Migrar cenários de gerenciamento de identidades do SAP IDM para o Microsoft Entra

Artigo
08/25/2024

Além de seus aplicativos de negócios, a SAP oferece uma gama de tecnologias de gerenciamento de identidade e acesso, incluindo SAP Cloud Identity Services e SAP Identity Management (SAP IDM) para ajudar seus clientes a manter as identidades em seus aplicativos SAP. O SAP IDM, que as organizações implantam localmente, historicamente fornecia gerenciamento de identidade e acesso para implantações do SAP R/3. A SAP encerrará a manutenção do SAP Identity Management. Para as organizações que estavam usando o SAP Identity Management, a Microsoft e a SAP estão colaborando para desenvolver orientações para que essas organizações migrem seus cenários de gerenciamento de identidades do SAP Identity Management para o Microsoft Entra.

A modernização da identidade é um passo crítico e essencial para melhorar a postura de segurança de uma organização e proteger seus usuários e recursos contra ameaças de identidade. É um investimento estratégico que pode oferecer benefícios substanciais além de uma postura de segurança mais forte, como melhorar a experiência do usuário e otimizar a eficiência operacional. Os administradores de muitas organizações expressaram interesse em mover o centro de seus cenários de gerenciamento de identidade e acesso inteiramente para a nuvem. Algumas organizações não terão mais um ambiente local, enquanto outras integram o gerenciamento de identidade e acesso hospedado na nuvem com seus aplicativos, diretórios e bancos de dados locais restantes. Para obter mais informações sobre a transformação na nuvem para serviços de identidade, consulte Postura de transformação na nuvem e transição para a nuvem.

O Microsoft Entra oferece uma plataforma de identidade universal hospedada na nuvem que fornece aos seus funcionários, parceiros e clientes uma única identidade para acessar aplicativos locais e na nuvem e colaborar a partir de qualquer plataforma e dispositivo. Este documento fornece orientação sobre opções e abordagens de migração para mover cenários de Gerenciamento de Identidade e Acesso (IAM) do SAP Identity Management para serviços hospedados na nuvem do Microsoft Entra e será atualizado à medida que novos cenários forem disponibilizados para migração.

Visão geral do Microsoft Entra e suas integrações de produtos SAP

O Microsoft Entra é uma família de produtos que inclui o Microsoft Entra ID (anteriormente Azure Ative Directory) e o Microsoft Entra ID Governance. O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem que funcionários e convidados podem usar para acessar recursos. Ele fornece autenticação forte e acesso adaptável seguro e integra-se com aplicativos legados locais e milhares de aplicativos SaaS (software como serviço), oferecendo uma experiência perfeita ao usuário final. O Microsoft Entra ID Governance oferece recursos adicionais para estabelecer automaticamente identidades de usuário nos aplicativos que os usuários precisam acessar e atualizar e remover identidades de usuário à medida que o status do trabalho ou as funções mudam.

O Microsoft Entra fornece interfaces de usuário, incluindo o centro de administração do Microsoft Entra, os portais myapps e myaccess, e fornece uma API REST para operações de gerenciamento de identidade e autosserviço delegado ao usuário final. O Microsoft Entra ID inclui integrações para SuccessFactors, SAP ERP Central Component (SAP ECC) e, por meio do SAP Cloud Identity Services, pode fornecer provisionamento e logon único para o S/4HANA e muitos outros aplicativos SAP. Para obter mais informações sobre essas integrações, consulte Gerenciar o acesso aos seus aplicativos SAP. O Microsoft Entra também implementa protocolos padrão como SAML, SCIM, SOAP e OpenID Connect para se integrar diretamente com muitos outros aplicativos para logon único e provisionamento. O Microsoft Entra também tem agentes, incluindo a sincronização na nuvem do Microsoft Entra Connect e um agente de provisionamento para conectar os serviços de nuvem do Microsoft Entra com aplicativos, diretórios e bancos de dados locais de uma organização.

O diagrama a seguir ilustra um exemplo de topologia para provisionamento de usuário e logon único. Nessa topologia, os trabalhadores são representados em SuccessFactors e precisam ter contas em um domínio do Ative Directory do Windows Server, em aplicativos de nuvem Microsoft Entra, SAP ECC e SAP. Este exemplo ilustra uma organização que tem um domínio do Windows Server AD; no entanto, o Windows Server AD não é necessário.

Planejando uma migração de cenários de gerenciamento de identidades para o Microsoft Entra

Desde a introdução do SAP IDM, o cenário de gerenciamento de identidade e acesso evoluiu com novos aplicativos e novas prioridades de negócios e, portanto, as abordagens recomendadas para lidar com casos de uso do IAM serão, em muitos casos, diferentes hoje do que as organizações implementadas anteriormente para o SAP IDM. Portanto, as organizações devem planejar uma abordagem em estágios para a migração de cenários. Por exemplo, uma organização pode priorizar a migração de um cenário de redefinição de senha de autoatendimento do usuário final como uma etapa e, quando isso for concluído, mover um cenário de provisionamento. Por outro exemplo, a organização pode optar por implantar primeiro os recursos do Microsoft Entra em um locatário de preparo separado, operado em paralelo com o sistema de gerenciamento de identidade existente e o locatário de produção, e, em seguida, trazer configurações para cenários um a um do locatário de preparo para o locatário de produção e encerrar esse cenário do sistema de gerenciamento de identidade existente. A ordem na qual uma organização escolhe mover seus cenários dependerá de suas prioridades gerais de TI e do impacto sobre outras partes interessadas, como usuários finais que precisam de uma atualização de treinamento ou proprietários de aplicativos. As organizações também podem estruturar a migração de cenários do IAM juntamente com outras modernizações de TI, como mover outros cenários fora do gerenciamento de identidades da tecnologia SAP local para SuccessFactors, S/4HANA ou outros serviços em nuvem. Você também pode usar esta oportunidade para limpar e remover integrações desatualizadas, direitos de acesso ou funções, e consolidar quando necessário.

Para começar a planejar sua migração,

Identifique os casos de uso atuais e planejados do IAM em sua estratégia de modernização do IAM.
Analise os requisitos desses casos de uso e faça corresponder esses requisitos aos recursos dos serviços do Microsoft Entra.
Determine prazos e partes interessadas para a implementação de novos recursos do Microsoft Entra para dar suporte à migração.
Determine o processo de substituição para que seus aplicativos movam os controles de logon único, ciclo de vida de identidade e ciclo de vida de acesso para o Microsoft Entra.

Como uma migração SAP IDM provavelmente envolverá integrações com aplicativos SAP existentes, analise as integrações com fontes SAP e direcione as diretrizes de metas para determinar a sequência de integração de aplicativos e como os aplicativos se integrarão ao Microsoft Entra.

Serviços e parceiros de integração para implantação do Microsoft Entra com aplicativos SAP

Os parceiros também podem ajudar sua organização com o planejamento e a implantação do Microsoft Entra com aplicativos SAP, como o SAP S/4HANA. Os clientes podem contratar parceiros listados no Microsoft Solution Partner finder ou podem escolher entre esses serviços e parceiros de integração listados na tabela a seguir. As descrições e as páginas ligadas são fornecidas pelos próprios parceiros. Você pode usar a descrição para identificar um parceiro para implantar o Microsoft Entra com aplicativos SAP que você pode querer contatar e saber mais sobre.

Nome	Descrição
Accenture e Avanade	"A Accenture e a Avanade são líderes globais em segurança da Microsoft e serviços SAP. Com nossa combinação exclusiva de habilidades Microsoft e SAP, podemos ajudá-lo a entender e planejar com sucesso uma migração do SAP IdM para o Microsoft Entra ID. Por meio de nossos ativos de entrega e experiência, a Avanade e a Accenture podem ajudá-lo a acelerar seu projeto de migração para atingir suas metas com menos riscos. A Accenture está posicionada de forma única para ajudar grandes empresas globais, complementada pela profunda experiência da Avanade em apoiar empresas de médio a grande porte em sua jornada de migração. Nosso amplo conhecimento e experiência podem ajudá-lo a acelerar sua jornada para substituir o SAP IdM, maximizando seu investimento no Microsoft Entra ID."
Campana & Schott	"A Campana & Schott é uma consultoria internacional de gestão e tecnologia com mais de 600 funcionários na Europa e nos EUA. Combinamos mais de 30 anos de experiência em gestão e transformação de projetos com conhecimentos aprofundados em tecnologias Microsoft, estratégia de TI e organização de TI. Como Parceiro de Soluções Microsoft para Microsoft Cloud, fornecemos segurança moderna para Microsoft 365, aplicativos SaaS e aplicativos locais legados."
Tecnologia DXC	"A DXC Technology ajuda as empresas globais a executar seus sistemas e operações de missão crítica enquanto moderniza a TI, otimiza as arquiteturas de dados e garante segurança e escalabilidade em nuvens públicas, privadas e híbridas. Com 30+ anos de parceria estratégica global com a Microsoft e a SAP, a DXC tem uma rica experiência em implementações SAP IDM em todos os setores."
Edgile, uma empresa Wipro	"A Edgile, uma empresa Wipro, baseia-se em 25 anos de experiência com SAP e Microsoft 365 para migrar perfeitamente o gerenciamento de identidade e acesso (IDM) para nossos valiosos clientes. Como Microsoft Entra Launch Partner e SAP Global Strategic Services Partner (GSSP), destacamo-nos no campo da modernização do IAM e gestão da mudança. Nossa equipe de especialistas da Edgile e Wipro adota uma abordagem única, garantindo transformações bem-sucedidas de identidade e segurança na nuvem para nossos clientes."
Solução IB	"A IBsolution é uma das mais experientes consultorias SAP Identity Management em todo o mundo, com um histórico de mais de 20 anos. Com uma abordagem estratégica e soluções pré-embaladas, a empresa acompanha os clientes na transição do SAP IdM para o sucessor de IdM mais recomendado da SAP, o Microsoft Entra ID Governance."
Consultoria IBM	"A IBM Consulting é líder global em serviços de transformação Microsoft Security e SAP. Estamos bem posicionados para apoiar a migração SAP IdM dos nossos clientes para o Microsoft Entra ID. Nosso conhecimento e experiência no suporte a grandes clientes empresariais globais, combinados com profunda experiência em segurança cibernética, IA e serviços SAP, ajudam a oferecer uma jornada de transição perfeita com o mínimo de interrupção em serviços e funções de negócios críticos."
KPMG	"A KPMG e a Microsoft fortalecem ainda mais sua aliança, oferecendo uma proposta abrangente de governança de identidade. Ao navegar habilmente pelas complexidades da governança de identidade, a combinação das ferramentas avançadas do Microsoft Entra com o KPMG Powered Enterprise ajuda a impulsionar a transformação funcional. Essa sinergia pode impulsionar recursos digitais acelerados, melhorar a eficiência operacional, fortalecer a segurança e garantir a conformidade."
ObjektKultur	"Como um parceiro de longa data da Microsoft, a Objektkultur digitaliza processos de negócios por meio de consultoria, desenvolvimento e operações de soluções inovadoras de TI. Com profunda experiência na implementação de soluções de gerenciamento de identidade e acesso dentro da Microsoft Technologies e na integração de aplicativos, orientamos os clientes perfeitamente desde o SAP IDM descontinuado até o robusto Microsoft Entra, garantindo um gerenciamento de identidade e acesso seguro e simplificado na nuvem."
Patecco	"A PATECCO é uma empresa alemã de consultoria informática especializada no desenvolvimento, suporte e implementação de soluções de Gestão de Identidades e Acessos baseadas nas mais recentes tecnologias. Com alta experiência em IAM e parcerias com líderes da indústria, oferece serviços personalizados para clientes de vários setores, incluindo bancos, seguros, farmácia, energia, química e serviços públicos."
Protiviti	"Como Microsoft AI Cloud Solutions Partner e SAP Gold Partner, a experiência da Protiviti em soluções Microsoft e SAP é incomparável no setor. Reunir nossas poderosas parcerias fornecerá aos nossos clientes um conjunto de soluções abrangentes para gerenciamento centralizado de identidades e governança de funções."
PwC	"Os serviços de gerenciamento de identidade e acesso da PwC podem ajudar em todas as fases de capacidade, desde ajudar a avaliar seus recursos existentes implantados no SAP IDM até criar estratégias e planejar seu estado e visão futuros com o Microsoft Entra ID Governance. A PwC também pode apoiar e operar o ambiente como um serviço gerenciado após a entrada em operação."
SAP	"Com ampla experiência no projeto e implementação do SAP IDM, nossa equipe de consultoria SAP oferece ampla experiência na migração do SAP IDM para o Microsoft Entra. Com conexões fortes e diretas com o desenvolvimento SAP, podemos impulsionar os requisitos dos clientes e implementar ideias inovadoras. A nossa experiência na integração com o Microsoft Entra permite-nos fornecer soluções personalizadas. Além disso, temos as melhores práticas para lidar com SAP Cloud Identity Services e integrar SAP com produtos de nuvem não SAP. Confie em nossa experiência e deixe nossa equipe de consultoria SAP apoiá-lo na migração para o Microsoft Entra ID."
SENTA-SE	"A SITS, fornecedora líder de segurança cibernética na região DACH, oferece suporte aos clientes com consultoria, engenharia, tecnologias de nuvem e serviços gerenciados de primeira linha. Como Parceiro de Soluções Microsoft para Segurança, Trabalho Moderno e Infraestrutura do Azure, oferecemos aos nossos clientes consultoria, implementação, suporte e serviços gerenciados sobre segurança, conformidade, identidade e privacidade."
Traxion	"A Traxion, parte do grupo SITS, opera na região do BeNeLux. A Traxion é uma empresa de segurança de TI com 160 funcionários e mais de 24 anos de experiência, especializada em soluções de Gestão de Identidade. Como parceiro da Microsoft, fornecemos serviços de consultoria, implementação e suporte de alto nível do IAM, garantindo relacionamentos fortes e duradouros com os clientes."

Orientação de migração para cada cenário SAP IDM

As seções a seguir fornecem links para orientação sobre como migrar cada cenário do SAP IDM para o Microsoft Entra. Nem todas as seções podem ser relevantes para cada organização, dependendo dos cenários do SAP IDM que uma organização implantou.

Certifique-se de monitorar este artigo, a documentação do produto Microsoft Entra e a documentação do produto SAP correspondente para obter atualizações, pois os recursos de ambos os produtos continuam a evoluir para desbloquear mais migração e novos cenários, incluindo integrações do Microsoft Entra com o SAP Access Control (SAP AC) e o SAP Cloud Identity Access Governance (SAP IAG).

Cenário SAP IDM	Orientações para o Microsoft Entra
Armazenamento de identidades SAP IDM	Migrar um repositório de identidades para um locatário do Microsoft Entra ID e migrar dados existentes do IAM para o locatário do Microsoft Entra ID
Gerenciamento de usuários no SAP IDM	Migrar cenários de gerenciamento de usuários
SAP SuccessFactors e outras fontes de RH	Integração com fontes SAP HR
Provisionamento de identidades para logon único em aplicativos	Provisão para sistemas SAP, Provisionamento para sistemas não-SAP e Migração de autenticação e logon único
Autosserviço do usuário final	Migrar autosserviço do usuário final
Atribuição de função e atribuição de acesso	Migrar cenários de gerenciamento do ciclo de vida do acesso
Relatórios	Usar o Microsoft Entra para relatórios
Federação de identidades	Migrar a troca de informações de identidade entre os limites organizacionais
Servidor de diretório	Migrar aplicativos que exigem serviços de diretório
Extensões	Estenda o Microsoft Entra através de interfaces de integração

Migrar um repositório de identidades para um locatário do Microsoft Entra ID

No SAP IDM, um Repositório de Identidades é um repositório de informações de identidade, incluindo usuários, grupos e sua trilha de auditoria. No Microsoft Entra, um locatário é uma instância do ID do Microsoft Entra na qual residem informações sobre uma única organização, incluindo objetos organizacionais como usuários, grupos e dispositivos. Um locatário também contém políticas de acesso e conformidade para recursos, como aplicativos registrados no diretório. As principais funções servidas por um locatário incluem autenticação de identidade, bem como gerenciamento de acesso a recursos. Os locatários contêm dados organizacionais privilegiados e são isolados com segurança de outros locatários. Além disso, os locatários podem ser configurados para que os dados de uma organização persistam e sejam processados em uma região ou nuvem específica, o que permite que as organizações usem os locatários como um mecanismo para atender aos requisitos de conformidade de residência de dados e de tratamento.

As organizações que têm o Microsoft 365, o Microsoft Azure ou outros Microsoft Online Services já terão um locatário do Microsoft Entra ID subjacente a esses serviços. Além disso, uma organização pode ter locatários adicionais, como um locatário que tenha aplicativos específicos e que tenha sido configurado para atender a padrões como PCI-DSS aplicáveis a esses aplicativos. Para obter mais informações sobre como determinar se um locatário existente é adequado, consulte Isolamento de recursos com vários locatários. Se a sua organização ainda não tiver um inquilino, reveja os planos de implementação do Microsoft Entra.

Antes de migrar cenários para um locatário do Microsoft Entra, você deve revisar as orientações passo a passo para:

Definir a política da organização com pré-requisitos de usuário e outras restrições de acesso a um aplicativo
Decida sobre a topologia de provisionamento e autenticação. Semelhante ao gerenciamento do ciclo de vida da identidade do SAP IDM, um único locatário do Microsoft Entra ID pode se conectar a vários aplicativos locais e na nuvem para provisionamento e logon único.
Certifique-se de que os pré-requisitos organizacionais sejam atendidos nesse locatário, incluindo ter as licenças apropriadas do Microsoft Entra nesse locatário para os recursos que você usará.

Migrar dados existentes do IAM para um locatário do Microsoft Entra ID

No SAP IDM, o Identity Store representa dados de identidade por meio de tipos de entrada como MX_PERSON, MX_ROLEou MX_PRIVILEGE.

