Configurar listas de controle de acesso no Microsoft Entra ID
Os usuários só precisam de acesso aos aplicativos e fluxos que se alinham à sua função departamental. Você pode criar grupos de segurança do Microsoft Entra ID com base em processos de negócios e atribuir membros da equipe aos grupos apropriados. Os grupos de segurança controlam o acesso do usuário aos aplicativos e a visibilidade dos vários componentes dentro dos aplicativos.
Criar grupos de segurança do Microsoft Entra ID
O modelo de implantação a seguir ilustra como você atribui usuários a diferentes grupos de segurança do Microsoft Entra ID com base em sua função departamental.
Grupo de segurança do administrador
Configure um ou mais administradores para uma equipe de Administração do SAP Procurement.
Grupos de segurança funcionais
Os grupos de segurança podem se alinhar a processos de negócios específicos. Atribua todos os usuários que participam do processo de aquisição ao pagamento a uma ou mais das seis equipes de usuários diferentes:
- Gerenciamento de fornecedores
- Requisições de compra
- Ordens de compra
- Recebimento de mercadorias de fornecedores
- Fatura de fornecedor
- Pagamentos de fornecedores
Este modelo é usado em todo o restante deste documento para mostrar a intenção, mas sua configuração pode diferir com base em seus requisitos.
Mais informações:
- Saiba mais sobre grupos e direitos de acesso em Microsoft Entra
- Equipes (incluindo equipes de grupo)
Criar equipes do grupo do Dataverse
Os administradores gerenciam os itens de menu visíveis aos usuários nos aplicativos de tela diretamente no aplicativo SAP Administrator. Dataverse a associação ao grupo controla o acesso e a visibilidade dos itens do menu. Os grupos de segurança do Microsoft Entra ID controlam os membros da equipe do grupo do Dataverse e garantem uma das duas opções:
- Os usuários têm visibilidade e acesso aos itens de menu apropriados nos aplicativos de tela quando são adicionados a um ou mais grupos de segurança.
- Os usuários perdem visibilidade e acesso quando são removidos de um grupo de segurança.
Além disso, a visibilidade do menu conduz o comportamento detalhado em determinados campos nos aplicativos de tela. Por exemplo, se um usuário não fizer parte da equipe de ordens de compra, ele só poderá visualizar o número da ordem de compra associado à requisição no aplicativo SAP Requisition Management. Eles não podem detalhar para ver todos os detalhes da ordem de compra.
Mais informações: Trabalhar com equipes do grupo do Microsoft Entra ID
Etapas para gerenciar equipes
Siga estas etapas para criar equipes e definir configurações de segurança:
- Entre no centro de administração do Power Platform.
- Acesse Ambientes e selecione o ambiente que contém as soluções.
- Acesse Configurações>Usuários + permissões>Teams.
- Selecione + Criar Equipe.
- Preencha os campos obrigatórios. Para Tipo de equipe, selecione Grupo de Segurança do Microsoft Entra ID. Você também precisará preencher Nome do grupo e Tipo de associação.
- Pesquise o grupo de segurança de exemplo criado anteriormente no Microsoft Entra ID e associe-o à equipe do grupo recém-criada.
- Atribua direitos de acesso às equipes que correspondem às funções da equipe.
Orientação do direito de acesso
A tabela a seguir fornece orientação para atribuir funções de segurança:
| Nome da Equipe do Dataverse | Usuário do Modelo SAP | Administrador de Modelo SAP | Usuário Básico |
|---|---|---|---|
| Gerenciamento de fornecedores | X | X | |
| Requisições de compra | X | X | |
| Ordens de compra | X | X | |
| Recebimento de mercadorias de fornecedores | X | X | |
| Fatura de fornecedor | X | X | |
| Pagamentos de fornecedores | X | X | |
| Administrador | X | X |
Observação
- Os usuários são adicionados ou removidos de uma equipe de grupo com base em sua associação ao grupo de segurança do Microsoft Entra ID vinculado.
- O acesso aos dados do Dataverse é regido pela associação da equipe com níveis de acesso diferenciados entre usuário de integração SAP e as atribuições de função de segurança do administrador de integração SAP para as equipes.
- A configuração da equipe do grupo do Dataverse no centro de administração do Power Platform também pode ser vista no aplicativo SAP Admin para referência.
Mais informações: Gerenciar equipes do grupo, Direitos de acesso e privilégios
Compartilhe o acesso aos aplicativos e fluxos
Os membros do grupo de segurança só podem acessar aplicativos e fluxos compartilhados com eles. Use o modelo de grupos de segurança como exemplo para ajudá-lo a configurar grupos de segurança para sua organização.
