Zarządzanie dostępem do aplikacji SAP
Oprogramowanie i usługi SAP prawdopodobnie uruchamia krytyczne funkcje, takie jak HR i ERP, dla organizacji. Jednocześnie twoja organizacja korzysta z firmy Microsoft dla różnych usług platformy Azure, platformy Microsoft 365 i Zarządzanie tożsamością Microsoft Entra do zarządzania dostępem do aplikacji. W tym artykule opisano sposób używania usługi Identity Governance do zarządzania tożsamościami w aplikacjach SAP.
Migrowanie z usługi SAP Identity Management
Jeśli używasz rozwiązania SAP Identity Management (IDM), możesz migrować scenariusze zarządzania tożsamościami z programu SAP IDM do usługi Microsoft Entra. Aby uzyskać więcej informacji, zobacz Migrowanie scenariuszy zarządzania tożsamościami z programu SAP IDM do usługi Microsoft Entra.
Przenoszenie tożsamości z działu kadr do identyfikatora Entra firmy Microsoft
Plan samouczka wdrażania usługi Microsoft Entra na potrzeby aprowizacji użytkowników za pomocą źródłowych i docelowych aplikacji SAP ilustruje sposób łączenia firmy Microsoft Entra z autorytatywnymi źródłami listy procesów roboczych w organizacji, takich jak SAP SuccessFactors. Pokazano również, jak używać firmy Microsoft Entra do konfigurowania tożsamości dla tych pracowników. Następnie dowiesz się, jak używać firmy Microsoft Entra, aby zapewnić pracownikom dostęp do logowania się do co najmniej jednej aplikacji SAP, takiej jak SAP ECC lub SAP S/4HANA.
SuccessFactors
Klienci korzystający z rozwiązania SAP SuccessFactors mogą łatwo przenieść tożsamości z rozwiązania SuccessFactors do identyfikatora Entra firmy Microsoft lub rozwiązania SuccessFactors do lokalna usługa Active Directory przy użyciu łączników natywnych. Łączniki obsługują następujące scenariusze:
- Zatrudnianie nowych pracowników: po dodaniu nowego pracownika do rozwiązania SuccessFactors konto użytkownika jest automatycznie tworzone w usłudze Microsoft Entra ID i opcjonalnie platforma Microsoft 365 i inne aplikacje oprogramowania jako usługi (SaaS), które obsługuje microsoft Entra ID. Ten proces obejmuje zapis zwrotny adresu e-mail do rozwiązania SuccessFactors.
- Atrybut pracownika i aktualizacje profilu: po zaktualizowaniu rekordu pracownika w rozwiązaniach SuccessFactors (takich jak nazwa, tytuł lub menedżer) konto użytkownika pracownika jest automatycznie aktualizowane w identyfikatorze Microsoft Entra ID i opcjonalnie platforma Microsoft 365 i inne aplikacje SaaS obsługiwane przez usługę Microsoft Entra ID.
- Kończenie pracy pracowników: po zakończeniu pracy pracownika w rozwiązaniu SuccessFactors konto użytkownika pracownika jest automatycznie wyłączone w identyfikatorze Microsoft Entra ID i opcjonalnie platforma Microsoft 365 i inne aplikacje SaaS obsługiwane przez usługę Microsoft Entra ID.
- Ponowne przełączenie pracownika: gdy pracownik zostanie ponownie uruchomiony w rozwiązaniu SuccessFactors, stare konto pracownika może zostać automatycznie ponownie aktywowane lub ponownie zainicjowane (w zależności od preferencji) do identyfikatora Entra firmy Microsoft i opcjonalnie platformy Microsoft 365 i innych aplikacji SaaS, które obsługuje microsoft Entra ID.
Możesz również zapisywać zwrotnie z identyfikatora Entra firmy Microsoft do rozwiązania SAP SuccessFactors.
SAP HCM
Klienci, którzy nadal korzystają z rozwiązania SAP Human Capital Management (HCM), mogą również wprowadzać tożsamości do identyfikatora Entra firmy Microsoft. Za pomocą pakietu SAP Integration Suite można synchronizować listy procesów roboczych między rozwiązaniami SAP HCM i SAP SuccessFactors. Z tego miejsca możesz bezpośrednio przenieść tożsamości do identyfikatora Entra firmy Microsoft lub aprowizować je w usługach domena usługi Active Directory przy użyciu natywnych integracji aprowizacji wymienionych wcześniej.
Zapewnianie dostępu do aplikacji SAP
Oprócz natywnych integracji aprowizacji, które umożliwiają zarządzanie dostępem do aplikacji SAP, usługa Microsoft Entra ID obsługuje bogaty zestaw integracji z tymi aplikacjami.
Włączanie logowania jednokrotnego
Oprócz konfigurowania aprowizacji dla aplikacji SAP można włączyć logowanie jednokrotne dla nich. Microsoft Entra ID może służyć jako dostawca tożsamości i służyć jako urząd uwierzytelniania dla aplikacji SAP. Identyfikator Entra firmy Microsoft może integrować się z oprogramowaniem SAP NetWeaver przy użyciu protokołu SAML lub OAuth. W przypadku rozwiązań SAP SaaS i nowoczesnych aplikacji dowiedz się, jak skonfigurować identyfikator Entra firmy Microsoft jako dostawcę tożsamości firmowej dla aplikacji SAP za pośrednictwem usług SAP Cloud Identity Services.
Aby uzyskać więcej informacji na temat konfigurowania logowania jednokrotnego z usługi Microsoft Entra ID, zobacz następującą dokumentację i samouczki:
- SAP Cloud Identity Services
- SAP SuccessFactors
- SAP Analytics Cloud
- SAP Fiori
- SAP Ariba
- SAP Concur Travel and Expense
- SAP Business Technology Platform
- SAP Business ByDesign
- SAP HANA
- SAP Cloud for Customer
- SAP Fieldglass
Zobacz również następujące zasoby SAP:
- aplikacja systemu Azure Gateway — konfiguracja Logowanie jednokrotne SAML dla publicznych i wewnętrznych adresów URL systemu SAP
- Logowanie jednokrotne przy użyciu usług Microsoft Entra Domain Services i Kerberos
Aprowizuj tożsamości w nowoczesnych aplikacjach SAP
Gdy użytkownicy znajdują się w identyfikatorze Entra firmy Microsoft, możesz aprowizować konta w różnych aplikacjach SaaS i lokalnych aplikacjach SAP, do których potrzebują dostępu. Istnieją dwa sposoby, aby to osiągnąć:
- Użyj aplikacji korporacyjnej SAP Cloud Identity Services w usłudze Microsoft Entra ID, aby aprowizować tożsamości w usługach SAP Cloud Identity Services. Po dodaniu wszystkich tożsamości do usług SAP Cloud Identity Services można użyć usługi SAP Cloud Identity Services — Identity Provisioning, aby aprowizować konta z tego miejsca do aplikacji, jeśli jest to wymagane.
- Integracja z usługami SAP Cloud Identity Services — Identity Provisioning umożliwia bezpośrednie eksportowanie tożsamości z usługi Microsoft Entra ID do zintegrowanych aplikacji SAP Cloud Identity Services. W przypadku korzystania z usług SAP Cloud Identity Services — Identity Provisioning w celu włączenia użytkowników do tych aplikacji wszystkie konfiguracje aprowizacji dla tych aplikacji są zarządzane bezpośrednio w oprogramowaniu SAP. Nadal możesz użyć aplikacji dla przedsiębiorstw w usłudze Microsoft Entra ID do zarządzania logowaniem jednokrotnym i używania identyfikatora Entra firmy Microsoft jako dostawcy tożsamości firmowej.
Aprowizuj tożsamości w lokalnych systemach SAP
Gdy masz użytkowników w usłudze Microsoft Entra ID, możesz aprowizować tych użytkowników z usługi Microsoft Entra ID do usług SAP Cloud Identity Services lub SAP ECC, aby umożliwić im logowanie się do aplikacji SAP. Jeśli masz SAP S/4HANA On-premise
usługę , aprowizuj użytkowników z usługi Microsoft Entra ID do usługi SAP Cloud Identity Directory. Usługa SAP Cloud Identity Services aprowizuje następnie użytkowników pochodzących z usługi Microsoft Entra ID, które znajdują się w katalogu SAP Cloud Identity Directory, do podrzędnych aplikacji SAP S/4HANA lokalnych za pośrednictwem łącznika chmury SAP.
Klienci, którzy nie przeszli jeszcze z aplikacji, takich jak SAP R/3 i SAP ERP Central Component (SAP ECC) do oprogramowania SAP S/4HANA, nadal mogą polegać na usłudze aprowizacji firmy Microsoft w celu aprowizacji kont użytkowników. W systemach SAP R/3 i SAP ECC uwidaczniasz niezbędne interfejsy programowania aplikacji biznesowych (BAPI) do tworzenia, aktualizowania i usuwania użytkowników. W ramach identyfikatora Entra firmy Microsoft masz dwie opcje:
- Użyj uproszczonego łącznika agenta aprowizacji firmy Microsoft i usług internetowych firmy Microsoft, aby aprowizować użytkowników w aplikacjach, takich jak SAP ECC.
- W scenariuszach, w których trzeba wykonywać bardziej złożone zarządzanie grupami i rolami, użyj programu Microsoft Identity Manager , aby zarządzać dostępem do starszych aplikacji SAP.
Możesz również użyć identyfikatora Entra firmy Microsoft do aprowizacji procesów roboczych w usłudze Active Directory, a także innych systemów lokalnych, których usługa SAP Cloud Identity Services nie obsługuje aprowizacji.
Wyzwalanie niestandardowych przepływów pracy
Gdy nowy pracownik jest zatrudniony w organizacji, może być konieczne wyzwolenie przepływu pracy w systemach lokalnych SAP w celu wykonania dodatkowych zadań poza aprowizowaniem użytkowników. Korzystając z rozszerzalności przepływów pracy cyklu życia entra firmy Microsoft lub rozszerzalności zarządzania upoważnieniami firmy Microsoft za pomocą łącznika SAP w usłudze Azure Logic Apps, możesz wyzwalać akcje niestandardowe w oprogramowaniu SAP podczas zatrudniania nowego pracownika.
Sprawdzanie separacji obowiązków
W przypadku kontroli separacji obowiązków w zarządzaniu upoważnieniami firmy Microsoft Entra klienci mogą zagwarantować, że użytkownicy nie przejdą na nadmierne prawa dostępu:
- Administratorzy i menedżerowie dostępu mogą uniemożliwić użytkownikom żądanie dodatkowych pakietów dostępu, jeśli są już przypisani do innych pakietów dostępu lub są członkami innych grup, które są niezgodne z żądanym dostępem.
- Przedsiębiorstwa z krytycznymi wymaganiami prawnymi dotyczącymi aplikacji SAP mają jeden spójny widok kontroli dostępu. Następnie mogą wymusić kontrole separacji obowiązków w swoich aplikacjach finansowych i innych aplikacjach o znaczeniu krytycznym dla działania firmy, wraz ze zintegrowanymi aplikacjami firmy Microsoft Entra.
- Dzięki integracji firmy Microsoft Entra z zarządzaniem dostępem do oprogramowania SAP, ścieżkom i innym produktom partnerskim klienci mogą korzystać z dodatkowych zagrożeń i precyzyjnych kontroli rozdzielania obowiązków wymuszanych w tych produktach z pakietami dostępu w Zarządzanie tożsamością Microsoft Entra.
Dodatkowe wskazówki
Aby uzyskać więcej informacji na temat integracji systemu SAP z identyfikatorem Entra firmy Microsoft, zobacz następującą dokumentację:
- Bezpieczny dostęp za pomocą usług SAP Cloud Identity Services i identyfikatora entra firmy Microsoft
- Zabezpieczenia obciążeń SAP — Microsoft Azure Well-Architected Framework
- Usługi i partnerzy integracji na potrzeby wdrażania firmy Microsoft Entra z aplikacjami SAP
Następne kroki
- Planowanie wdrażania usługi Microsoft Entra na potrzeby aprowizacji użytkowników za pomocą aplikacji źródłowych i docelowych SAP
- Przenoszenie tożsamości z rozwiązania SAP SuccessFactors do identyfikatora Entra firmy Microsoft
- Aprowizuj konta w usługach SAP Cloud Identity Services
- Wprowadzenie do scenariuszy integracji z oprogramowaniem SAP i firmą Microsoft