Konfigurer tilgangskontrollister i Microsoft Entra ID
Brukere trenger bare tilgang til appene og flytene som er innrettet etter avdelingsfunksjonen. Du kan opprette Microsoft Entra ID-sikkerhetsgrupper basert på forretningsprosesser og tildele teammedlemmer til de aktuelle gruppene. Sikkerhetsgruppene styrer brukertilgang til appene og synlighet for de ulike komponentene i appene.
Opprett Microsoft Entra ID-sikkerhetsgrupper
Distribusjonsmodellen nedenfor viser hvordan du tildeler brukere til ulike Microsoft Entra ID-sikkerhetsgrupper basert på avdelingsfunksjon.
Administratorsikkerhetsgruppe
Legg til én eller flere administratorer i et administratorteam for SAP Procurement.
Funksjonssikkerhetsgrupper
Sikkerhetsgruppene kan innrettes etter bestemte forretningsprosesser. Tilordne alle brukerne som er med i Innkjøp til betaling-prosessen, til ett eller flere av de seks ulike brukerteamene:
- Leverandørbehandling
- Innkjøpsrekvisisjoner
- Bestillinger
- Varekvitteringer for leverandør
- Leverandørfaktura
- Leverandørbetalinger
Denne modellen brukes gjennom resten av dette dokumentet til å vise hensikt, men konfigurasjonen din kan variere basert på hva du trenger.
Mer informasjon:
Opprett Dataverse-gruppeteam
Administratorer administrerer menyelementene som vises for brukere i lerretsappene, direkte i appen SAP Administrator. Dataverse Gruppeteammedlemskap kontrollerer tilgang og synlighet til menyelementene. Microsoft Entra ID-sikkerhetsgrupper styrer Dataverse-gruppeteammedlemskapet og sikrer et av to alternativer:
- Brukere har synlighet og tilgang til de riktige menyelementene i lerretsappene når de legges til i en eller flere sikkerhetsgrupper.
- Brukere mister synlighet og tilgang når de blir fjernet fra en sikkerhetsgruppe.
I tillegg styrer menysynligheten funksjonaliteten for ekstrahering for bestemte felter i lerretsappene. Hvis en bruker for eksempel ikke er en del av bestillingsteamet, kan vedkommende bare vise bestillingsnummeret som er knyttet til rekvisisjonen i appen SAP Requisition Management. De kan ikke ekstrahere for å vise alle bestillingsdetaljene.
Mer informasjon: Arbeid med Microsoft Entra ID-gruppeteam
Trinn for å administrere team
Gjør følgende for å opprette team og konfigurere sikkerhetsinnstillinger:
- Logg på Power Platform-administrasjonssenteret.
- Gå til Miljøer, og velg miljøet som inneholder løsningene.
- Gå til Innstillinger>Brukere + tillatelser>Team.
- Velg + Opprett team.
- Fyll ut de obligatoriske feltene. Velg Microsoft Entra ID-sikkerhetsgruppe for Teamtype. Du må også fylle ut Gruppenavn og Medlemskapstype.
- Søk etter eksemplet på sikkerhetsgruppe som tidligere ble opprettet i Microsoft Entra ID, og knytt det til det nyopprettede gruppeteamet.
- Tilordne sikkerhetsroller til team som svarer til teamfunksjoner.
Veiledning for sikkerhetsrolle
Tabellen nedenfor gir veiledning for tilordning av sikkerhetsroller:
| Dataverse-teamnavn | Bruker av SAP-mal | Administrator for SAP-mal | Basic-bruker |
|---|---|---|---|
| Leverandørbehandling | X | X | |
| Innkjøpsrekvisisjoner | X | X | |
| Bestillinger | X | X | |
| Varekvittering for leverandør | X | X | |
| Leverandørfaktura | X | X | |
| Leverandørbetalinger | X | X | |
| Administrator | X | X |
Obs!
- Brukere legges til i eller fjernes fra et gruppeteam basert på medlemskapet i den koblede Microsoft Entra ID-sikkerhetsgruppen.
- Tilgang til Dataverse-data styres av teammedlemskap med tilgangsnivåer som skiller mellom tilordning av sikkerhetsrolle for SAP-integreringsbruker og SAP-integreringsadministrator til teamene.
- Konfigurasjonen for Dataverse-gruppeteam i administrasjonssenteret for Power Platform vises også i SAP Admin-appen for referanse.