Compartilhe os fluxos com Executar somente privilégios para que os usuários tenham acesso aos fluxos incorporados e os serviços de usuário do conector SAP ERP, Dataverse e Office 365 usem as credenciais do usuário do acionador.
Aviso
A falha ao alterar os privilégios Somente Leitura dos fluxos impedirá que os serviços do conector transmitam as credenciais do usuário. O compartilhamento de conexões do Dataverse e do Office 365 deve ser limitado.
Etapas para compartilhar aplicativos
- Acesse os aplicativos individuais no Power Apps.
- Selecione a opção Compartilhar.
- Pesquise e selecione o grupo de segurança apropriado que contém os membros que precisam acessar esse aplicativo.
- Selecione Compartilhar. Você também pode escolher se deseja ou não incluir um convite por email (não obrigatório).
Etapas para compartilhar fluxos
- Acesse os fluxos de nuvem individuais no Power Apps.
- Acesse a seção Executar somente usuários e selecione Editar.
- Convide usuários do sistema e equipes procurando e selecionando os grupos de segurança da ID do Microsoft Entra que precisam ter acesso ao fluxo de acordo com os aplicativos de tela que essa equipe precisa usar.
- Para todas as três conexões usadas, selecione a opção Fornecido pelo usuário final somente execução.
- Selecione Salvar.
Compartilhando o resumo
Esta tabela oferece um resumo de mapeamento de quais componentes precisam ser atribuídos ou compartilhados de acordo com as equipes do grupo de segurança da ID do Microsoft Entra de exemplo.
| Componente | Type | Equipe de gerenciamento de fornecedor | Equipe de requisições de compra | Equipe de ordens de compra | Equipe de recebimento de mercadorias de fornecedores | Equipe de fatura do fornecedor | Equipe de pagamentos de fornecedores | Equipe de administração |
|---|---|---|---|---|---|---|---|---|
| SAP Vendor Management | Aplicativo | X | ||||||
| SAP Purchase Requisitions | Aplicativo | X | ||||||
| Ordens de Compra SAP | Aplicativo | X | ||||||
| Recebimentos de Mercadorias SAP | Aplicativo | X | ||||||
| Fatura de Fornecedor SAP | Aplicativo | X | ||||||
| Pagamentos de Fornecedores SAP | Aplicativo | X | ||||||
| Administrador de Modelo SAP | Aplicativo | X | ||||||
| ApprovePurchaseOrder | fluxo | X | ||||||
| ApproveVendorInvoice | fluxo | X | ||||||
| ConvertRequisitionToPurchaseOrder | fluxo | X | ||||||
| CreateGoodsReceipt | fluxo | X | ||||||
| CreatePurchaseOrder | fluxo | X | ||||||
| CreateRequisition | fluxo | X | ||||||
| CreateVendor | fluxo | X | ||||||
| CreateVendorInvoice | fluxo | X | ||||||
| ReadGLAccount | fluxo | X | X | X | ||||
| ReadGLAccountList | fluxo | X | X | X | ||||
| ReadGoodsReceipt | fluxo | X | X | X | ||||
| ReadGoodsReceiptList | fluxo | X | X | X | ||||
| ReadMaterial | fluxo | X | X | X | X | X | X | |
| ReadMaterialList | fluxo | X | X | X | X | X | X | |
| ReadPurchaseOrder | fluxo | X | X | X | X | |||
| ReadPurchaseOrderList | fluxo | X | X | X | X | |||
| ReadRequisition | fluxo | X | X | X | ||||
| ReadRequisitionList | fluxo | X | X | X | ||||
| ReadVendor | fluxo | X | X | X | X | X | X | |
| ReadVendorInvoice | fluxo | X | X | X | X | |||
| ReadVendorInvoiceList | fluxo | X | X | X | X | |||
| ReadVendorList | fluxo | X | X | X | X | X | X | |
| ReadVendorPayment | fluxo | X | X | X | ||||
| ReadVendorPaymentList | fluxo | X | X | X | ||||
| ReverseVendorInvoice | fluxo | X | ||||||
| UpdatePurchaseOrder | fluxo | X | ||||||
| UpdateVendor | fluxo | X | ||||||
| UpdateVendorInvoice | fluxo | X |
Mais informações:
- Compartilhe um aplicativo Canvas
- Compartilhe um aplicativo baseado em modelo
- Compartilhe um fluxo da nuvem