Hantera åtkomst till dina SAP-program

SAP-programvara och -tjänster kör sannolikt kritiska funktioner, till exempel HR och ERP, för din organisation. Samtidigt förlitar sig din organisation på Microsoft för olika Azure-tjänster, Microsoft 365 och Microsoft Entra ID-styrning för att hantera åtkomst till program. Den här artikeln beskriver hur du kan använda identitetsstyrning för att hantera identiteter i dina SAP-program.

Migrera från SAP Identity Management

Om du har använt SAP Identity Management (IDM) kan du migrera scenarier för identitetshantering från SAP IDM till Microsoft Entra. Mer information finns i Migrera scenarier för identitetshantering från SAP IDM till Microsoft Entra.

Ta med identiteter från HR till Microsoft Entra-ID

Självstudieplanen som distribuerar Microsoft Entra för användaretablering med SAP-käll- och målappar visar hur du ansluter Microsoft Entra med auktoritativa källor för listan över arbetare i en organisation, till exempel SAP SuccessFactors. Den visar också hur du använder Microsoft Entra för att konfigurera identiteter för dessa arbetare. Sedan får du lära dig hur du använder Microsoft Entra för att ge arbetare åtkomst till att logga in på ett eller flera SAP-program, till exempel SAP ECC eller SAP S/4HANA.

SuccessFactors

Kunder som använder SAP SuccessFactors kan enkelt ta med identiteter från SuccessFactors till Microsoft Entra-ID eller från SuccessFactors till lokal Active Directory med hjälp av interna anslutningsappar. Anslutningsprogrammen stöder följande scenarier:

• Anställa nya anställda: När en ny anställd läggs till i SuccessFactors skapas ett användarkonto automatiskt i Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program (Programvara som en tjänst) som Microsoft Entra-ID stöder. Den här processen omfattar tillbakaskrivning av e-postadressen till SuccessFactors.
• Uppdateringar av anställdas attribut och profil: När en anställds post uppdateras i SuccessFactors (till exempel namn, titel eller chef) uppdateras medarbetarens användarkonto automatiskt i Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som Microsoft Entra-ID stöder.
• Uppsägningar av anställda: När en anställd avslutas i SuccessFactors inaktiveras medarbetarens användarkonto automatiskt i Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som Microsoft Entra-ID stöder.
• Personalrehires: När en anställd återanställs i SuccessFactors kan den anställdes gamla konto automatiskt återaktiveras eller ometableras (beroende på vad du föredrar) till Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som Microsoft Entra ID stöder.

Du kan också skriva tillbaka från Microsoft Entra-ID till SAP SuccessFactors.

SAP HCM

Kunder som fortfarande använder SAP Human Capital Management (HCM) kan också använda identiteter i Microsoft Entra-ID. Genom att använda SAP Integration Suite kan du synkronisera listor över arbetare mellan SAP HCM och SAP SuccessFactors. Därifrån kan du ta med identiteter direkt till Microsoft Entra-ID eller etablera dem i Active Directory-domän Services med hjälp av de interna etableringsintegreringar som nämnts tidigare.

Ge åtkomst till SAP-program

Förutom de inbyggda etableringsintegreringar som gör att du kan hantera åtkomsten till dina SAP-program stöder Microsoft Entra ID en omfattande uppsättning integreringar med dessa program.

Aktivera enkel inloggning

Tillsammans med att konfigurera etablering för dina SAP-program kan du aktivera enkel inloggning för dem. Microsoft Entra-ID kan fungera som identitetsprovider och fungera som autentiseringsutfärdaren för dina SAP-program. Microsoft Entra ID kan integreras med SAP NetWeaver med hjälp av SAML eller OAuth. För SAP SaaS och moderna appar får du lära dig hur du konfigurerar Microsoft Entra-ID som företagsidentitetsprovider för dina SAP-program via SAP Cloud Identity Services.

Mer information om hur du konfigurerar enkel inloggning från Microsoft Entra-ID finns i följande dokumentation och självstudier:

• SAP Cloud Identity Services
• SAP SuccessFactors
• SAP Analytics Cloud
• SAP Fiori
• SAP Ariba
• SAP Concur Travel and Expense
• SAP Business Technology Platform
• SAP Business ByDesign
• SAP HANA
• SAP Cloud for Customer
• SAP Fieldglass

Se även följande SAP-resurser:

• Azure Application Gateway-konfiguration av SAML-Enkel inloggning för offentliga och interna SAP-URL:er
• Enkel inloggning med Microsoft Entra Domain Services och Kerberos

Etablera identiteter i moderna SAP-program

När dina användare är i Microsoft Entra-ID kan du etablera konton i de olika SaaS- och lokala SAP-program som de behöver åtkomst till. Du har två sätt att åstadkomma detta:

• Använd SAP Cloud Identity Services-företagsprogrammet i Microsoft Entra-ID för att etablera identiteter i SAP Cloud Identity Services. När du har fört in alla identiteter i SAP Cloud Identity Services kan du använda SAP Cloud Identity Services – Identity Provisioning för att etablera kontona därifrån till dina program när det behövs.
• Använd SAP Cloud Identity Services – Identitetsetableringsintegrering för att direkt exportera identiteter från Microsoft Entra-ID till integrerade SAP Cloud Identity Services-program. När du använder SAP Cloud Identity Services – Identity Provisioning för att föra in användare i dessa program hanteras all etableringskonfiguration för dessa program direkt i SAP. Du kan fortfarande använda företagsprogrammet i Microsoft Entra-ID för att hantera enkel inloggning och använda Microsoft Entra-ID som företagsidentitetsprovider.

Etablera identiteter i lokala SAP-system

När du har användare i Microsoft Entra-ID kan du etablera dessa användare från Microsoft Entra ID till SAP Cloud Identity Services eller SAP ECC så att de kan logga in på SAP-program. Om du har SAP S/4HANA On-premiseetablerar du användare från Microsoft Entra-ID till SAP Cloud Identity Directory. SAP Cloud Identity Services etablerar sedan de användare som kommer från Microsoft Entra-ID:t som finns i SAP Cloud Identity Directory i de underordnade SAP-programmen till SAP S/4HANA On-Premise via SAP Cloud Connector.

Kunder som ännu inte har övergått från program som SAP R/3 och SAP ERP Central Component (SAP ECC) till SAP S/4HANA kan fortfarande förlita sig på Microsoft Entra-etableringstjänsten för att etablera användarkonton. I SAP R/3 och SAP ECC exponerar du nödvändiga BAPI:er (Business Application Programming Interfaces) för att skapa, uppdatera och ta bort användare. I Microsoft Entra-ID har du två alternativ:

• Använd den enkla Microsoft Entra-etableringsagenten och anslutningsappen för webbtjänster för att etablera användare i appar som SAP ECC.
• I scenarier där du behöver utföra mer komplex grupp- och rollhantering använder du Microsoft Identity Manager för att hantera åtkomst till dina äldre SAP-program.

Du kan också använda Microsoft Entra-ID för att etablera arbetare i Active Directory, samt andra lokala system som SAP Cloud Identity Services inte stöder för etablering.

Utlösa anpassade arbetsflöden

När en ny anställd anställs i din organisation kan du behöva utlösa ett arbetsflöde i dina lokala SAP-system för ytterligare uppgifter utöver användaretablering. Genom att använda utökningsbarheten för Logic Apps-arbetsflöden för Microsoft Entra-livscykel eller utökningsbarheten för Microsoft Entra-berättigandehantering logic apps med SAP-anslutningsappen i Azure Logic Apps kan du utlösa anpassade åtgärder i SAP när du anställer en ny anställd.

Kontrollera om det är fråga om ansvarsfördelning

Med ansvarsfördelningskontroller i Microsoft Entra-rättighetshantering kan kunderna se till att användarna inte får för höga åtkomsträttigheter:

• Administratörer och åtkomsthanterare kan hindra användare från att begära extra åtkomstpaket om de redan har tilldelats andra åtkomstpaket eller är medlemmar i andra grupper som inte är kompatibla med den begärda åtkomsten.
• Företag med kritiska regelkrav för SAP-appar har en enda konsekvent vy över åtkomstkontroller. De kan sedan tillämpa ansvarsfördelningskontroller i sina ekonomiska och andra affärskritiska program, tillsammans med Microsoft Entra-integrerade program.
• Med Microsoft Entra-integreringar av SAP-åtkomststyrning, Pathlock och andra partnerprodukter kan kunderna dra nytta av ytterligare risker och detaljerade ansvarsfördelningskontroller som tillämpas i dessa produkter, med åtkomstpaket i Microsoft Entra ID-styrning.

Mer information

Mer information om SAP-integreringar med Microsoft Entra-ID finns i följande dokumentation:

• Säker åtkomst med SAP Cloud Identity Services och Microsoft Entra ID
• SÄKERHET för SAP-arbetsbelastning – Microsoft Azure Well-Architected Framework
• Tjänster och integrationspartner för distribution av Microsoft Entra med SAP-program

Nästa steg

• Planera distribution av Microsoft Entra för användaretablering med SAP-käll- och målappar
• Ta med identiteter från SAP SuccessFactors till Microsoft Entra-ID
• Etablera konton i SAP Cloud Identity Services
• Kom igång med SAP- och Microsoft-integreringsscenarier