Toegangsbeheerlijsten instellen in Microsoft Entra ID
Gebruikers hebben alleen toegang nodig tot de apps en stromen die aansluiten bij hun afdelingsfunctie. U kunt Microsoft Entra ID-beveiligingsgroepen maken op basis van bedrijfsprocessen en teamleden toewijzen aan de juiste groepen. De beveiligingsgroepen beheren de gebruikerstoegang tot de apps en de zichtbaarheid van de verschillende onderdelen binnen de apps.
Microsoft Entra-ID-beveiligingsgroepen maken
Het volgende implementatiemodel laat zien hoe u gebruikers toewijst aan verschillende Microsoft Entra ID-beveiligingsgroepen op basis van hun afdelingsfunctie.
Beheerdersbeveiligingsgroep
Stel een of meer beheerders in voor een SAP Procurement Admin-team.
Functionele beveiligingsgroepen
De beveiligingsgroepen kunnen worden afgestemd op specifieke bedrijfsprocessen. Wijs alle gebruikers die deelnemen aan het procure-to-pay-proces toe aan een of meer van de zes verschillende gebruikersteams:
- Leveranciersbeheer
- Opdrachten tot inkoop
- Inkooporders
- Leveranciersgoederenontvangsten
- Leveranciersfactuur
- Leveranciersbetalingen
Dit model wordt in de rest van dit document gebruikt om de intentie te tonen, maar uw configuratie kan verschillen op basis van uw vereisten.
Meer informatie:
Dataverse-groepsteams maken
Beheerders beheren de menu-items die zichtbaar zijn voor gebruikers in de canvas-apps rechtstreeks in de SAP Beheerder-app. Dataverse groepsteamlidmaatschap bepaalt de toegang tot en zichtbaarheid van de menu-items. Microsoft Entra ID-beveiligingsgroepen beheren het Dataverse-groepsteamlidmaatschap en bieden de volgende twee opties:
- Gebruikers hebben zichtbaarheid en toegang tot de juiste menu-items in de canvas-apps wanneer ze worden toegevoegd aan een of meer beveiligingsgroepen.
- Gebruikers verliezen zichtbaarheid en toegang wanneer ze uit een beveiligingsgroep worden verwijderd.
Bovendien stuurt de zichtbaarheid van het menu het analysegedrag in bepaalde velden in de canvas-apps. Als een gebruiker bijvoorbeeld geen deel uitmaakt van het inkooporderteam, kan hij alleen het bijbehorende inkoopordernummer van de aanvraag bekijken in de sap Requisition Management-app. Ze kunnen niet doorklikken om alle details van de inkooporder te bekijken.
Meer informatie vindt u in Werken met Microsoft Entra ID-groepteams
Stappen voor het beheren van teams
Voer deze stappen uit om teams te maken en beveiligingsinstellingen te configureren:
- Meld u aan bij het Power Platform-beheercentrum.
- Ga naar Omgevingen en selecteer de omgeving die de oplossingen bevat.
- Ga naar Instellingen>Gebruikers + machtigingen>Teams.
- Selecteer + Team maken.
- Vul de vereiste velden in. Selecteer Microsoft Entra ID-beveiligingsgroep als Teamtype. U moet ook Groepsnaam en Type lidmaatschap invullen.
- Zoek naar de eerder gemaakte voorbeeldbeveiligingsgroep in Microsoft Entra ID en koppel deze aan het nieuw gemaakte groepsteam.
- Wijs beveiligingsrollen toe aan teams die overeenkomen met teamfuncties.
Richtlijnen voor beveiligingsrollen
De volgende tabel bevat richtlijnen voor het toewijzen van beveiligingsrollen:
| Dataverse-teamnaam | SAP-sjabloongebruiker | SAP-sjabloonbeheerder | Basic-gebruiker |
|---|---|---|---|
| Leveranciersbeheer | X | X | |
| Opdrachten tot inkoop | X | X | |
| Inkooporders | X | X | |
| Leveranciersgoederenontvangst | X | X | |
| Leveranciersfactuur | X | X | |
| Leveranciersbetalingen | X | X | |
| Beheerder | X | X |
Opmerking
- Gebruikers worden toegevoegd aan of verwijderd uit een groepsteam op basis van hun lidmaatschap van de gekoppelde Microsoft Entra ID-beveiligingsgroep.
- Toegang tot Dataverse-gegevens wordt geregeld door teamlidmaatschap met verschillende toegangsniveaus tussen toewijzingen van de beveiligingsrol SAP-integratiegebruiker en SAP-integratiebeheerder aan de teams.
- De Dataverse-groepsteamconfiguratie in het Power Platform-beheercentrum is ter referentie ook te zien in de SAP Beheerder-app.
Meer informatie: Groepsteams beheren, Beveiligingsrollen en bevoegdheden
Toegang tot de apps en stromen delen
Leden van beveiligingsgroepen hebben alleen toegang tot apps en stromen die met hen worden gedeeld. Gebruik het model met beveiligingsgroepen als voorbeeld om u te helpen bij het instellen van beveiligingsgroepen voor uw organisatie.
Deel de stromen met bevoegheden voor alleen uitvoeren zodat gebruikers toegang hebben tot ingesloten stromen en de gebruikersservices van de SAP ERP-, Dataverse- en Office 365-connector gebruiken de referenties van de activerende gebruiker.
Waarschuwing
Als de alleen-lezen-bevoegdheden van de stromen niet worden gewijzigd, wordt voorkomen dat de connectorservices gebruikersreferenties doorgeven. Het delen van Dataverse- en Office 365-verbindingen kan het beste worden beperkt.
Stappen voor het delen van apps
- Ga naar de individuele apps in Power Apps.
- Selecteer de optie Delen.
- Zoek en selecteer de juiste beveiligingsgroep die de leden bevat die toegang tot die app nodig hebben.
- Selecteer Delen. U kunt er ook voor kiezen om al dan niet een e-mailuitnodiging toe te voegen (niet vereist).
Stappen voor het delen van stromen
- Ga naar de individuele cloudstromen in Power Apps.
- Ga naar de sectie Alleen uitvoeren-gebruikers en selecteer Bewerken.
- Nodig systeemgebruikers en teams uit door de Microsoft Entra ID-beveiligingsgroepen te zoeken en te selecteren die toegang nodig hebben tot de stroom op basis van de canvas-apps die dat team moet gebruiken.
- Voor alle drie gebruikte verbindingen selecteert u de optie Geleverd door alleen uitvoeren-gebruiker.
- Selecteer Opslaan.
Samenvatting delen
Deze tabel bevat een toewijzingsoverzicht van welke onderdelen moeten worden toegewezen of gedeeld volgens de voorbeeldteams van de Microsoft Entra ID-beveiligingsgroep.
| Onderdeel | Type | Leveranciersbeheerteam | Team voor opdrachten tot inkoop | Inkooporderteam | Team leveranciersgoederenontvangst | Team leveranciersfactuur | Team leveranciersbetalingen | Beheerdersteam |
|---|---|---|---|---|---|---|---|---|
| SAP Vendor Management | -app | X | ||||||
| SAP Purchase Requisitions | -app | X | ||||||
| SAP Purchase Orders | -app | X | ||||||
| SAP-goederenontvangsten | -app | X | ||||||
| SAP-leveranciersfactuur | -app | X | ||||||
| SAP-leveranciersbetalingen | -app | X | ||||||
| SAP-sjabloonbeheerder | -app | X | ||||||
| ApprovePurchaseOrder | stroom | X | ||||||
| ApproveVendorInvoice | stroom | X | ||||||
| ConvertRequisitionToPurchaseOrder | stroom | X | ||||||
| CreateGoodsReceipt | stroom | X | ||||||
| CreatePurchaseOrder | stroom | X | ||||||
| CreateRequisition | stroom | X | ||||||
| CreateVendor | stroom | X | ||||||
| CreateVendorInvoice | stroom | X | ||||||
| ReadGLAccount | stroom | X | X | X | ||||
| ReadGLAccountList | stroom | X | X | X | ||||
| ReadGoodsReceipt | stroom | X | X | X | ||||
| ReadGoodsReceiptList | stroom | X | X | X | ||||
| ReadMaterial | stroom | X | X | X | X | X | X | |
| ReadMaterialList | stroom | X | X | X | X | X | X | |
| ReadPurchaseOrder | stroom | X | X | X | X | |||
| ReadPurchaseOrderList | stroom | X | X | X | X | |||
| ReadRequisition | stroom | X | X | X | ||||
| ReadRequisitionList | stroom | X | X | X | ||||
| ReadVendor | stroom | X | X | X | X | X | X | |
| ReadVendorInvoice | stroom | X | X | X | X | |||
| ReadVendorInvoiceList | stroom | X | X | X | X | |||
| ReadVendorList | stroom | X | X | X | X | X | X | |
| ReadVendorPayment | stroom | X | X | X | ||||
| ReadVendorPaymentList | stroom | X | X | X | ||||
| ReverseVendorInvoice | stroom | X | ||||||
| UpdatePurchaseOrder | stroom | X | ||||||
| UpdateVendor | stroom | X | ||||||
| UpdateVendorInvoice | stroom | X |
Meer informatie: