Esercitazione: configurare Microsoft Entra ID e SAP Cloud Identity Services per il provisioning utenti automatico in SAP HANA
Questa esercitazione descrive i passaggi da eseguire sia in SAP Cloud Identity Services che in Microsoft Entra ID per configurare il provisioning automatico degli utenti. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in SAP HANA usando il servizio di provisioning di Microsoft Entra e SAP Cloud Identity Services. Per informazioni dettagliate sulle caratteristiche e sul funzionamento del provisioning di Microsoft Entra e per le domande frequenti, consultare la sezione Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.
Capacità supportate
- Creare utenti in SAP HANA per abilitare l'accesso Single Sign-On a SAP HANA
- Rimuovere utenti da SAP HANA quando non richiedono più l'accesso
- Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e SAP HANA
Prerequisiti
Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga dei prerequisiti seguenti:
- Un tenant di Microsoft Entra
- Uno dei seguenti ruoli: Amministratore dell'applicazione, Amministratore dell'applicazione sul cloud o Proprietario dell'applicazione.
- Database SAP HANA o SAP HANA Cloud
- Tenant di SAP Cloud Identity Services
- Un account utente nella console di amministrazione SAP Identity Provisioning con autorizzazioni di amministratore. Assicurarsi di avere accesso ai sistemi proxy nella console di amministrazione Identity Provisioning. Se il riquadro Proxy Systems (Sistemi proxy) non viene visualizzato, creare un evento imprevisto per il componente BC-IAM-IPS per richiedere l'accesso a tale riquadro.
Passaggio 1: pianificare la distribuzione del provisioning
Microsoft Entra include connettori per SAP ECC, SAP Cloud Identity Services e SAP SuccessFactors. Il provisioning in SAP HANA o in altre applicazioni richiede che gli utenti siano prima presenti in Microsoft Entra ID. Dopo aver creato gli utenti in Microsoft Entra ID, è possibile effettuare il provisioning di tali utenti da Microsoft Entra ID a SAP Cloud Identity Services. SAP Cloud Identity Services effettua quindi il provisioning degli utenti provenienti da Microsoft Entra ID che si trovano in SAP Cloud Identity Directory nelle applicazioni SAP downstream, tra cui SAP HANA Cloud e "database di SAP HANA" tramite Cloud Connector SAP e altri.
Passaggio 2: assicurarsi di avere gli utenti corretti in Microsoft Entra ID
È possibile usare le risorse umane in ingresso da origini come SuccessFactors per mantenere aggiornato l'elenco degli utenti in Microsoft Entra ID man mano che i dipendenti si uniscono, si spostano e se ne vanno. Se si prevede di usare gruppi o assegnazioni di ruolo dell'applicazione per definire l'ambito di chi può accedere a SAP HANA o quali ruoli avranno e il tenant dispone di una licenza per la governance degli ID di Microsoft Entra, è anche possibile automatizzare le modifiche alle assegnazioni di ruolo dell'applicazione in Microsoft Entra ID per le applicazioni che rappresentano SAP Cloud Identity Services o SAP HANA. Per altre informazioni sull'esecuzione della separazione dei compiti e di altri controlli di conformità prima del provisioning, vedere Eseguire la migrazione degli scenari di gestione del ciclo di vita dell'accesso.
Per indicazioni dettagliate sul ciclo di vita delle identità con applicazioni SAP come destinazione, vedere Pianificare la distribuzione di Microsoft Entra per il provisioning utenti con applicazioni di origine e di destinazione SAP.
Passaggio 3: configurare il provisioning da Microsoft Entra ID a SAP Cloud Identity Services
Per prepararsi al provisioning degli utenti in SAP HANA o in altre applicazioni SAP integrate con SAP Cloud Identity Services, assicurarsi che SAP Cloud Identity Services disponga dei mapping dello schema necessari per tali applicazioni. Quindi, configurare il provisioning utenti da Microsoft Entra ID a SAP Cloud Identity Services. SAP Cloud Identity Services eseguirà successivamente il provisioning degli utenti nelle applicazioni SAP downstream in base alle esigenze.
Esistono due modi per effettuare il provisioning degli utenti da Microsoft Entra in SAP Cloud Identity Services.
Se si usano gruppi di Microsoft Entra ID, ad esempio per assegnare utenti ai ruoli in SAP HANA cloud, usare il provisioning di SAP Cloud Identity Services. Prima di tutto, creare gruppi di Microsoft Entra per i ruoli aziendali SAP usati in SAP Analytics Cloud. Quindi, nel provisioning di SAP Cloud Identity Services configurare Microsoft Entra ID come origine per portare utenti e gruppi da Microsoft Entra ID a SAP Cloud Identity Services ed eseguire il mapping dei gruppi creati ai ruoli aziendali SAP. Per altre informazioni, vedere la documentazione SAP su come effettuare il provisioning degli utenti da Microsoft Azure AD a SAP Cloud Identity Services - Identity Authentication.
In alternativa, se non è necessario usare i gruppi in Microsoft Entra ID, è possibile usare il servizio di provisioning di Microsoft Entra. In questo scenario creare un'applicazione che rappresenti SAP HANA e assegnare gli utenti che devono accedere a SAP HANA a tale applicazione. Quindi, configurare il provisioning automatico degli utenti da Microsoft Entra ID a SAP Cloud Identity Services. Attendere il provisioning di tali utenti in SAP Cloud Identity Services e verificare che dispongano degli attributi necessari per la destinazione SAP HANA.
Nota
Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Controllare che gli utenti abbiano l'accesso corretto nelle destinazioni downstream SAP e che, al momento dell'accesso, abbiano i ruoli appropriati.
Passaggio 4: configurare il provisioning da SAP Cloud Identity Services a SAP HANA
In questo passaggio, usare SAP Cloud Identity Services Identity Provisioning per configurare SAP HANA come sistema di destinazione, in cui è possibile effettuare il provisioning di utenti e membri del gruppo. Per SAP HANA Cloud o SAP HANA Database, vedere la documentazione SAP sul provisioning nel database SAP HANA Cloud o SAP HANA Database.
Passaggio 5: configurare Single Sign-On
Dopo aver configurato il provisioning per gli utenti nelle applicazioni SAP, è necessario abilitare Single Sign-On per tali utenti. Microsoft Entra ID può fungere da provider di identità e autorità di autenticazione per le applicazioni SAP. Se non è già stato fatto, configurare l'integrazione dell'accesso Single Sign-On (SSO) di Microsoft Entra con SAP Cloud Identity Services.
Per altre informazioni su come configurare l'accesso Single Sign-On per SAP SaaS e le app moderne, vedere abilitare SSO.