Mer informasjon: Administrer gruppeteam, Sikkerhetsroller og tilgangsrettigheter
Del tilgang til appene og flytene
Medlemmer av sikkerhetsgrupper har bare tilgang til apper og flyter som deles med dem. Bruk sikkerhetsgruppemodellen som et eksempel for å hjelpe deg med å konfigurere sikkerhetsgrupper for organisasjonen.
Del flytene med Bare kjør-rettigheter, slik at brukere har tilgang til innebygde flyter og brukertjenester for koblinger for SAP ERP, Dataverse og Office 365 bruker den utløsende brukerens legitimasjon.
Advarsel!
Hvis du ikke endrer Bare lese-rettighetene for flytene, kan ikke koblingstjenestene sende brukerlegitimasjon. Deling av Dataverse- og Office 365-tilkoblinger bør begrenses.
Fremgangsmåte for å dele apper
- Gå til enkeltappene i Power Apps.
- Velg alternativet Del.
- Søk etter og velg den aktuelle sikkerhetsgruppen som inneholder medlemmene som må ha tilgang til denne appen.
- Velg Del. Du kan også velge om du vil ta med en e-postinvitasjon (kreves ikke).
Fremgangsmåte for å dele flyter
- Gå til hver enkelt skyflyt i Power Apps.
- Gå til delen Bare kjør-brukere, og velg Rediger.
- Invitere systembrukere og team ved å søke etter og velge Microsoft Entra ID-sikkerhetsgruppene som trenger tilgang til flyten, i henhold til lerretsappene teamet må bruke.
- Velg alternativet Opprettet av bruker med kjøringstilgang for alle tre tilkoblinger som brukes.
- Velg Lagre.
Deling av sammendrag
Tabellen inneholder et tildelingssammendrag av komponentene som må tildeles eller deles i henhold til eksemplet på Microsoft Entra ID-sikkerhetsgruppeteam.
| Komponent | Type | Leverandøradministrasjonsteam | Innkjøpsrekvisisjonsteam | Bestillingsteam | Varekvitteringsteam for leverandør | Leverandørfakturateam | Leverandørbetalingsteam | Administratorteam |
|---|---|---|---|---|---|---|---|---|
| SAP Vendor Management | -appen | X | ||||||
| SAP Purchase Requisitions | -appen | X | ||||||
| SAP Purchase Orders | -appen | X | ||||||
| SAP-varekvitteringer | -appen | X | ||||||
| SAP-leverandørfaktura | -appen | X | ||||||
| SAP-leverandørbetalinger | -appen | X | ||||||
| Administrator for SAP-mal | -appen | X | ||||||
| ApprovePurchaseOrder | flyt | X | ||||||
| ApproveVendorInvoice | flyt | X | ||||||
| ConvertRequisitionToPurchaseOrder | flyt | X | ||||||
| CreateGoodsReceipt | flyt | X | ||||||
| CreatePurchaseOrder | flyt | X | ||||||
| CreateRequisition | flyt | X | ||||||
| CreateVendor | flyt | X | ||||||
| CreateVendorInvoice | flyt | X | ||||||
| ReadGLAccount | flyt | X | X | X | ||||
| ReadGLAccountList | flyt | X | X | X | ||||
| ReadGoodsReceipt | flyt | X | X | X | ||||
| ReadGoodsReceiptList | flyt | X | X | X | ||||
| ReadMaterial | flyt | X | X | X | X | X | X | |
| ReadMaterialList | flyt | X | X | X | X | X | X | |
| ReadPurchaseOrder | flyt | X | X | X | X | |||
| ReadPurchaseOrderList | flyt | X | X | X | X | |||
| ReadRequisition | flyt | X | X | X | ||||
| ReadRequisitionList | flyt | X | X | X | ||||
| ReadVendor | flyt | X | X | X | X | X | X | |
| ReadVendorInvoice | flyt | X | X | X | X | |||
| ReadVendorInvoiceList | flyt | X | X | X | X | |||
| ReadVendorList | flyt | X | X | X | X | X | X | |
| ReadVendorPayment | flyt | X | X | X | ||||
| ReadVendorPaymentList | flyt | X | X | X | ||||
| ReverseVendorInvoice | flyt | X | ||||||
| UpdatePurchaseOrder | flyt | X | ||||||
| UpdateVendor | flyt | X | ||||||
| UpdateVendorInvoice | flyt | X |
Mer informasjon: