次の方法で共有

チュートリアル: SAP Concur への自動ユーザー プロビジョニングを行うために Microsoft Entra ID および SAP Cloud Identity Services を構成する

  • [アーティクル]

このチュートリアルでは、自動ユーザー プロビジョニングを構成するために SAP Cloud Identity Services、Microsoft Entra ID で行う必要がある手順について説明します。 構成すると、Microsoft Entra ID で、Microsoft Entra プロビジョニング サービスと SAP Cloud Identity Services を使用して、SAP Concur に対するユーザーのプロビジョニングとプロビジョニング解除が自動的に行われます。 Microsoft Entra プロビジョニングが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

サポートされている機能

  • SAP Concur でユーザーを作成して SAP Concur へのシングル サインオンを有効にする
  • アクセスが不要になった場合に SAP Concur のユーザーを削除する
  • Microsoft Entra ID と SAP Concur の間でユーザー属性の同期を維持する

前提条件

このチュートリアルで説明するシナリオでは、次の前提条件目があることを想定しています:

手順 1:プロビジョニングのデプロイを計画する

Microsoft Entra には、SAP ECC、SAP Cloud Identity Services、SAP SuccessFactors へのコネクタがあります。 SAP Concur またはその他のアプリケーションへのプロビジョニングでは、ユーザーはまず Microsoft Entra ID に存在する必要があります。 Microsoft Entra ID にユーザーを作成したら、Microsoft Entra ID から SAP Cloud Identity Services にそれらのユーザーをプロビジョニングします。 その後、SAP Cloud Identity Services は、SAP Cloud Identity Directory 内の Microsoft Entra ID から送信されたユーザーを、SAP Concur などのダウンストリーム SAP アプリケーションにプロビジョニングします。

Microsoft Entra ID からの ID のプロビジョニングに関連する Microsoft および SAP のテクノロジを示す図。

手順 2: Microsoft Entra ID に適切なユーザーがあることを確認する

その後、SuccessFactors からの HR 受信を使用して、従業員の参加、移動、離脱時に Microsoft Entra ID のユーザーの一覧を最新の状態に保つことができます。 グループまたはアプリケーション ロールの割り当てを使用して、SAP Concur にアクセスできるユーザーまたは SAP Concur にアクセスできるロールのスコープを設定する予定で、テナントに Microsoft Entra ID ガバナンスのライセンスがある場合は SAP Cloud Identity Services または SAP Concur を表すアプリケーションの Microsoft Entra ID で、アプリケーション ロールの割り当てに対する変更を自動化することもできます。 プロビジョニング前に職務の分離やその他のコンプライアンス チェックを実行する方法の詳細については、「アクセス ライフサイクル管理シナリオの移行」を参照してください。

SAP アプリケーションをターゲットとする ID ライフサイクルの詳細なガイダンスについては、「SAP ソース アプリケーションとターゲット アプリケーションを使用したユーザー ID プロビジョニングのために Microsoft Entra のデプロイを計画する」を参照してください。

手順3: Microsoft Entra ID から SAP Cloud Identity Services にプロビジョニングするように構成する

SAP Cloud Identity Services と統合された SAP Concur や他のアプリケーションへのユーザーのプロビジョニングを準備するには、SAP Cloud Identity Services にそれらのアプリケーションに必要なスキーマ マッピングがあることを確認します。 Microsoft Entra ID から SAP Cloud Identity Services にユーザーをプロビジョニングするように構成する SAP Cloud Identity Services はその後、必要に応じてダウンストリーム SAP アプリケーションにユーザーをプロビジョニングします。

Microsoft Entra から SAP Cloud Identity Services にユーザーをプロビジョニングするには、2 つの方法があります。

小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 ユーザーが SAP ダウンストリーム ターゲットで適切なアクセス権を持っていること、サインイン時に適切なロールを持っていることを確認します。

手順 4: SAP Cloud Identity Services から SAP Concur へのプロビジョニングを構成する

この手順では、SAP Cloud Identity Services Identity Provisioning を使用して SAP Concur をターゲット システムとして構成します。このシステムでは、ユーザーとグループ メンバーをプロビジョニングできます。 SAP Concur については、SAP Concur へのプロビジョニングに関する SAP ドキュメントを参照してください。

手順 5: シングル サインオンの構成

SAP アプリケーションのユーザーのプロビジョニングを設定すると、それらのアプリケーションとのシングル サインオンを有効にする必要があります。 Microsoft Entra ID は、SAP アプリケーションの ID プロバイダーおよび認証機関として機能することができます。 まだ行っていない場合は、 Microsoft Entra シングル サインオン (SSO) と SAP Cloud Identity Services の統合を構成します。

SAP SaaS や最新のアプリにシングル サインオンを構成する方法の詳細は、「SSO の有効化」を参照してください。

次のステップ