次の方法で共有


SAP アプリケーションへのアクセスを管理する

SAP ソフトウェアおよびサービスは、HR や ERP など、組織にとって重要な機能を実行することが見込まれます。 同時に、組織はさまざまな Azure サービス、Microsoft 365、Microsoft Entra ID ガバナンスでアプリケーションへのアクセスを管理することについて、Microsoft に依存しています。 この記事では、Identity Governance を使用して SAP アプリケーション全体の ID を管理する方法について説明します。

SAP 統合の図。

SAP Identity Management からの移行

これまで SAP ID 管理 (IDM) を使ってきた場合は、ID 管理シナリオを SAP IDM から Microsoft Entra に移行できます。 詳しくは、「ID 管理シナリオの SAP IDM から Microsoft Entra への移行」をご覧ください。

HR から ID を Microsoft Entra ID に取り込む

チュートリアル「SAP ソース アプリケーションとターゲット アプリケーションを使用したユーザー プロビジョニングのために Microsoft Entra のデプロイを計画する」では、SAP SuccessFactors など、組織内の worker の一覧に対する権限を持つソースと Microsoft Entra を接続する方法について説明しています。 また、Microsoft Entra を使用してこれらの worker の ID を設定する方法についても説明しています。 その後、Microsoft Entra を使用して、SAP ECC や SAP S/4HANA などの 1 つ以上の SAP アプリケーションにサインインするためのアクセス権を worker に提供する方法について説明しています。

SuccessFactors

SAP SuccessFactors を使用しているお客様は、ネイティブ コネクタを使用して、SuccessFactors から Microsoft Entra ID に、または SuccessFactors からオンプレミスの Active Directory に ID を簡単に取り込むことができます。 このコネクタは次のシナリオをサポートします。

  • 新しい従業員の雇用: 新しい従業員が SuccessFactors に追加されると、ユーザー アカウントは Microsoft Entra ID (および必要に応じて Microsoft 365 および Microsoft Entra ID がサポートするその他サービスとしてのソフトウェア (SaaS) アプリケーション) で自動的に作成されます。 このプロセスには、SuccessFactors へのメール アドレスの書き戻しが含まれます。
  • 従業員の属性とプロファイルの更新: SuccessFactors で従業員レコード (名前、役職、マネージャーなど) が更新されると、Microsoft Entra ID (および必要に応じて Microsoft 365 や Microsoft Entra ID でサポートされているその他 SaaS アプリケーション) で、その従業員のユーザー アカウントが自動的に更新されます。
  • 従業員の退職: SuccessFactors で従業員が退職状態になると、Microsoft Entra ID (および必要に応じて Microsoft 365 や Microsoft Entra ID によってサポートされているその他 SaaS アプリケーション) で、その従業員のユーザー アカウントが自動的に無効になります。
  • 従業員の再雇用: SuccessFactors で従業員が再雇用されると、Microsoft Entra ID および必要に応じて Microsoft 365 や Microsoft Entra ID によってサポートされているその他 SaaS アプリケーションに対して、その従業員の以前のアカウントを (設定に応じて) 自動的に再アクティブ化または再プロビジョニングできます。

Microsoft Entra ID から SAP SuccessFactors に書き戻すこともできます。

SAP HCM

SAP Human Capital Management (HCM) を引き続き使用している場合でも、Microsoft Entra ID に ID を取り込むことができます。 SAP Integration Suite を使用すると、SAP HCM と SAP SuccessFactors の間で雇用者のリストを同期できます。 そこから、前述のネイティブ プロビジョニング統合を使用して、ID を Microsoft Entra ID に直接取り込んだり、Active Directory Domain Services にプロビジョニングしたりできます。

SAP HR 統合の図。

SAP アプリケーションへのアクセスを提供する

SAP アプリケーションへのアクセスを管理できるようにするネイティブ プロビジョニング統合に加えて、Microsoft Entra ID ではそれらのアプリケーションとの充実した統合セットがサポートされています。

SSO を有効にする

SAP アプリケーションのプロビジョニングを設定すると同時に、それらのアプリケーションとの SSO を有効にできます。 Microsoft Entra ID は、SAP アプリケーションの ID プロバイダーおよび認証機関として機能することができます。 Microsoft Entra ID は、SAML または OAuth を使用して SAP NetWeaver と統合できます。 SAP SaaS と最新のアプリについては、SAP Cloud Identity Services を介して SAP アプリケーションの企業 ID プロバイダーとして Microsoft Entra ID を構成する方法を確認してください