Uma pessoa é representada em um locatário do Microsoft Entra ID como um usuário. Se você tiver usuários existentes que ainda não estão no Microsoft Entra ID, você pode trazê-los para o Microsoft Entra ID. Primeiro, se você tiver atributos nos usuários existentes que não fazem parte do esquema de ID do Microsoft Entra, estenda o esquema de usuário do Microsoft Entra com atributos de extensão para os atributos adicionais. Em seguida, execute um carregamento para criar em massa os usuários no Microsoft Entra ID a partir de uma fonte, como um arquivo CSV. Em seguida, emita credenciais para esses novos usuários para que eles possam se autenticar no Microsoft Entra ID.
Uma função comercial pode ser representada na Governança de ID do Microsoft Entra como um pacote de acesso de Gerenciamento de Direitos. Você pode controlar o acesso a aplicativos migrando um modelo de função organizacional para o Microsoft Entra ID Governance, o que resulta em um pacote de acesso para cada função comercial. Para automatizar o processo de migração, você pode usar o PowerShell para criar pacotes de acesso.
Um privilégio ou função técnica em um sistema de destino pode ser representado no Microsoft Entra como uma função de aplicativo ou como um grupo de segurança, dependendo dos requisitos do sistema de destino para como ele usa os dados de ID do Microsoft Entra para autorização. Para obter mais informações, consulte Integrando aplicativos com o Microsoft Entra ID e estabelecendo uma linha de base de acesso revisado.
Um grupo dinâmico tem representações possíveis separadas no Microsoft Entra. No Microsoft Entra, você pode manter automaticamente coleções de usuários, como todos com um valor específico de um atributo de centro de custo, usando grupos de associação dinâmica do Microsoft Entra ID ou gerenciamento de direitos de Governança de ID do Microsoft Entra com políticas de atribuição automática de pacote de acesso. Você pode usar cmdlets do PowerShell para criar grupos de associação dinâmica ou criar políticas de atribuição automática em massa.

Migrar cenários de gerenciamento de usuários

Por meio do centro de administração do Microsoft Entra, da API do Microsoft Graph e do PowerShell, os administradores podem executar facilmente atividades diárias de gerenciamento de identidades, incluindo a criação de um usuário, o bloqueio de um usuário de entrar, a adição de um usuário a um grupo ou a exclusão de um usuário.

Para permitir a operação em escala, o Microsoft Entra permite que as organizações automatizem seus processos de ciclo de vida de identidade.

Diagrama da relação Microsoft Entra no provisionamento com outras fontes e destinos.

No Microsoft Entra ID e no Microsoft Entra ID Governance, você pode automatizar os processos do ciclo de vida da identidade usando:

O provisionamento de entrada das fontes de RH da sua organização recupera informações do trabalhador do Workday e do SuccessFactors, para manter automaticamente as identidades dos usuários no Ative Directory e no Microsoft Entra ID.
Os usuários já presentes no Ative Directory podem ser criados e mantidos automaticamente no Microsoft Entra ID usando o provisionamento entre diretórios.
Os fluxos de trabalho do ciclo de vida do Microsoft Entra ID Governance automatizam tarefas de fluxo de trabalho que são executadas em determinados eventos importantes, como antes de um novo funcionário ser agendado para começar a trabalhar na organização, à medida que mudam de status durante seu tempo na organização e quando saem da organização. Por exemplo, um fluxo de trabalho pode ser configurado para enviar um e-mail com um passe de acesso temporário para o gerente de um novo usuário, ou um e-mail de boas-vindas para o usuário, no primeiro dia.
Políticas de atribuição automática no gerenciamento de direitos para adicionar e remover o grupo dinâmico de associação de um usuário, funções de aplicativo e funções de site do SharePoint, com base em alterações nos atributos do usuário. Os usuários também podem, mediante solicitação, ser atribuídos a grupos, Teams, funções do Microsoft Entra, funções de recursos do Azure e sites do SharePoint Online, usando o gerenciamento de direitos e o Gerenciamento de Identidades Privilegiadas, conforme mostrado na seção Gerenciamento do ciclo de vida do acesso .
Quando os usuários estiverem no Microsoft Entra ID com o grupo dinâmico de associação e as atribuições de função de aplicativo corretas, o provisionamento de usuários poderá criar, atualizar e remover contas de usuário em outros aplicativos, com conectores para centenas de aplicativos locais e na nuvem via SCIM, LDAP e SQL.
Para o ciclo de vida do convidado, você pode especificar no gerenciamento de direitos as outras organizações cujos usuários têm permissão para solicitar acesso aos recursos da sua organização. Quando uma solicitação desses usuários é aprovada, o gerenciamento de direitos os adiciona automaticamente como convidado B2B ao diretório da sua organização e atribui o acesso apropriado. E o gerenciamento de direitos remove automaticamente o usuário convidado B2B do diretório da sua organização quando seus direitos de acesso expiram ou são revogados.
As avaliações do Access automatizam as avaliações recorrentes de hóspedes existentes que já estão no diretório da sua organização e removem esses usuários do diretório da sua organização quando eles não precisam mais de acesso.

Ao migrar de outro produto do IAM, lembre-se de que as implementações de conceitos do IAM no Microsoft Entra podem ser diferentes das implementações desses conceitos em outros produtos do IAM. Por exemplo, as organizações podem expressar um processo de negócios para eventos do ciclo de vida, como a integração de novos funcionários, e alguns produtos do IAM implementaram isso por meio de um fluxo de trabalho em uma base de fluxo de trabalho. Por outro lado, o Microsoft Entra tem muitos procedimentos de automação incorporados e não exige que fluxos de trabalho sejam definidos para a maioria das atividades de automação de gerenciamento de identidade. Por exemplo, o Microsoft Entra pode ser configurado para que, quando um novo trabalhador é detetado em um sistema de registro de RH como SuccessFactors, o Microsoft Entra cria automaticamente contas de usuário para esse novo trabalhador no Windows Server AD, ID do Microsoft Entra, provisiona-as em aplicativos, adiciona-as a grupos e atribui-lhes licenças apropriadas. Da mesma forma, o processamento de aprovação de solicitação de acesso não requer que um fluxo de trabalho seja definido. No Microsoft Entra, os fluxos de trabalho só são necessários para as seguintes situações:

Os fluxos de trabalho podem ser usados no processo de Ingresso/Mover/Sair para um trabalhador, disponível com tarefas internas de fluxos de trabalho do ciclo de vida do Microsoft Entra. Por exemplo, um administrador pode definir um fluxo de trabalho com uma tarefa para enviar um email com um Passe de Acesso Temporário para um novo trabalhador. Um administrador também pode adicionar textos explicativos de fluxos de trabalho do ciclo de vida aos Aplicativos Lógicos do Azure durante os fluxos de trabalho Ingressar, Mover e Sair.
Os fluxos de trabalho podem ser usados para adicionar etapas no processo de solicitação de acesso e atribuição de acesso. As etapas para aprovação em vários estágios, verificação de separação de funções e expiração já estão implementadas no gerenciamento de direitos do Microsoft Entra. Um administrador pode definir textos explicativos do gerenciamento de direitos durante o processamento de solicitação de atribuição de pacote de acesso, concessão de atribuição e remoção de atribuição para fluxos de trabalho de Aplicativos Lógicos do Azure.

Integração com fontes SAP HR

As organizações que têm SAP SuccessFactors podem usar o SAP IDM para trazer dados de funcionários do SAP SUccessFactors. Essas organizações com SAP SuccessFactors podem migrar facilmente para trazer identidades para funcionários de SuccessFactors para o Microsoft Entra ID ou de SuccessFactors para o Ative Directory local, usando conectores de ID do Microsoft Entra. Os conectores suportam os seguintes cenários:

Contratação de novos funcionários: Quando um novo funcionário é adicionado ao SuccessFactors, uma conta de usuário é criada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos de software como serviço (SaaS) suportados pelo Microsoft Entra ID.
Atualizações de atributos e perfis de funcionários: Quando um registro de funcionário é atualizado no SuccessFactors (como nome, título ou gerente), a conta de usuário do funcionário é atualizada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS suportados pelo Microsoft Entra ID.
Rescisões de funcionários: Quando um funcionário é encerrado no SuccessFactors, a conta de usuário do funcionário é automaticamente desabilitada no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS suportados pelo Microsoft Entra ID.
Recontratações de funcionários: Quando um funcionário é recontratado no SuccessFactors, a conta antiga do funcionário pode ser reativada ou reprovisionada automaticamente (dependendo da sua preferência) para o Microsoft Entra ID e, opcionalmente, para o Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID.

Você também pode gravar de volta do ID do Microsoft Entra para as propriedades do SAP SuccessFactors , como endereço de e-mail.

Para obter orientação passo a passo sobre o ciclo de vida da identidade com o SAP SuccessFactors como origem, incluindo a configuração de novos usuários com credenciais apropriadas no Windows Server AD ou no Microsoft Entra ID, consulte Plan deploying Microsoft Entra for user provisioning with SAP source and target applications.

Algumas organizações também usaram o SAP IDM para ler o SAP Human Capital Management (HCM). As organizações que usam o SAP SuccessFactors e o SAP Human Capital Management (HCM) também podem trazer identidades para o Microsoft Entra ID. Usando o SAP Integration Suite, você pode sincronizar listas de trabalhadores entre o SAP HCM e o SAP SuccessFactors. A partir daí, você pode trazer identidades diretamente para o ID do Microsoft Entra ou provisioná-las nos Serviços de Domínio Ative Directory usando as integrações de provisionamento nativas mencionadas anteriormente.

Diagrama de integrações SAP HR.

Se você tiver outros sistemas de fontes de registro além do SuccessFactors ou do SAP HCM, poderá usar a API de provisionamento de entrada do Microsoft Entra para trazer trabalhadores desse sistema de registro como usuários no Windows Server ou no Microsoft Entra ID.

Provisão para sistemas SAP

A maioria das organizações com SAP IDM terá usado para provisionar usuários em SAP ECC, SAP IAS, SAP S/4HANA ou outros aplicativos SAP. O Microsoft Entra tem conectores para SAP ECC, SAP Cloud Identity Services e SAP SuccessFactors. O provisionamento no SAP S/4HANA ou em outros aplicativos exige que os usuários estejam presentes primeiro no Microsoft Entra ID. Depois de ter usuários no Microsoft Entra ID, você pode provisionar esses usuários do Microsoft Entra ID para o SAP Cloud Identity Services ou SAP ECC, para permitir que eles entrem em aplicativos SAP. Em seguida, o SAP Cloud Identity Services provisiona os usuários originários do Microsoft Entra ID que estão no SAP Cloud Identity Directory para os aplicativos SAP downstream, incluindo SAP S/4HANA Cloud, SAP S/4HANA On-premise por meio do conector de nuvem SAP, AS AMAP e outros.

Para obter orientação passo a passo sobre o ciclo de vida da identidade com aplicativos SAP como destino, consulte Planejar a implantação do Microsoft Entra para provisionamento de usuários com aplicativos de origem e destino SAP.

Para preparar o provisionamento de usuários em aplicativos SAP integrados ao SAP Cloud Identity Services, confirme se o SAP Cloud Identity Services tem os mapeamentos de esquema necessários para esses aplicativos e provisione os usuários do Microsoft Entra ID para o SAP Cloud Identity Services. O SAP Cloud Identity Services posteriormente provisionará os usuários para os aplicativos SAP downstream, conforme necessário. Em seguida, você pode usar a entrada de RH do SuccessFactors para manter a lista de usuários no ID do Microsoft Entra atualizada à medida que os funcionários entram, se movem e saem. Se o seu locatário tiver uma licença para o Microsoft Entra ID Governance, você também poderá automatizar as alterações nas atribuições de função do aplicativo no Microsoft Entra ID for SAP Cloud Identity Services. Para obter mais informações sobre como executar a separação de funções e outras verificações de conformidade antes do provisionamento, consulte Migrar cenários de gerenciamento do ciclo de vida do acesso.
Para obter orientação sobre como provisionar usuários no SAP ECC, confirme se as APIs de negócios (BAPIs) necessárias para SAP ECC estão prontas para o Microsoft Entra usar para gerenciamento de identidades e, em seguida, provisione os usuários do ID do Microsoft Entra para o SAP ECC.
Para obter orientação sobre como atualizar o registro de trabalhador do SAP SuccessFactor, consulte write back from Microsoft Entra ID to SAP SuccessFactors.
Se você estiver usando o SAP NetWeaver AS for Java com o Ative Directory do Windows Server como fonte de dados, a entrada Microsoft Entra SuccessFactors poderá ser usada para criar e atualizar usuários automaticamente no Windows Server AD.
Se você estiver usando o SAP NetWeaver AS for Java com outro diretório LDAP como fonte de dados, poderá configurar o ID do Microsoft Entra para provisionar usuários em diretórios LDAP.

Depois de configurar o provisionamento para usuários em seus aplicativos SAP, você deve habilitar o logon único para eles. O Microsoft Entra ID pode servir como provedor de identidade e autoridade de autenticação para seus aplicativos SAP. O Microsoft Entra ID pode ser integrado ao SAP NetWeaver usando SAML ou OAuth. Para obter mais informações sobre como configurar o logon único para SAP SaaS e aplicativos modernos, consulte habilitar SSO.

Provisão para sistemas não-SAP

As organizações também podem estar usando o SAP IDM para provisionar usuários para sistemas que não sejam SAP, incluindo o Windows Server AD e outros bancos de dados, diretórios e aplicativos. Você pode migrar esses cenários para o Microsoft Entra ID para que o Microsoft Entra ID provisione sua cópia desses usuários nesses repositórios.

Para organizações com o Windows Server AD, a organização pode estar usando o Windows Server AD como uma fonte para usuários e grupos para o SAP IDM trazer para o SAP R/3. Você pode usar o Microsoft Entra Connect Sync ou o Microsoft Entra Cloud Sync para trazer usuários e grupos do Windows Server AD para o Microsoft Entra ID. Além disso, a entrada do Microsoft Entra SuccessFactors pode ser usada para criar e atualizar usuários automaticamente no Windows Server AD e você pode gerenciar as associações de grupos no AD usadas por aplicativos baseados em AD. As caixas de correio do Exchange Online podem ser criadas automaticamente para os usuários por meio de uma atribuição de licença, usando o licenciamento baseado em grupo.
Para organizações com aplicativos que dependem de outros diretórios, é possível configurar o Microsoft Entra ID para provisionar usuários em diretórios LDAP, incluindo OpenLDAP, Microsoft Ative Directory Lightweight Directory Services, 389 Directory Server, Apache Directory Server, IBM Tivoli DS, Isode Directory, NetIQ eDirectory, Novell eDirectory, Open DJ, Open DS, Oracle (anteriormente Sun ONE) Directory Server Enterprise Edition e RadiantOne Virtual Directory Server (VDS). Você pode mapear os atributos dos usuários no Microsoft Entra ID para os atributos do usuário nesses diretórios e definir uma senha inicial, se necessário.
Para organizações com aplicativos que dependem de um banco de dados SQL, você pode configurar o Microsoft Entra ID para provisionar usuários em um banco de dados SQL por meio do driver ODBC do banco de dados. Os bancos de dados suportados incluem Microsoft SQL Server, Azure SQL, IBM DB2 9.x, IBM DB2 10.x, IBM DB2 11.5, Oracle 10g e 11g, Oracle 12c e 18c, MySQL 5.x, MySQL 8.x e Postgres. Você pode mapear os atributos dos usuários no Microsoft Entra ID para as colunas da tabela, ou parâmetros de procedimento armazenado, para esses bancos de dados. Para SAP HANA, consulte SAP Cloud Identity Services SAP HANA Database Connector (beta).
Se houver usuários existentes em um diretório ou banco de dados não AD que foram provisionados pelo SAP IDM e ainda não estão no Microsoft Entra ID e não podem ser correlacionados a um trabalhador no SAP SuccessFactors ou em outra fonte de RH, consulte Governar os usuários existentes de um aplicativo para obter orientação sobre como trazer esses usuários para o Microsoft Entra ID.
O Microsoft Entra tem integrações de provisionamento integradas com centenas de aplicativos SaaS; para obter uma lista completa de aplicativos que oferecem suporte ao provisionamento, consulte Integrações de governança de ID do Microsoft Entra. Os parceiros da Microsoft também oferecem integrações orientadas por parceiros com aplicativos especializados adicionais.
Para outros aplicativos desenvolvidos internamente, o Microsoft Entra pode provisionar para aplicativos em nuvem via SCIM e para aplicativos locais via SCIM, SOAP ou REST, PowerShell ou conectores entregues por parceiros que implementam a API ECMA. Se você já usava o SPML para provisionamento do SAP IDM, recomendamos atualizar os aplicativos para oferecer suporte ao protocolo SCIM mais recente.
Para aplicativos sem interface de provisionamento, considere usar o recurso Governança de ID do Microsoft Entra para automatizar a criação de tíquetes do ServiceNow para atribuir um tíquete a um proprietário de aplicativo quando um usuário é atribuído ou perde o acesso a um pacote de acesso.

Migrar autenticação e logon único

O Microsoft Entra ID atua como um serviço de token de segurança, permitindo que os usuários se autentiquem no Microsoft Entra ID com autenticação multifator e sem senha e, em seguida, tenham logon único em todos os seus aplicativos. O logon único do Microsoft Entra ID usa protocolos padrão, incluindo SAML, OpenID Connect e Kerberos. Para obter mais informações sobre o logon único para aplicativos em nuvem SAP, consulte Integração de logon único do Microsoft Entra com o SAP Cloud Identity Services.

As organizações que têm um provedor de identidade existente, como o Windows Server AD, para seus usuários podem configurar a autenticação de identidade híbrida, para que o Microsoft Entra ID dependa de um provedor de identidade existente. Para obter mais informações sobre padrões de integração, consulte escolher o método de autenticação correto para sua solução de identidade híbrida Microsoft Entra.

Se você tiver sistemas SAP locais, poderá modernizar a forma como os usuários da sua organização se conectam a esses sistemas com o Global Secure Access Client do Microsoft Entra Private Access. Os trabalhadores à distância não precisam de utilizar uma VPN para aceder a estes recursos se tiverem o Cliente de Acesso Seguro Global instalado. O cliente conecta-os silenciosa e perfeitamente aos recursos de que precisa. Para obter mais informações, consulte Microsoft Entra Private Access.

Migrar autosserviço do usuário final

As organizações podem ter usado a Ajuda de Logon do SAP IDM para permitir que seus usuários finais redefinissem a senha do Windows Server AD.

