Samouczek: konfigurowanie usługi Microsoft Entra ID i SAP Cloud Identity Services na potrzeby automatycznej aprowizacji użytkowników w chmurze SAP Analytics
W tym samouczku opisano kroki, które należy wykonać w usługach SAP Cloud Identity Services i Microsoft Entra ID w celu skonfigurowania automatycznej aprowizacji użytkowników. Po skonfigurowaniu identyfikator Entra firmy Microsoft automatycznie aprowizuje i cofa aprowizację użytkowników do chmury SAP Analytics przy użyciu usługi aprowizacji firmy Microsoft i usług SAP Cloud Identity Services. Aby uzyskać ważne szczegółowe informacje na temat działania aprowizacji firmy Microsoft, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.
Obsługiwane funkcje
- Tworzenie użytkowników w rozwiązaniu SAP Analytics Cloud w celu włączenia logowania jednokrotnego do usługi SAP Analytics Cloud
- Usuwanie użytkowników w chmurze SAP Analytics, gdy nie wymagają już dostępu
- Zachowywanie synchronizacji atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i rozwiązaniem SAP Analytics Cloud
Wymagania wstępne
W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:
- Dzierżawa firmy Microsoft Entra
- Jedną z następujących ról: Administrator aplikacji, Administrator aplikacji w chmurze lub Właściciel aplikacji.
- Chmura SAP Analytics
- Dzierżawa usług SAP Cloud Identity Services
- Konto użytkownika w konsoli administracyjnej sap Identity Provisioning z uprawnieniami administratora. Upewnij się, że masz dostęp do systemów proxy w konsoli administracyjnej usługi Identity Provisioning. Jeśli nie widzisz kafelka Systemy proxy, utwórz zdarzenie dla składnika BC-IAM-IPS , aby zażądać dostępu do tego kafelka.
Krok 1. Planowanie wdrożenia aprowizacji
Firma Microsoft Entra ma łączniki do systemów SAP ECC, SAP Cloud Identity Services i SAP SuccessFactors. Aprowizowanie w chmurze SAP Analytics lub innych aplikacji wymaga, aby użytkownicy najpierw znajdowali się w identyfikatorze Entra firmy Microsoft. Gdy masz użytkowników w usłudze Microsoft Entra ID, możesz aprowizować tych użytkowników z identyfikatora Entra firmy Microsoft do usług SAP Cloud Identity Services. Usługa SAP Cloud Identity Services aprowizuje następnie użytkowników pochodzących z usługi Microsoft Entra ID, które znajdują się w katalogu SAP Cloud Identity Directory, do podrzędnych aplikacji SAP, w tym SAP Analytics Cloud
, za pośrednictwem łącznika sap cloud i innych.
Krok 2. Upewnij się, że masz odpowiednich użytkowników w identyfikatorze Entra firmy Microsoft
Możesz użyć ruchu przychodzącego hr ze źródeł, takich jak SuccessFactors, aby zachować aktualność listy użytkowników w identyfikatorze Entra firmy Microsoft, gdy pracownicy dołączają, przenoszą i opuszczają. Jeśli planujesz używać grup lub przypisań ról aplikacji do zakresu, kto może uzyskiwać dostęp do chmury SAP Analytics lub jakie role będą miały, a dzierżawa ma licencję na Zarządzanie tożsamością Microsoft Entra, możesz również zautomatyzować zmiany przypisań ról aplikacji w usłudze Microsoft Entra ID dla aplikacji reprezentujących usługi SAP Cloud Identity Services lub SAP Analytics Cloud. Aby uzyskać więcej informacji na temat rozdzielania obowiązków i innych kontroli zgodności przed aprowizowaniem, zobacz Migrowanie scenariuszy zarządzania cyklem życia dostępu.
Aby uzyskać szczegółowe wskazówki dotyczące cyklu życia tożsamości z aplikacjami SAP jako obiektem docelowym, zobacz Planowanie wdrażania usługi Microsoft Entra na potrzeby aprowizacji użytkowników za pomocą aplikacji źródłowych i docelowych SAP.
