Gerencie o acesso aos seus aplicativos SAP
O software e os serviços SAP provavelmente executam funções críticas, como RH e ERP, para sua organização. Ao mesmo tempo, sua organização depende da Microsoft para vários serviços do Azure, Microsoft 365 e Microsoft Entra ID Governance para gerenciar o acesso a aplicativos. Este artigo descreve como você pode usar o Identity Governance para gerenciar identidades em seus aplicativos SAP.
Migrar do SAP Identity Management
Se você estiver usando o SAP Identity Management (IDM), poderá migrar cenários de gerenciamento de identidades do SAP IDM para o Microsoft Entra. Para obter mais informações, consulte Migrar cenários de gerenciamento de identidades do SAP IDM para o Microsoft Entra.
Traga identidades do RH para o Microsoft Entra ID
O plano tutorial de implantação do Microsoft Entra para provisionamento de usuários com aplicativos de origem e destino SAP ilustra como conectar o Microsoft Entra a fontes autorizadas para a lista de trabalhadores em uma organização, como SAP SuccessFactors. Ele também mostra como usar o Microsoft Entra para configurar identidades para esses trabalhadores. Em seguida, você aprenderá a usar o Microsoft Entra para fornecer aos trabalhadores acesso para entrar em um ou mais aplicativos SAP, como SAP ECC ou SAP S/4HANA.
SuccessFactors
Os clientes que usam o SAP SuccessFactors podem facilmente trazer identidades de SuccessFactors para o Microsoft Entra ID ou de SuccessFactors para o Ative Directory local usando conectores nativos. Os conectores suportam os seguintes cenários:
- Contratação de novos funcionários: Quando um novo funcionário é adicionado ao SuccessFactors, uma conta de usuário é criada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos de software como serviço (SaaS) suportados pelo Microsoft Entra ID. Este processo inclui write-back do endereço de e-mail para SuccessFactors.
- Atualizações de atributos e perfis de funcionários: Quando um registro de funcionário é atualizado no SuccessFactors (como nome, título ou gerente), a conta de usuário do funcionário é atualizada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS suportados pelo Microsoft Entra ID.
- Rescisões de funcionários: Quando um funcionário é encerrado no SuccessFactors, a conta de usuário do funcionário é automaticamente desabilitada no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS suportados pelo Microsoft Entra ID.
- Recontratações de funcionários: Quando um funcionário é recontratado no SuccessFactors, a conta antiga do funcionário pode ser reativada ou reprovisionada automaticamente (dependendo da sua preferência) para o Microsoft Entra ID e, opcionalmente, para o Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID.
Você também pode gravar de volta do Microsoft Entra ID para SAP SuccessFactors.
SAP HCM
Os clientes que ainda usam o SAP Human Capital Management (HCM) também podem trazer identidades para o Microsoft Entra ID. Usando o SAP Integration Suite, você pode sincronizar listas de trabalhadores entre o SAP HCM e o SAP SuccessFactors. A partir daí, você pode trazer identidades diretamente para o ID do Microsoft Entra ou provisioná-las nos Serviços de Domínio Ative Directory usando as integrações de provisionamento nativas mencionadas anteriormente.
Fornecer acesso a aplicativos SAP
Além das integrações de provisionamento nativas que permitem gerenciar o acesso aos seus aplicativos SAP, o Microsoft Entra ID oferece suporte a um rico conjunto de integrações com esses aplicativos.
Ativar o SSO
Além de configurar o provisionamento para seus aplicativos SAP, você pode habilitar o SSO para eles. O Microsoft Entra ID pode servir como o provedor de identidade e servir como a autoridade de autenticação para seus aplicativos SAP. O Microsoft Entra ID pode ser integrado ao SAP NetWeaver usando SAML ou OAuth. Para SAP SaaS e aplicativos modernos, saiba como configurar o Microsoft Entra ID como o provedor de identidade corporativa para seus aplicativos SAP por meio do SAP Cloud Identity Services.
Para obter mais informações sobre como configurar o logon único a partir do Microsoft Entra ID, consulte a seguinte documentação e tutoriais:
- Serviços SAP Cloud Identity
- SAP SuccessFactors
- Nuvem do SAP Analytics
- SAP Fiori
- SAP Ariba
- SAP Concur Viagens e Despesas
- Plataforma SAP Business Technology
- SAP Business ByDesign
- SAP HANA
- SAP Cloud para Cliente
- Vidro de campo SAP
Consulte também as seguintes postagens de blog e recursos SAP:
- Integração SAP GUI MFA com Microsoft Entra com SAP Secure Login Service e integração com Microsoft Entra Private Access
- Gerenciamento de acesso ao SAP BTP
- Configuração do Gateway de Aplicativo do Azure do Logon Único SAML para URLs SAP públicas e internas
- Logon único usando os Serviços de Domínio Microsoft Entra e Kerberos
Provisionar identidades em aplicativos SAP modernos
Depois que os usuários estiverem no Microsoft Entra ID, você poderá provisionar contas nos vários aplicativos SaaS e SAP locais aos quais eles precisam acessar. Você tem duas maneiras de fazer isso:
- Use o aplicativo corporativo SAP Cloud Identity Services no Microsoft Entra ID para provisionar identidades no SAP Cloud Identity Services. Depois de trazer todas as identidades para o SAP Cloud Identity Services, você pode usar o SAP Cloud Identity Services - Identity Provisioning para provisionar as contas de lá para seus aplicativos quando necessário.
- Use a integração do SAP Cloud Identity Services - Identity Provisioning para exportar diretamente identidades do ID do Microsoft Entra para aplicativos integrados do SAP Cloud Identity Services. Quando você usa o SAP Cloud Identity Services - Identity Provisioning para trazer usuários para esses aplicativos, toda a configuração de provisionamento para esses aplicativos é gerenciada diretamente no SAP. Você ainda pode usar o aplicativo corporativo no Microsoft Entra ID para gerenciar o SSO e usar o Microsoft Entra ID como o provedor de identidade corporativa.
Provisionar identidades em sistemas SAP locais
Depois de ter usuários no Microsoft Entra ID, você pode provisionar esses usuários do Microsoft Entra ID para o SAP Cloud Identity Services ou SAP ECC, para permitir que eles entrem em aplicativos SAP. Se você tiver SAP S/4HANA On-premise
, provisione os usuários do Microsoft Entra ID para o SAP Cloud Identity Directory. Em seguida, o SAP Cloud Identity Services provisiona os usuários originários do Microsoft Entra ID que estão no SAP Cloud Identity Directory para os aplicativos SAP downstream para o SAP S/4HANA On-Premise por meio do conector de nuvem SAP.
Os clientes que ainda não fizeram a transição de aplicativos como SAP R/3 e SAP ERP Central Component (SAP ECC) para SAP S/4HANA ainda podem contar com o serviço de provisionamento Microsoft Entra para provisionar contas de usuário. No SAP R/3 e no SAP ECC, você expõe as BAPIs (Business Application Programming Interfaces) necessárias para criar, atualizar e excluir usuários. Dentro do Microsoft Entra ID, você tem duas opções:
- Use o agente de provisionamento leve do Microsoft Entra e o conector de serviços Web para provisionar usuários em aplicativos como o SAP ECC.
- Em cenários em que você precisa fazer um gerenciamento de grupo e função mais complexo, use o Microsoft Identity Manager para gerenciar o acesso aos aplicativos SAP herdados.
Você também pode usar o Microsoft Entra ID para provisionar trabalhadores no Ative Directory, bem como outros sistemas locais que o SAP Cloud Identity Services não suporta para provisionamento.
Acionar fluxos de trabalho personalizados
Quando um novo funcionário é contratado em sua organização, talvez seja necessário acionar um fluxo de trabalho em seus sistemas SAP locais para tarefas adicionais além do provisionamento de usuários. Usando a extensibilidade dos Aplicativos Lógicos dos fluxos de trabalho do ciclo de vida do Microsoft Entra ou a extensibilidade dos Aplicativos Lógicos de gerenciamento de direitos do Microsoft Entra com o conector SAP nos Aplicativos Lógicos do Azure, você pode acionar ações personalizadas no SAP ao contratar um novo funcionário.
Verificação da separação de funções
Com as verificações de separação de tarefas no gerenciamento de direitos do Microsoft Entra, os clientes podem garantir que os usuários não assumam direitos de acesso excessivos:
- Os administradores e gerentes de acesso podem impedir que os usuários solicitem pacotes de acesso extras se já estiverem atribuídos a outros pacotes de acesso ou se forem membros de outros grupos incompatíveis com o acesso solicitado.
- As empresas com requisitos normativos críticos para aplicativos SAP têm uma visão única e consistente dos controles de acesso. Em seguida, eles podem impor verificações de separação de tarefas em seus aplicativos financeiros e outros aplicativos críticos para os negócios, juntamente com os aplicativos integrados do Microsoft Entra.
- Com as integrações do Microsoft Entra à governança de acesso SAP, ao Pathlock e a outros produtos de parceiros, os clientes podem aproveitar os riscos adicionais e as verificações refinadas de separação de tarefas impostas nesses produtos, com pacotes de acesso na Governança de ID do Microsoft Entra.
Orientações adicionais
Para obter mais informações sobre integrações SAP com o Microsoft Entra ID, consulte a seguinte documentação:
- Acesso seguro com o SAP Cloud Identity Services e o Microsoft Entra ID
- Segurança da carga de trabalho SAP - Microsoft Azure Well-Architected Framework
- Serviços e parceiros de integração para implantação do Microsoft Entra com aplicativos SAP