A redefinição de senha de autoatendimento (SSPR) do Microsoft Entra oferece aos usuários a capacidade de alterar ou redefinir sua senha, sem precisar do envolvimento do administrador ou do suporte técnico. Depois de configurar o Microsoft Entra SSPR, você pode exigir que os usuários se registrem quando entrarem. Em seguida, se a conta de um usuário estiver bloqueada ou ele esquecer sua senha, ele poderá seguir as instruções para se desbloquear e voltar ao trabalho. Quando os usuários alteram ou redefinem suas senhas usando SSPR na nuvem, as senhas atualizadas também podem ser gravadas de volta em um ambiente AD DS local. Para obter mais informações sobre como o SSPR funciona, consulte Redefinição de senha de autoatendimento do Microsoft Entra. Se você precisar enviar alterações de senha para outros sistemas locais, além do Microsoft Entra ID e do Windows Server AD, poderá fazer isso usando uma ferramenta como o Serviço de Notificação de Alteração de Senha (PCNS) com o Microsoft Identity Manager (MIM). Para encontrar informações sobre esse cenário, consulte o artigo Implantar o serviço de notificação de alteração de senha do MIM.

O Microsoft Entra também oferece suporte ao autosserviço do usuário final para gerenciamento de grupos e solicitações, aprovação e revisões de acesso de autoatendimento. Para obter mais informações sobre o gerenciamento de acesso pessoal por meio da Governança de ID do Microsoft Entra, consulte a seção a seguir sobre gerenciamento do ciclo de vida do acesso.

Migrar cenários de gerenciamento do ciclo de vida do acesso

As organizações podem ter integrado o SAP IDM com o SAP AC, anteriormente SAP GRC, ou SAP IAG para aprovações de acesso, avaliações de risco, verificações de separação de funções e outras operações.

O Microsoft Entra inclui várias tecnologias de gerenciamento do ciclo de vida do acesso para permitir que as organizações tragam seus cenários de gerenciamento de identidade e acesso para a nuvem. A escolha das tecnologias depende dos requisitos de aplicativos da sua organização e das licenças do Microsoft Entra.

Gestão de acessos através da gestão de grupos de segurança do Microsoft Entra ID. Os aplicativos tradicionais baseados no Windows Server AD dependiam da verificação da associação a grupos de segurança para autorização. O Microsoft Entra disponibiliza o grupo de associação dinâmica para aplicativos por meio de declarações SAML, provisionamento ou gravação de grupos no Windows Server AD. O SAP Cloud Identity Services pode ler grupos do Microsoft Entra ID via Graph e provisionar esses grupos para outros aplicativos SAP.

No Microsoft Entra, os administradores podem gerenciar grupos de associação dinâmica, criar revisões de acesso de grupo de associação dinâmica e habilitar o gerenciamento de grupo de autoatendimento. Com o autoatendimento, os proprietários do grupo podem aprovar ou negar solicitações de associação e delegar o controle de grupos dinâmicos de associação. Você também pode usar o Gerenciamento Privilegiado de Identidades (PIM) para grupos para gerenciar a associação just-in-time no grupo ou a propriedade just-in-time do grupo.
Gerenciamento de acesso por meio de pacotes de acesso de gerenciamento de direitos.. O gerenciamento de direitos é um recurso de governança de identidade que permite que as organizações gerenciem o ciclo de vida de identidade e acesso em escala, automatizando fluxos de trabalho de solicitação e aprovação de acesso, atribuições de acesso, revisões e expiração. O gerenciamento de direitos pode ser usado para atribuições de acesso refinadas a aplicativos que usam grupos, atribuições de função de aplicativo ou que têm conectores para Aplicativos Lógicos do Azure.

O gerenciamento de direitos permite que as organizações implementem suas práticas de como os usuários recebem acesso em vários recursos, usando uma coleção padronizada de direitos de acesso chamada pacotes de acesso. Cada pacote de acesso concede associação a grupos, atribuição a funções de aplicativo ou associação a sites do SharePoint Online. Os pacotes de acesso podem ser usados para representar funções comerciais, que incorporam funções técnicas ou privilégios em um ou mais aplicativos. Você pode configurar o gerenciamento de direitos para que os usuários recebam atribuições de pacotes de acesso automaticamente com base nas propriedades do usuário, como seu departamento ou centro de custo. Você também pode configurar fluxos de trabalho do ciclo de vida para adicionar ou remover atribuições quando as pessoas entram e saem. Os administradores também podem solicitar que os usuários tenham atribuições para acessar pacotes, e os usuários também podem solicitar para ter um pacote de acesso por conta própria. Os pacotes de acesso disponíveis para um usuário solicitar são determinados pelo grupo de associação dinâmica de segurança do usuário. Os usuários podem solicitar acesso de que precisam imediatamente ou solicitar acesso no futuro, podem especificar um limite de tempo de horas ou dias e podem incluir respostas a perguntas ou fornecer valores para atributos adicionais. Uma solicitação pode ser configurada para aprovação automática ou passar por vários estágios de aprovação por um gerente, proprietário de função ou outros aprovadores, com aprovadores de escalonamento caso um aprovador não esteja disponível ou não responda. Uma vez aprovados, os solicitantes são notificados de que lhes foi atribuído acesso. As atribuições a um pacote de acesso podem ser limitadas no tempo, e você pode configurar revisões de acesso recorrentes para que um gerente, proprietário de recursos ou outros aprovadores recertifiquem ou reatestem regularmente a necessidade do usuário de acesso contínuo. Para obter mais informações sobre como migrar políticas de autorização representadas em um modelo de função para o gerenciamento de direitos, consulte migrar um modelo de função organizacional. Para automatizar o processo de migração, você pode usar o PowerShell para criar pacotes de acesso.
Gestão de acessos através da gestão de direitos e de um produto GRC externo. Com as integrações do Microsoft Entra à governança de acesso SAP, ao Pathlock e a outros produtos de parceiros, os clientes podem aproveitar os riscos adicionais e as verificações refinadas de separação de tarefas impostas nesses produtos, com pacotes de acesso na Governança de ID do Microsoft Entra.

