Поделиться через

Руководство по настройке идентификатора Microsoft Entra и sap Cloud Identity Services для автоматической подготовки пользователей в SAP HANA

  • Статья

В этом руководстве описаны действия, необходимые для настройки автоматической подготовки пользователей в SAP Cloud Identity Services и Microsoft Entra ID. При настройке идентификатор Microsoft Entra ID автоматически подготавливает и отменяет подготовку пользователей в SAP HANA с помощью службы подготовки Microsoft Entra и облачных удостоверений SAP. Важные сведения о том, что делает подготовка Microsoft Entra, как она работает, и часто задаваемые вопросы, см. в статье Автоматизация подготовки пользователей и отмена подготовки приложений SaaS с помощью идентификатора Microsoft Entra.

Поддерживаемые возможности

  • Создание пользователей в SAP HANA для включения единого входа в SAP HANA
  • Удаление пользователей в SAP HANA, если они больше не требуют доступа
  • Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и SAP HANA

Необходимые компоненты

В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:

  • Клиент Microsoft Entra
  • Одна из следующих ролей: администратор приложений, администратор облачных приложений или владелец приложения.
  • Облачная или база данных SAP HANA SAP HANA
  • Клиент служб облачных удостоверений SAP
  • Учетная запись пользователя в консоли администрирования "Подготовка удостоверений" SAP с разрешениями администратора. Убедитесь, что у вас есть доступ к системным прокси-серверам в консоли администрирования "Подготовка удостоверений". Если вы не видите элемент Proxy Systems (Прокси-системы), создайте инцидент для компонента BC-IAM-IP, чтобы запросить доступ к этому элементу.

Шаг 1. Планирование развертывания подготовки

Microsoft Entra имеет соединители для SAP ECC, облачных удостоверений SAP и SAP SuccessFactors. Подготовка в SAP HANA или других приложениях требует, чтобы пользователи впервые присутствовали в идентификаторе Microsoft Entra. После того как у вас есть пользователи в идентификаторе Microsoft Entra, вы можете подготовить этих пользователей из идентификатора Microsoft Entra в облачные службы удостоверений SAP. Затем облачные службы удостоверений SAP подготавливают пользователей, исходящих из идентификатора Microsoft Entra, которые находятся в каталоге SAP Cloud Identity Directory, в подчиненных приложениях SAP, включая SAP HANA Cloud "базу данных SAP HANA" через облачный соединитель SAP и другие.

Схема, на которой показаны технологии Майкрософт и SAP, относящиеся к подготовке удостоверений из идентификатора Microsoft Entra.

Шаг 2. Убедитесь, что у вас есть правильные пользователи в идентификаторе Microsoft Entra

Вы можете использовать входящий трафик кадров из таких источников, как SuccessFactors, чтобы сохранить список пользователей в идентификаторе Microsoft Entra ID в актуальном состоянии, когда сотрудники присоединяются, перемещаются и покидают ее. Если планируется использовать группы или назначения ролей приложения для области доступа к SAP HANA или к каким ролям они будут иметь, а у клиента есть лицензия на Управление идентификацией Microsoft Entra, вы также можете автоматизировать изменения назначений ролей приложения в идентификаторе Microsoft Entra для приложений, представляющих sap Cloud Identity Services или SAP HANA. Дополнительные сведения о выполнении разделения обязанностей и других проверок соответствия требованиям перед подготовкой см . в сценариях управления жизненным циклом доступа.

Пошаговые инструкции по жизненному циклу удостоверений с приложениями SAP в качестве целевого объекта см. в статье "Планирование развертывания Microsoft Entra для подготовки пользователей с помощью источника SAP и целевых приложений".

Шаг 3. Настройка подготовки из идентификатора Microsoft Entra в sap Cloud Identity Services

Чтобы подготовить пользователей к подготовке к работе с SAP HANA или другими приложениями SAP, интегрированными с облачными службами удостоверений SAP, убедитесь, что в облачных службах удостоверений SAP есть необходимые сопоставления схем для этих приложений. Затем настройте подготовку пользователей из идентификатора Microsoft Entra в sap Cloud Identity Services. При необходимости облачные службы удостоверений SAP будут подготавливать пользователей к подчиненным приложениям SAP.

Существует два способа подготовки пользователей из Microsoft Entra в sap Cloud Identity Services.

  • Если вы будете использовать группы из идентификатора Microsoft Entra, например для назначения пользователям ролей в облаке SAP HANA, а затем используйте подготовку облачных удостоверений SAP. Сначала создайте группы Microsoft Entra для бизнес-ролей SAP, используемых в облаке SAP Analytics. Затем в подготовке служб облачных удостоверений SAP настройте идентификатор Microsoft Entra в качестве источника, чтобы предоставить пользователям и группам идентификатор Microsoft Entra в sap Cloud Identity Services и сопоставить созданные группы с бизнес-ролями SAP. Дополнительные сведения см . в документации по SAP по подготовке пользователей из Microsoft Azure AD в sap Cloud Identity Services — проверка подлинности удостоверений.

  • Кроме того, если вам не нужно использовать группы в идентификаторе Microsoft Entra, можно использовать службу подготовки Microsoft Entra. В этом сценарии создайте приложение, представляющее SAP HANA, и назначьте пользователей, которым требуется доступ к SAP HANA в этом приложении. Затем настройте автоматическую подготовку пользователей с помощью идентификатора Microsoft Entra в SAP Cloud Identity Services для. Дождитесь подготовки этих пользователей в облачных службах удостоверений SAP и убедитесь, что у них есть атрибуты, необходимые для целевого объекта SAP HANA.

Примечание.

Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Проверьте, есть ли у пользователей правильный доступ в целевых объектах SAP, а при входе они имеют правильные роли.

Шаг 4. Настройка подготовки из облачных удостоверений SAP в SAP HANA

На этом шаге используйте подготовку удостоверений SAP Cloud Identity Services для настройки SAP HANA в качестве целевой системы, где можно подготовить пользователей и участников группы. Сведения о sap HANA Cloud или базе данных SAP HANA см. в документации по подготовке к sap HANA Cloud или базе данных SAP HANA.

Шаг 5. Настройка единого входа

После настройки подготовки пользователей в приложениях SAP необходимо включить единый вход для них. Идентификатор Microsoft Entra может служить поставщиком удостоверений и центром проверки подлинности для приложений SAP. Если вы еще этого не сделали, настройте интеграцию единого входа Microsoft Entra с SAP Cloud Identity Services.

Дополнительные сведения о настройке единого входа в SAP SaaS и современных приложениях см. в статье "Включение единого входа".

Следующие шаги