Krok 3. Konfigurowanie aprowizacji z usługi Microsoft Entra ID do usług SAP Cloud Identity Services
Aby przygotować się do aprowizacji użytkowników w chmurze SAP Analytics Lub innych aplikacji SAP zintegrowanych z usługami SAP Cloud Identity Services, upewnij się, że usługi SAP Cloud Identity Services mają niezbędne mapowania schematów dla tych aplikacji. Następnie skonfiguruj aprowizację użytkowników z usługi Microsoft Entra ID do usług SAP Cloud Identity Services. Usługi SAP Cloud Identity Services będą następnie aprowizować użytkowników do podrzędnych aplikacji SAP w razie potrzeby.
Istnieją dwa sposoby aprowizacji użytkowników z firmy Microsoft Entra w usługach SAP Cloud Identity Services.
Jeśli będziesz używać grup z identyfikatora Entra firmy Microsoft, na przykład do przypisywania użytkowników do ról w rozwiązaniu SAP Analytics Cloud, użyj aprowizacji usług SAP Cloud Identity Services. Najpierw utwórz grupy entra firmy Microsoft dla ról biznesowych SAP używanych w chmurze SAP Analytics. Następnie w aprowizacji usług SAP Cloud Identity Services skonfiguruj identyfikator Entra firmy Microsoft jako źródło, aby umożliwić użytkownikom i grupom z usługi Microsoft Entra ID do usług SAP Cloud Identity Services i zamapuj utworzone grupy na role biznesowe SAP. Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP dotyczącą aprowizacji użytkowników z usługi Microsoft Azure AD do usług SAP Cloud Identity Services — Identity Authentication.
Alternatywnie, jeśli nie musisz używać grup w usłudze Microsoft Entra ID, możesz użyć usługi aprowizacji firmy Microsoft. W tym scenariuszu utwórz aplikację reprezentującą platformę SAP Analytics Cloud i przypisz do tej aplikacji użytkowników, którzy potrzebują dostępu do chmury SAP Analytics. Następnie skonfiguruj automatyczną aprowizację użytkowników przy użyciu identyfikatora Entra firmy Microsoft do usługi SAP Cloud Identity Services dla programu . Poczekaj na aprowizację tych użytkowników w usługach SAP Cloud Identity Services i sprawdź, czy mają atrybuty niezbędne dla docelowego rozwiązania SAP Analytics Cloud.
Uwaga
Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. Sprawdź, czy użytkownicy mają odpowiedni dostęp do docelowych elementów podrzędnych SAP, a po zalogowaniu mają odpowiednie role.
Krok 4. Konfigurowanie aprowizacji z usług SAP Cloud Identity Services do rozwiązania SAP Analytics Cloud Cloud
W tym kroku użyj usługi SAP Cloud Identity Services Identity Provisioning, aby skonfigurować chmurę SAP Analytics jako system docelowy, w którym można aprowizować użytkowników i członków grupy. Aby zapoznać się z rozwiązaniem SAP Analytics Cloud, zobacz dokumentację systemu SAP dotyczącą aprowizacji w chmurze SAP Analytics.
Krok 5. Konfigurowanie logowania jednokrotnego
Po skonfigurowaniu aprowizacji dla użytkowników w aplikacjach SAP należy włączyć dla nich logowanie jednokrotne. Microsoft Entra ID może służyć jako dostawca tożsamości i urząd uwierzytelniania dla aplikacji SAP. Jeśli jeszcze tego nie zrobiono, skonfiguruj integrację logowania jednokrotnego (SSO) firmy Microsoft z usługą SAP Cloud Identity Services.
Aby uzyskać więcej informacji na temat konfigurowania logowania jednokrotnego do aplikacji SAP SaaS i nowoczesnych, zobacz włączanie logowania jednokrotnego.