次の方法で共有

チュートリアル: SAP HANA への自動ユーザー プロビジョニングを行うために Microsoft Entra ID と SAP Cloud Identity Services を構成する

  • [アーティクル]

このチュートリアルでは、自動ユーザー プロビジョニングを構成するために SAP Cloud Identity Services と Microsoft Entra ID で行う必要がある手順について説明します。 構成すると、Microsoft Entra ID で、Microsoft Entra プロビジョニング サービスと SAP Cloud Identity Services を使用して、SAP HANA に対するユーザーのプロビジョニングとプロビジョニング解除が自動的に行われます。 Microsoft Entra プロビジョニングが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

サポートされている機能

  • SAP HANA でユーザーを作成し、SAP HANA へのシングル サインオンを有効にする
  • アクセスが不要になった場合に SAP HANA のユーザーを削除する
  • Microsoft Entra ID と SAP HANA の間でユーザー属性の同期を維持する

前提条件

このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。

  • Microsoft Entra テナント
  • 次のいずれかのロール: アプリケーション管理者クラウド アプリケーション管理者アプリケーション所有者
  • SAP HANA Cloud または SAP HANA Database
  • SAP Cloud Identity Services のテナント
  • 管理者アクセス許可がある SAP Identity Provisioning の管理コンソールのユーザー アカウント。 Identity Provisioning 管理コンソールのプロキシ システムにアクセスできることを確認します。 [プロキシ システム] タイルが表示されない場合は、このタイルへのアクセスを要求するコンポーネント BC-IAM-IPS のインシデントを作成します。

手順 1:プロビジョニングのデプロイを計画する

Microsoft Entra には、SAP ECC、SAP Cloud Identity Services、SAP SuccessFactors へのコネクタがあります。 SAP HANA またはその他のアプリケーションへのプロビジョニングでは、ユーザーはまず Microsoft Entra ID に存在する必要があります。 Microsoft Entra ID にユーザーを作成すると、それらのユーザーを Microsoft Entra ID から SAP Cloud Identity Services にプロビジョニングできます。 その後、SAP Cloud Identity Services は、SAP Cloud Identity Directory 内の Microsoft Entra ID から送信されたユーザーを、SAP クラウド コネクタを介した SAP HANA Cloud や「SAP HANA Database」、その他を含むダウンストリーム SAP アプリケーションにプロビジョニングします。

Microsoft Entra ID からの ID のプロビジョニングに関連する Microsoft および SAP のテクノロジを示す図。

手順 2: Microsoft Entra ID に適切なユーザーがあることを確かめる

その後、SuccessFactors からの HR 受信を使用して、従業員の参加、移動、離脱時に Microsoft Entra ID のユーザーの一覧を最新の状態に保つことができます。 グループまたはアプリケーション ロールの割り当てを使用して、SAP HANA にアクセスできるユーザーまたは SAP HANA にアクセスできるロールのスコープを設定する予定で、テナントにMicrosoft Entra ID ガバナンスのライセンスがある場合は SAP Cloud Identity Services または SAP HANA を表すアプリケーションの Microsoft Entra ID で、アプリケーション ロールの割り当てに対する変更を自動化することもできます。 プロビジョニング前に職務の分離やその他のコンプライアンス チェックを実行する方法の詳細については、「アクセス ライフサイクル管理シナリオの移行」を参照してください。

SAP アプリケーションをターゲットとする ID ライフサイクルの詳細なガイダンスについては、「SAP ソース アプリケーションとターゲット アプリケーションを使用したユーザー ID プロビジョニングのために Microsoft Entra のデプロイを計画する」を参照してください。

手順 3: Microsoft Entra ID から SAP Cloud Identity Services へのプロビジョニングを構成する

SAP Cloud Identity Services と統合された SAP HANA や他のアプリケーションへのユーザーのプロビジョニングを準備するには、SAP Cloud Identity Services にそれらのアプリケーションに必要なスキーマ マッピングがあることを確認します。 次に、Microsoft Entra ID から SAP Cloud Identity Services へのユーザーのプロビジョニングを構成します。 SAP Cloud Identity Services はその後、必要に応じてダウンストリーム SAP アプリケーションにユーザーをプロビジョニングします。

Microsoft Entra から SAP Cloud Identity Services にユーザーをプロビジョニングするには、2 つの方法があります。

Note

小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 ユーザーが SAP ダウンストリーム ターゲットで適切なアクセス権を持っていること、サインイン時に適切なロールを持っていることを確認します。

手順 4: SAP Cloud Identity Services から SAP HANA へのプロビジョニングを構成する

この手順では、SAP Cloud Identity Services Identity Provisioning を使用して SAP HANA をターゲット システムとして構成します。このシステムでは、ユーザーとグループ メンバーをプロビジョニングできます。 SAP HANA Cloud または SAP HANA Database については、SAP HANA Cloud または SAP HANA Database へのプロビジョニングに関する SAP ドキュメントを参照してください。

手順 5: シングル サインオンの構成

SAP アプリケーションのユーザーのプロビジョニングを設定すると、それらのアプリケーションとのシングル サインオンを有効にする必要があります。 Microsoft Entra ID は、SAP アプリケーションの ID プロバイダーおよび認証機関として機能することができます。 Microsoft Entra シングル サインオン (SSO) と SAP Cloud Identity Services との統合をまだ構成していない場合は、構成します。

SAP SaaS や最新のアプリにシングル サインオンを構成する方法の詳細は、「SSO の有効化」を参照してください。

次のステップ