Руководство по настройке идентификатора Microsoft Entra и sap Cloud Identity Services для автоматической подготовки пользователей в sap Analytics Cloud
В этом руководстве описаны действия, необходимые для настройки автоматической подготовки пользователей в SAP Cloud Identity Services и Microsoft Entra ID. При настройке идентификатор Microsoft Entra ID автоматически подготавливает и отменяет подготовку пользователей в SAP Analytics Cloud с помощью службы подготовки Microsoft Entra и облачных удостоверений SAP. Важные сведения о том, что делает подготовка Microsoft Entra, как она работает, и часто задаваемые вопросы, см. в статье Автоматизация подготовки пользователей и отмена подготовки приложений SaaS с помощью идентификатора Microsoft Entra.
Поддерживаемые возможности
- Создание пользователей в SAP Analytics Cloud для включения единого входа в SAP Analytics Cloud
- Удаление пользователей в SAP Analytics Cloud, если им больше не нужен доступ
- Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и SAP Analytics Cloud
Необходимые компоненты
В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:
- Клиент Microsoft Entra
- Одна из следующих ролей: администратор приложений, администратор облачных приложений или владелец приложения.
- SAP Analytics Cloud
- Клиент служб облачных удостоверений SAP
- Учетная запись пользователя в консоли администрирования "Подготовка удостоверений" SAP с разрешениями администратора. Убедитесь, что у вас есть доступ к системным прокси-серверам в консоли администрирования "Подготовка удостоверений". Если вы не видите элемент Proxy Systems (Прокси-системы), создайте инцидент для компонента BC-IAM-IP, чтобы запросить доступ к этому элементу.
Шаг 1. Планирование развертывания подготовки
Microsoft Entra имеет соединители для SAP ECC, облачных удостоверений SAP и SAP SuccessFactors. Подготовка в облаке SAP Analytics или других приложениях требует, чтобы пользователи впервые присутствовали в идентификаторе Microsoft Entra. После того как у вас есть пользователи в идентификаторе Microsoft Entra, вы можете подготовить этих пользователей из идентификатора Microsoft Entra в облачные службы удостоверений SAP. Затем облачные службы удостоверений SAP подготавливают пользователей, поступающих из идентификатора Microsoft Entra, которые находятся в каталоге SAP Cloud Identity Directory в подчиненных приложениях SAP, в том числе SAP Analytics Cloudчерез соединитель облака SAP и другие.
Шаг 2. Убедитесь, что у вас есть правильные пользователи в идентификаторе Microsoft Entra
Вы можете использовать входящий трафик кадров из таких источников, как SuccessFactors, чтобы сохранить список пользователей в идентификаторе Microsoft Entra ID в актуальном состоянии, когда сотрудники присоединяются, перемещаются и покидают ее. Если вы планируете использовать группы или назначения ролей приложений для области доступа к SAP Analytics Cloud или к каким ролям они будут иметь, а клиент имеет лицензию на Управление идентификацией Microsoft Entra, вы также можете автоматизировать изменения назначений ролей приложения в идентификаторе Microsoft Entra для приложений, представляющих sap Cloud Identity Services или SAP Analytics Cloud. Дополнительные сведения о выполнении разделения обязанностей и других проверок соответствия требованиям перед подготовкой см . в сценариях управления жизненным циклом доступа.
Пошаговые инструкции по жизненному циклу удостоверений с приложениями SAP в качестве целевого объекта см. в статье "Планирование развертывания Microsoft Entra для подготовки пользователей с помощью источника SAP и целевых приложений".
Шаг 3. Настройка подготовки из идентификатора Microsoft Entra в sap Cloud Identity Services
Чтобы подготовить пользователей к подготовке к работе в SAP Analytics Cloud или других приложениях SAP, интегрированных с облачными службами идентификации SAP, убедитесь, что для этих приложений необходимые сопоставления схем. Затем настройте подготовку пользователей из идентификатора Microsoft Entra в sap Cloud Identity Services. При необходимости облачные службы удостоверений SAP будут подготавливать пользователей к подчиненным приложениям SAP.
Существует два способа подготовки пользователей из Microsoft Entra в sap Cloud Identity Services.
Если вы будете использовать группы из идентификатора Microsoft Entra, например для назначения пользователям ролей в SAP Analytics Cloud, используйте подготовку облачных служб удостоверений SAP. Сначала создайте группы Microsoft Entra для бизнес-ролей SAP, используемых в облаке SAP Analytics. Затем в подготовке служб облачных удостоверений SAP настройте идентификатор Microsoft Entra в качестве источника, чтобы предоставить пользователям и группам идентификатор Microsoft Entra в sap Cloud Identity Services и сопоставить созданные группы с бизнес-ролями SAP. Дополнительные сведения см . в документации по SAP по подготовке пользователей из Microsoft Azure AD в sap Cloud Identity Services — проверка подлинности удостоверений.
Кроме того, если вам не нужно использовать группы в идентификаторе Microsoft Entra, можно использовать службу подготовки Microsoft Entra. В этом сценарии создайте приложение, представляющее облако SAP Analytics, и назначьте пользователей, которым требуется доступ к SAP Analytics Cloud в этом приложении. Затем настройте автоматическую подготовку пользователей с помощью идентификатора Microsoft Entra в SAP Cloud Identity Services для. Дождитесь подготовки этих пользователей в облачных службах удостоверений SAP и убедитесь, что у них есть атрибуты, необходимые для целевого объекта SAP Analytics Cloud.
Примечание.
Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Проверьте, есть ли у пользователей правильный доступ в целевых объектах SAP, а при входе они имеют правильные роли.
Шаг 4. Настройка подготовки из облачных удостоверений SAP в облако SAP Analytics
На этом шаге используйте подготовку удостоверений sap Cloud Identity Services для настройки SAP Analytics Cloud в качестве целевой системы, где можно подготовить пользователей и участников группы. Сведения о подготовке в SAP Analytics Cloud см. в документации по SAP Analytics Cloud.
Шаг 5. Настройка единого входа
После настройки подготовки пользователей в приложениях SAP необходимо включить единый вход для них. Идентификатор Microsoft Entra может служить поставщиком удостоверений и центром проверки подлинности для приложений SAP. Если вы еще этого не сделали, настройте интеграцию единого входа Microsoft Entra с SAP Cloud Identity Services.
Дополнительные сведения о настройке единого входа в SAP SaaS и современных приложениях см. в статье "Включение единого входа".