Microsoft Entra ID からシングル サインオンを構成する方法の詳細については、次のドキュメントとチュートリアルを参照してください。

次の SAP リソースも参照してください。

最新の SAP アプリケーションに ID をプロビジョニングする

ユーザーが Microsoft Entra ID に追加されたら、アクセスする必要があるさまざまな SaaS およびオンプレミスの SAP アプリケーションにアカウントをプロビジョニングできます。 これを実現するには、次の 2 つの方法があります。

  • Microsoft Entra ID の SAP Cloud Identity Services エンタープライズ アプリケーションを使用して、SAP Cloud Identity Services に ID をプロビジョニングします。 すべての ID を SAP Cloud Identity Services に取り込んだ後は、SAP Cloud Identity Services - Identity Provisioning を使用して、必要に応じてそこからアプリケーションにアカウントをプロビジョニングできます。
  • SAP Cloud Identity Services - Identity Provisioning 統合を使用して、Microsoft Entra ID から SAP Cloud Identity Services 統合アプリケーションに ID を直接エクスポートします。 SAP Cloud Identity Services - Identity Provisioning を使用してユーザーをこれらのアプリケーションに取り込む場合、これらのアプリケーションのすべてのプロビジョニング構成は SAP で直接管理されます。 Microsoft Entra ID のエンタープライズ アプリケーションを引き続き使用して SSO を管理し、Microsoft Entra ID をコーポレート ID プロバイダーとして使用することができます。

オンプレミスの SAP システムに ID をプロビジョニングする

Microsoft Entra ID にユーザーを作成したら、Microsoft Entra ID から SAP Cloud Identity Services または SAP ECC にそれらのユーザーをプロビジョニングして、ユーザーが SAP アプリケーションにサインインできるようにします。 SAP S/4HANA On-premise を持っている場合なら、Microsoft Entra ID から SAP Cloud Identity Directory にユーザーをプロビジョニングします。 その後、SAP Cloud Identity Services は、SAP Cloud Identity Directory 内の Microsoft Entra ID から生成されたユーザーを、SAP クラウド コネクタを介して SAP S/4HANA On-Premise のダウンストリーム SAP アプリケーションにプロビジョニングします。

SAP R/3 および SAP ERP Central Component (SAP ECC) などのアプリケーションから SAP S/4HANA にまだ移行していない場合は、引き続き Microsoft Entra プロビジョニング サービスを使用してユーザー アカウントをプロビジョニングできます。 SAP R/3 および SAP ECC 内では、ユーザーの作成、更新、削除に必要な Business Application Programming Interfaces (BAPI) を公開します。 Microsoft Entra ID 内には、次の 2 つのオプションがあります。

また、Microsoft Entra ID を使用して、Active Directory や、SAP Cloud Identity Services でプロビジョニングがサポートされていない他のオンプレミス システムに worker をプロビジョニングすることもできます。

カスタム ワークフローをトリガーする

新しい従業員が組織で採用されると、ユーザー プロビジョニング以外の追加タスクのために、SAP オンプレミス システム内でワークフローをトリガーする必要がある場合があります。 Microsoft Entra ライフサイクル ワークフロー Logic Apps の拡張性を使用するか、Microsoft Entra エンタイトルメント管理 Logic Apps の拡張性Azure Logic Apps の SAP コネクタを使用すると、新しい従業員の雇用時に SAP でカスタム アクションをトリガーできます。

職務の分離をチェックする

Microsoft Entra のエンタイトルメント管理で、職務の分離チェックを使用すると、お客様が過剰なアクセス権を取得できないようにすることができます。

  • 管理者とアクセス マネージャーは、既に他のアクセス パッケージに割り当てられているユーザー、または要求されたアクセスと互換性のない他のグループのメンバーであるユーザーが、追加のアクセス パッケージを要求できないようにします。
  • SAP アプリで重要な規制要件を扱う企業は、単一で整合性の確保されたビューをアクセス制御に導入できます。 その後、Microsoft Entra 統合アプリケーションと共に、財務アプリケーション、その他ビジネス クリティカルなアプリケーションの全体で、職務の分離チェックを適用できます。
  • SAP アクセス ガバナンスPathlock や他のパートナー製品への Microsoft Entra 統合により、お客様は Microsoft Entra ID Governance のアクセス パッケージを使用して、それらの製品で実行されている追加のリスクおよびきめ細かい職務の分離チェックを活用できます。

その他のガイダンス

Microsoft Entra ID との SAP 統合の詳細については、次のドキュメントを参照してください。

次のステップ