja valitse ratkaisut sisältävä ympäristö.
- Siirry kohtaan Asetukset>Käyttäjät + Käyttöoikeudet>Tiimit.
- Valitse + Luo tiimi.
- Täytä vaaditut kentät loppuun. Valitse tiimin tyypiksi Microsoft Entra ID -käyttöoikeusryhmä. Sinun täytyy myös täyttää ryhmän nimi ja jäsenyystyyppi.
- Hae Microsoft Entra ID:ssä aiemmin luotua esimerkkien käyttöoikeusryhmää ja liitä se juuri luotuun ryhmän tiimiin.
- Määritä käyttöoikeusroolit tiimeille, jotka vastaavat tiimin toimintoja.
Käyttöoikeusroolin opastus
Seuraavassa taulukossa on ohjeita käyttöoikeusroolien määrittämiseen:
| Dataverse-tiimin nimi | SAP-mallikäyttäjä | SAP-mallin järjestelmänvalvoja | Peruskäyttäjä |
|---|---|---|---|
| Toimittajan hallinta | X | X | |
| Ostoehdotukset | X | X | |
| Ostotilaukset | X | X | |
| Toimittajan tavaroiden vastaanotto | X | X | |
| Toimittajan lasku | X | X | |
| Toimittajan maksut | X | X | |
| Järjestelmänvalvoja | X | X |
Muistiinpano
- Käyttäjät lisätään tiimin tai poistetaan sieltä linkitettyyn Microsoft Entra ID -käyttöoikeusryhmään perustuvan jäsenyyden perusteella.
- Pääsy Dataverse-tietoihin määräytyy tiimin jäsenyyden perusteella, ja tiimeille on määritetty SAP-integraatiokäyttäjän ja SAP-integraation ylläpitäjän käyttöoikeusroolien käyttöoikeustasot.
- Power Platform -hallintakeskuksen Dataverse-ryhmän tiimin määritykset ovat nähtävissä myös SAP-järjestelmänhallintasovelluksessa.
Lisätietoja: Ryhmän tiimien hallinta, Käyttöoikeusroolit ja oikeudet
Sovellusten ja työnkulkujen käytön jakaminen
Käyttöoikeusryhmän jäsenet voivat käyttää vain heille jaettuja sovelluksia ja työnkulkuja. Käytä käyttöoikeusryhmien mallia esimerkkinä auttaessasi organisaation käyttöoikeusryhmien määrittämisessä.
Jaa työnkulut, joilla on vain suoritusoikeudet, jotta käyttäjät pääsevät käyttämään upotettuja työnkulkuja ja SAP ERP-, Dataverse- ja Office 365 -yhdistimen käyttäjäpalvelut käyttävät käynnistäneen käyttäjän tunnistetietoja.
Varoitus
Jos työnkulkujen Vain luku -oikeutta ei muuteta, yhdistinpalvelut eivät voi antaa tunnistetietoja. Dataverse- ja Office 365 -yhteyksien jakamisen pitäisi olla rajoitettua.
Sovellusten jakamisen vaiheet
- Siirry yksittäisiin sovelluksiin Power Appsissa.
- Valitse Jaa-vaihtoehto.
- Hae ja valitse haluamasi käyttöoikeusryhmä, joka sisältää sovelluksen käyttöoikeuden tarvitsevat jäsenet.
- Valitse Jaa. Voit myös määrittää, sisällytetäänkö sähköpostikutsu (ei pakollinen).
Työnkulkujen jakamisen vaiheet
- Siirry yksittäisiin pilvityönkulkuihin Power Appsissa.
- Siirry Vain suorituskäyttäjät -osaan ja valitse Muokkaa.
- Kutsu järjestelmän käyttäjiä ja tiimejä hakemalla ja valitsemalla Microsoft Entra ID -käyttöoikeusryhmät, jotka tarvitsevat käyttöoikeuden työnkulkuun niiden pohjaan perustuvien sovellusten perusteella, joita tiimin on käytettävä.
- Valitse kaikille kolmelle käytetylle yhteydelle Tarjoaja on vain loppukäyttäjä -vaihtoehto.
- Valitse Tallenna.
Yhteenvedon jakaminen
Taulukossa on yhdistämisyhteenveto osista, jotka on delegoitu tai jaettava Microsoft Entra ID -käyttöoikeusryhmän esimerkkiryhmien mukaan.
| Osa | Type | Toimittajanhallintaryhmä | Ostoehdotusryhmä | Ostotilausryhmä | Toimittajan tavaroiden vastaanotto -ryhmä | Toimittajan lasku -ryhmä | Toimittajan maksut -ryhmä | Järjestelmänvalvojaryhmä |
|---|---|---|---|---|---|---|---|---|
| SAP:n toimittajien hallinta | -sovellus | X | ||||||
| SAP-ostoehdotukset | -sovellus | X | ||||||
| SAP-ostotilaukset | -sovellus | X | ||||||
| SAP – tuotteiden vastaanotot | -sovellus | X | ||||||
| SAP – toimittajan lasku | -sovellus | X | ||||||
| SAP – toimittajan maksut | -sovellus | X | ||||||
| SAP-mallin järjestelmänvalvoja | -sovellus | X | ||||||
| ApprovePurchaseOrder | työnkulku | X | ||||||
| ApproveVendorInvoice | työnkulku | X | ||||||
| ConvertRequisitionToPurchaseOrder | työnkulku | X | ||||||
| CreateGoodsReceipt | työnkulku | X | ||||||
| CreatePurchaseOrder | työnkulku | X | ||||||
| CreateRequisition | työnkulku | X | ||||||
| CreateVendor | työnkulku | X | ||||||
| CreateVendorInvoice | työnkulku | X | ||||||
| ReadGLAccount | työnkulku | X | X | X | ||||
| ReadGLAccountList | työnkulku | X | X | X | ||||
| ReadGoodsReceipt | työnkulku | X | X | X | ||||
| ReadGoodsReceiptList | työnkulku | X | X | X | ||||
| ReadMaterial | työnkulku | X | X | X | X | X | X | |
| ReadMaterialList | työnkulku | X | X | X | X | X | X | |
| ReadPurchaseOrder | työnkulku | X | X | X | X | |||
| ReadPurchaseOrderList | työnkulku | X | X | X | X | |||
| ReadRequisition | työnkulku | X | X | X | ||||
| ReadRequisitionList | työnkulku | X | X | X | ||||
| ReadVendor | työnkulku | X | X | X | X | X | X | |
| ReadVendorInvoice | työnkulku | X | X | X | X | |||
| ReadVendorInvoiceList | työnkulku | X | X | X | X | |||
| ReadVendorList | työnkulku | X | X | X | X | X | X | |
| ReadVendorPayment | työnkulku | X | X | X | ||||
| ReadVendorPaymentList | työnkulku | X | X | X | ||||
| ReverseVendorInvoice | työnkulku | X | ||||||
| UpdatePurchaseOrder | työnkulku | X | ||||||
| UpdateVendor | työnkulku | X | ||||||
| UpdateVendorInvoice | työnkulku | X |
Lisätietoja: