Zarządzanie dostępem do aplikacji SAP

Oprogramowanie i usługi SAP prawdopodobnie uruchamia krytyczne funkcje, takie jak HR i ERP, dla organizacji. Jednocześnie twoja organizacja korzysta z firmy Microsoft do różnych usług platformy Azure, Microsoft 365 i Microsoft Entra ID Governance do zarządzania dostępem do aplikacji. W tym artykule opisano sposób używania usługi Identity Governance do zarządzania tożsamościami w aplikacjach SAP.

Migrowanie z usługi SAP Identity Management

Jeśli używasz rozwiązania SAP Identity Management (IDM), możesz migrować scenariusze zarządzania tożsamościami z programu SAP IDM do usługi Microsoft Entra. Aby uzyskać więcej informacji, zobacz Migrowanie scenariuszy zarządzania tożsamościami z programu SAP IDM do usługi Microsoft Entra.

Przenoszenie tożsamości z działu kadr do identyfikatora Entra firmy Microsoft

Samouczek wdrażania usługi Microsoft Entra na potrzeby aprowizacji użytkowników za pomocą źródłowych i docelowych aplikacji SAP pokazuje, jak połączyć Microsoft Entra z autorytatywnymi źródłami listy pracowników w organizacji, takich jak SAP SuccessFactors. Pokazano również, jak używać firmy Microsoft Entra do konfigurowania tożsamości dla tych pracowników. Następnie dowiesz się, jak używać firmy Microsoft Entra, aby zapewnić pracownikom dostęp do logowania się do co najmniej jednej aplikacji SAP, takiej jak SAP ECC lub SAP S/4HANA.

SuccessFactors

Klienci korzystający z SAP SuccessFactors mogą łatwo przenieść tożsamości z SuccessFactors do usługi Microsoft Entra ID lub do lokalnej usługi Active Directory za pomocą natywnych łączników. Łączniki obsługują następujące scenariusze:

• Zatrudnianie nowych pracowników: po dodaniu nowego pracownika do rozwiązania SuccessFactors konto użytkownika jest automatycznie tworzone w usłudze Microsoft Entra ID oraz opcjonalnie w platformie Microsoft 365 oraz pozostałe aplikacje SaaS (oprogramowanie jako usługa), które obsługuje Microsoft Entra ID. Ten proces obejmuje zapis zwrotny adresu e-mail do systemu SuccessFactors.
• Atrybut pracownika i aktualizacje profilu: po zaktualizowaniu rekordu pracownika w rozwiązaniach SuccessFactors (takich jak nazwa, tytuł lub menedżer) konto użytkownika pracownika jest automatycznie aktualizowane w identyfikatorze Microsoft Entra ID i opcjonalnie platforma Microsoft 365 i inne aplikacje SaaS obsługiwane przez usługę Microsoft Entra ID.
• Zwolnienia pracowników: Gdy pracownik jest zwalniany w SuccessFactors, jego konto użytkownika jest automatycznie wyłączane w Microsoft Entra ID, a opcjonalnie także w Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez Microsoft Entra ID.
• Ponowne zatrudnienie pracownika: Gdy pracownik zostanie ponownie zatrudniony w systemie SuccessFactors, stare konto pracownika może zostać automatycznie ponownie aktywowane lub ponownie zaopatrzone (w zależności od preferencji) do Microsoft Entra ID i opcjonalnie Microsoft 365 oraz inne aplikacje SaaS, które obsługuje Microsoft Entra ID.

Możesz również zapisywać zwrotnie z Microsoft Entra ID do SAP SuccessFactors.

SAP HCM

Klienci, którzy nadal korzystają z rozwiązania SAP Human Capital Management (HCM), mogą również wprowadzać tożsamości do identyfikatora Entra firmy Microsoft. Za pomocą pakietu SAP Integration Suite można synchronizować listy procesów roboczych między rozwiązaniami SAP HCM i SAP SuccessFactors. Z tego miejsca możesz bezpośrednio przenieść tożsamości do Microsoft Entra ID lub aprowizować je w Usługach domenowych usługi Active Directory, korzystając z natywnych integracji aprowizacji wspomnianych wcześniej.

Zapewnianie dostępu do aplikacji SAP

Oprócz wbudowanych integracji umożliwiających zarządzanie dostępem do aplikacji SAP, usługa Microsoft Entra ID obsługuje rozszerzony zestaw integracji z tymi rozwiązaniami.

Włączanie logowania jednokrotnego

Oprócz konfigurowania aprowizacji dla aplikacji SAP, można włączyć dla nich SSO. Microsoft Entra ID może służyć jako dostawca tożsamości i służyć jako urząd uwierzytelniania dla aplikacji SAP. Identyfikator Entra firmy Microsoft może integrować się z oprogramowaniem SAP NetWeaver przy użyciu protokołu SAML lub OAuth. W przypadku rozwiązań SAP SaaS i nowoczesnych aplikacji dowiedz się, jak skonfigurować identyfikator Entra firmy Microsoft jako dostawcę tożsamości firmowej dla aplikacji SAP za pośrednictwem usług SAP Cloud Identity Services.

Aby uzyskać więcej informacji na temat konfigurowania logowania jednokrotnego z usługi Microsoft Entra ID, zobacz następującą dokumentację i samouczki:

• SAP Cloud Identity Services
• SAP SuccessFactors
• SAP Analytics Cloud
• SAP Fiori
• SAP Ariba
• SAP Concur Travel and Expense
• SAP Business Technology Platform
• SAP Business ByDesign
• SAP HANA
• SAP Cloud for Customer
• SAP Fieldglass

Zobacz również następujące wpisy w blogu i zasoby SAP:

• Interfejs użytkownika SAP z uwierzytelnianiem wieloskładnikowym Microsoft Entra integracji z SAP Secure Login Service i integracji z Microsoft Entra Private Access
• Zarządzanie dostępem do SAP BTP
• Konfiguracja bramki aplikacji Azure dla jednokrotnego logowania SAML przy użyciu publicznych i wewnętrznych adresów URL systemu SAP
• Logowanie jednokrotne przy użyciu usług Microsoft Entra Domain Services i Kerberos

Aprowizuj tożsamości w nowoczesnych aplikacjach SAP

Gdy użytkownicy znajdują się w identyfikatorze Entra firmy Microsoft, możesz aprowizować konta w różnych aplikacjach SaaS i lokalnych aplikacjach SAP, do których potrzebują dostępu. Istnieją dwa sposoby, aby to osiągnąć:

• Użyj aplikacji korporacyjnej SAP Cloud Identity Services w usłudze Microsoft Entra ID, aby udostępniać tożsamości w usłudze SAP Cloud Identity Services. Po dodaniu wszystkich tożsamości do usług SAP Cloud Identity Services można użyć usługi SAP Cloud Identity Services — Identity Provisioning, aby aprowizować konta z tego miejsca do aplikacji, jeśli jest to wymagane.
• Integracja z usługami SAP Cloud Identity Services — Identity Provisioning umożliwia bezpośrednie eksportowanie tożsamości z usługi Microsoft Entra ID do zintegrowanych aplikacji SAP Cloud Identity Services. W przypadku korzystania z usług SAP Cloud Identity Services — Identity Provisioning w celu włączenia użytkowników do tych aplikacji wszystkie konfiguracje aprowizacji dla tych aplikacji są zarządzane bezpośrednio w oprogramowaniu SAP. Nadal możesz używać aplikacji przedsiębiorstwa w usłudze Microsoft Entra ID do zarządzania SSO i używania usługi Microsoft Entra ID jako dostawcy tożsamości firmowej.

Udostępniaj tożsamości w systemach SAP w lokalnej infrastrukturze

Gdy masz użytkowników w usłudze Microsoft Entra ID, możesz aprowizować tych użytkowników z usługi Microsoft Entra ID do usług SAP Cloud Identity Services lub SAP ECC, aby umożliwić im logowanie się do aplikacji SAP. Jeśli masz SAP S/4HANA On-premise, aprowizuj użytkowników z usługi Microsoft Entra ID do usługi SAP Cloud Identity Directory. Następnie, usługa SAP Cloud Identity Services aprowizuje użytkowników pochodzących z Microsoft Entra ID, którzy znajdują się w katalogu SAP Cloud Identity Directory, do aplikacji SAP S/4HANA lokalnie poprzez łącznik chmury SAP.

Klienci, którzy nie przeszli jeszcze z aplikacji, takich jak SAP R/3 i SAP ERP Central Component (SAP ECC) do oprogramowania SAP S/4HANA, nadal mogą polegać na usłudze aprowizacji Microsoft Entra w celu aprowizacji kont użytkowników. W systemach SAP R/3 i SAP ECC uwidaczniasz niezbędne interfejsy programowania aplikacji biznesowych (BAPI) do tworzenia, aktualizowania i usuwania użytkowników. W ramach identyfikatora Entra firmy Microsoft masz dwie opcje:

• Użyj lekkiego agenta aprowizacji Microsoft Entra oraz łącznika usług internetowych, aby przydzielać użytkowników do aplikacji, takich jak SAP ECC.
• W scenariuszach, w których trzeba wykonywać bardziej złożone zarządzanie grupami i rolami, użyj programu Microsoft Identity Manager , aby zarządzać dostępem do starszych aplikacji SAP.

Możesz również użyć Microsoft Entra ID do aprowizacji pracowników w Active Directory, jak również innych systemów lokalnych, których SAP Cloud Identity Services nie obsługuje.

Wyzwalanie niestandardowych przepływów pracy

Gdy nowy pracownik jest zatrudniony w organizacji, może być konieczne wyzwolenie przepływu pracy w systemach lokalnych SAP w celu wykonania dodatkowych zadań poza aprowizowaniem użytkowników. Korzystając z rozszerzalności przepływów pracy cyklu życia Microsoft Entra lub zarządzania upoważnieniami Microsoft Entra z łącznikiem SAP w usłudze Azure Logic Apps, możesz wyzwalać niestandardowe akcje w SAP podczas zatrudniania nowego pracownika.

Sprawdzanie separacji obowiązków

W przypadku kontroli rozdziału obowiązków w Microsoft Entra zarządzaniu upoważnieniami klienci mogą zapewnić, że użytkownicy nie uzyskują nadmiernych praw dostępu.

• Administratorzy i menedżerowie dostępu mogą uniemożliwić użytkownikom żądanie dodatkowych pakietów dostępu, jeśli są już przypisani do innych pakietów dostępu lub są członkami innych grup, które są niezgodne z żądanym dostępem.
• Przedsiębiorstwa z krytycznymi wymaganiami prawnymi dotyczącymi aplikacji SAP mają jeden spójny widok kontroli dostępu. Następnie mogą wymusić kontrole separacji obowiązków w swoich aplikacjach finansowych i innych aplikacjach o znaczeniu krytycznym dla działania firmy, wraz ze zintegrowanymi aplikacjami firmy Microsoft Entra.
• Dzięki integracjom Microsoft Entra z zarządzaniem dostępem SAP, z Pathlock oraz innymi produktami partnerskimi, klienci mogą korzystać z dodatkowych kontroli ryzyka i precyzyjnego nadzoru rozdzielania obowiązków wdrażanych w tych produktach, korzystając z pakietów dostępu w Zarządzanie tożsamością Microsoft Entra ID Governance.

Dodatkowe wskazówki

Aby uzyskać więcej informacji na temat integracji systemu SAP z identyfikatorem Entra firmy Microsoft, zobacz następującą dokumentację:

• Bezpieczny dostęp za pomocą usług SAP Cloud Identity Services i identyfikatora entra firmy Microsoft
• Zabezpieczenia obciążeń SAP — Microsoft Azure Well-Architected Framework
• Usługi i partnerzy integracji na potrzeby wdrażania firmy Microsoft Entra z aplikacjami SAP

Następne kroki

• Plan wdrożenia usługi Microsoft Entra do aprowizacji użytkowników z wykorzystaniem aplikacji źródłowych i docelowych SAP
• Przenoszenie tożsamości z rozwiązania SAP SuccessFactors do identyfikatora Entra firmy Microsoft
• Konfiguruj konta w usługach SAP Cloud Identity Services
• Wprowadzenie do scenariuszy integracji z oprogramowaniem SAP i firmą Microsoft