Usar o Microsoft Entra para relatórios

O Microsoft Entra inclui relatórios internos, bem como pastas de trabalho que aparecem no Azure Monitor com base em dados de auditoria, entrada e provisionamento de log. As opções de relatório disponíveis no Microsoft Entra incluem:

Relatórios internos do Microsoft Entra no centro de administração, incluindo relatórios de uso e insights para uma exibição centrada no aplicativo sobre dados de entrada. Você pode usar esses relatórios para monitorar a criação e exclusão de contas incomuns e o uso incomum da conta.
Você pode exportar dados do centro de administração do Microsoft Entra para uso na geração de seus próprios relatórios. Por exemplo, você pode baixar uma lista de usuários e seus atributos ou baixar logs, incluindo os logs de provisionamento, do centro de administração do Microsoft Entra.
Você pode consultar o Microsoft Graph para obter dados para uso em um relatório. Por exemplo, você pode recuperar uma lista de contas de usuário inativas no Microsoft Entra ID.
Você pode usar os cmdlets do PowerShell nas APIs do Microsoft Graph para exportar e reestruturar o conteúdo adequado para relatórios. Por exemplo, se você estiver usando pacotes de acesso de gerenciamento de direitos do Microsoft Entra, poderá recuperar uma lista de atribuições para um pacote de acesso no PowerShell.
Você pode exportar coleções de objetos, como usuários ou grupos, do Microsoft Entra para o Azure Data Explorer. Para obter mais informações, consulte Relatórios personalizados no Azure Data Explorer (ADX) usando dados do Microsoft Entra ID.
Você pode receber alertas e usar pastas de trabalho, consultas personalizadas e relatórios sobre logs de auditoria, entrada e provisionamento que foram enviados para o Azure Monitor. Por exemplo, você pode Arquivar logs e relatar o gerenciamento de direitos no Azure Monitor a partir do centro de administração do Microsoft Entra ou usando o PowerShell. Os logs de auditoria incluem detalhes sobre quem criou e alterou objetos no Microsoft Entra. O Azure Monitor também fornece opções para retenção de dados a longo prazo.

Migrar a troca de informações de identidade entre os limites organizacionais

Algumas organizações podem estar usando a federação de identidades do SAP IDM para trocar informações de identidade sobre usuários através dos limites da empresa.

O Microsoft Entra inclui recursos para uma organização multilocatário, que mais de um locatário do Microsoft Entra ID, para reunir usuários de um locatário para acesso a aplicativos ou colaboração em outro locatário. O diagrama a seguir mostra como você pode usar o recurso de sincronização entre locatários da organização multilocatária para permitir automaticamente que os usuários de um locatário tenham acesso a aplicativos em outro locatário em sua organização.

O Microsoft Entra External ID inclui recursos de colaboração B2B que permitem que sua força de trabalho trabalhe com segurança com organizações de parceiros de negócios e convidados e compartilhe os aplicativos da sua empresa com eles. Os utilizadores convidados iniciam sessão nas suas aplicações e serviços com as respetivas identidades das redes sociais, da escola ou do trabalho. Para organizações de parceiros de negócios que têm seu próprio locatário do Microsoft Entra ID onde seus usuários se autenticam, você pode definir configurações de acesso entre locatários. E para as organizações parceiras de negócios que não têm um locatário do Microsoft Entra, mas têm seus próprios provedores de identidade, você pode configurar a federação com provedores de identidade SAML/WS-Fed para usuários convidados. O gerenciamento de direitos do Microsoft Entra permite que você controle o ciclo de vida de identidade e acesso para esses usuários externos, configurando o pacote de acesso com aprovações antes que um convidado possa ser trazido para um locatário e a remoção automática de convidados quando o acesso contínuo for negado durante uma revisão de acesso.

Diagrama mostrando o ciclo de vida dos usuários externos

Migrar aplicativos que exigem serviços de diretório

Algumas organizações podem estar usando o SAP IDM como um serviço de diretório, para que os aplicativos chamem para ler e gravar identidades. O Microsoft Entra ID fornece um serviço de diretório para aplicativos modernos, permitindo que os aplicativos chamem por meio da API do Microsoft Graph para consultar e atualizar usuários, grupos e outras informações de identidade.

Para aplicativos que ainda exigem uma interface LDAP para ler usuários ou grupos, o Microsoft Entra oferece várias opções:

Os Serviços de Domínio Microsoft Entra fornecem serviços de identidade para aplicativos e VMs na nuvem e são compatíveis com um ambiente AD DS tradicional para operações como ingresso no domínio e LDAP seguro. Os Serviços de Domínio replicam informações de identidade do ID do Microsoft Entra, portanto, funcionam com locatários do Microsoft Entra que são somente na nuvem ou aqueles sincronizados com um ambiente AD DS local.
Se você estiver usando o Microsoft Entra para preencher trabalhadores de SuccessFactors no Ative Directory local, os aplicativos poderão ler os usuários desse Ative Directory do Windows Server. Se seus aplicativos também exigirem grupo de associação dinâmica, você poderá preencher grupos do Windows Server AD a partir de grupos correspondentes no Microsoft Entra. Para obter mais informações, consulte Write-back de grupo com o Microsoft Entra Cloud Sync.
Se sua organização estiver usando outro diretório LDAP, você poderá configurar o ID do Microsoft Entra para provisionar usuários nesse diretório LDAP.

Estenda o Microsoft Entra através de interfaces de integração

O Microsoft Entra inclui várias interfaces para integração e extensão entre seus serviços, incluindo:

Os aplicativos podem chamar o Microsoft Entra por meio da API do Microsoft Graph para consultar e atualizar informações de identidade, configuração e políticas, além de recuperar logs, status e relatórios.
Os administradores podem configurar o provisionamento para aplicativos via SCIM, SOAP ou REST e a API ECMA.
Os administradores podem usar a API de provisionamento de entrada para trazer registros de trabalho de outros sistemas de fontes de registro para fornecer atualizações de usuário para o Windows Server AD e o Microsoft Entra ID.
Os administradores em um locatário com Governança de ID do Microsoft Entra também podem configurar chamadas para Aplicativos Lógicos do Azure personalizados a partir de fluxos de trabalho de gerenciamento de direitos e ciclo de vida. Eles permitem a personalização dos processos de integração, desembarque e solicitação e atribuição de acesso do usuário.

Partilhar via