Tutorial: Configurar o Microsoft Entra ID e o SAP Cloud Identity Services para provisionamento automático de usuários no SAP Analytics Cloud
Este tutorial descreve as etapas que você precisa executar no SAP Cloud Identity Services e no Microsoft Entra ID para configurar o provisionamento automático de usuários. Quando configurado, o Microsoft Entra ID provisiona e desprovisiona automaticamente os usuários para o SAP Analytics Cloud usando o serviço de provisionamento Microsoft Entra e o SAP Cloud Identity Services. Para obter detalhes importantes sobre o que o provisionamento do Microsoft Entra faz, como ele funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Capacidades suportadas
- Crie usuários no SAP Analytics Cloud para habilitar o logon único no SAP Analytics Cloud
- Remover usuários no SAP Analytics Cloud quando eles não precisarem mais de acesso
- Mantenha os atributos do usuário sincronizados entre o Microsoft Entra ID e o SAP Analytics Cloud
Pré-requisitos
O cenário descrito neste tutorial pressupõe que você já tenha os seguintes pré-requisitos:
- Um locatário do Microsoft Entra
- Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos na Nuvem ou Proprietário de Aplicativos.
- Nuvem do SAP Analytics
- Locatário do SAP Cloud Identity Services
- Uma conta de usuário no console de administração do SAP Identity Provisioning com permissões de administrador. Verifique se você tem acesso aos sistemas proxy no console de administração do Provisionamento de Identidade. Se você não vir o bloco Sistemas de proxy, crie um incidente para que o componente BC-IAM-IPS solicite acesso a esse bloco.
Etapa 1: Planejar a implantação do provisionamento
O Microsoft Entra tem conectores para SAP ECC, SAP Cloud Identity Services e SAP SuccessFactors. O provisionamento no SAP Analytics Cloud ou em outros aplicativos exige que os usuários estejam presentes primeiro no Microsoft Entra ID. Depois de ter usuários no Microsoft Entra ID, você pode provisionar esses usuários do Microsoft Entra ID para o SAP Cloud Identity Services. Em seguida, o SAP Cloud Identity Services provisiona os usuários originários do Microsoft Entra ID que estão no SAP Cloud Identity Directory para os aplicativos SAP downstream, incluindo SAP Analytics Cloud, por meio do conector de nuvem SAP e outros.
Etapa 2: Verifique se você tem os usuários certos no Microsoft Entra ID
Você pode usar a entrada de RH de fontes como SuccessFactors para manter a lista de usuários no Microsoft Entra ID atualizada à medida que os funcionários entram, se movem e saem. Se planeja usar grupos ou atribuições de função de aplicativo para definir o escopo de quem pode acessar o SAP Analytics Cloud ou quais funções eles terão, e seu locatário tem uma licença para o Microsoft Entra ID Governance, você também pode automatizar as alterações nas atribuições de função de aplicativo no Microsoft Entra ID para aplicativos que representam o SAP Cloud Identity Services ou o SAP Analytics Cloud. Para obter mais informações sobre como executar a separação de funções e outras verificações de conformidade antes do provisionamento, consulte Migrar cenários de gerenciamento do ciclo de vida do acesso.
Para obter orientação passo a passo sobre o ciclo de vida da identidade com aplicativos SAP como destino, consulte Planejar a implantação do Microsoft Entra para provisionamento de usuários com aplicativos de origem e destino SAP.
Etapa 3: Configurar o provisionamento do Microsoft Entra ID para o SAP Cloud Identity Services
Para se preparar para provisionar usuários no SAP Analytics Cloud ou em outros aplicativos SAP integrados ao SAP Cloud Identity Services, confirme se o SAP Cloud Identity Services tem os mapeamentos de esquema necessários para esses aplicativos. Em seguida, configure o provisionamento de usuários do Microsoft Entra ID para o SAP Cloud Identity Services. O SAP Cloud Identity Services posteriormente provisionará os usuários para os aplicativos SAP downstream, conforme necessário.
Há duas maneiras de provisionar usuários do Microsoft Entra no SAP Cloud Identity Services.
Se você estiver usando grupos do Microsoft Entra ID, como para atribuir usuários a funções no SAP Analytics Cloud, use o provisionamento do SAP Cloud Identity Services. Primeiro, crie grupos do Microsoft Entra para suas funções de negócios SAP usadas no SAP Analytics Cloud. Em seguida, no provisionamento do SAP Cloud Identity Services, configure o Microsoft Entra ID como uma origem para trazer usuários e grupos do Microsoft Entra ID para o SAP Cloud Identity Services e mapeie os grupos criados para suas funções de negócios SAP. Para obter mais informações, consulte a documentação do SAP sobre como provisionar usuários do Microsoft Azure AD para o SAP Cloud Identity Services - Autenticação de identidade.
Como alternativa, se você não precisar usar grupos no Microsoft Entra ID, poderá usar o serviço de provisionamento do Microsoft Entra. Nesse cenário, crie um aplicativo que represente o SAP Analytics Cloud e atribua usuários que precisam de acesso ao SAP Analytics Cloud a esse aplicativo. Em seguida, configure o provisionamento automático de usuários com o Microsoft Entra ID para SAP Cloud Identity Services. Aguarde que esses usuários sejam provisionados no SAP Cloud Identity Services e verifique se eles têm os atributos necessários para o seu destino no SAP Analytics Cloud.
Observação
Comece pequeno. Teste com um pequeno conjunto de usuários e grupos antes de distribuir para todos. Verifique se os usuários têm o acesso certo nos destinos downstream do SAP e, quando fazem login, eles têm as funções certas.
Etapa 4: Configurar o provisionamento do SAP Cloud Identity Services para o SAP Analytics Cloud
Nesta etapa, use o SAP Cloud Identity Services Identity Provisioning para configurar o SAP Analytics Cloud como um sistema de destino, onde você pode provisionar usuários e membros do grupo. Para o SAP Analytics Cloud, consulte a documentação do SAP sobre provisionamento para o SAP Analytics Cloud.
Etapa 5: Configurar o logon único
Depois de configurar o provisionamento para usuários em seus aplicativos SAP, você deve habilitar o logon único para eles. O Microsoft Entra ID pode servir como provedor de identidade e autoridade de autenticação para seus aplicativos SAP. Se você ainda não tiver feito isso, configure a integração de logon único (SSO) do Microsoft Entra com o SAP Cloud Identity Services.
Para obter mais informações sobre como configurar o logon único para SAP SaaS e aplicativos modernos, consulte habilitar SSO.