Konfigurera åtkomstkontrollistor i Microsoft Entra ID
Användarna behöver bara åtkomst till de appar och flöden som anpassar sig efter avdelningsfunktionen. Du kan skapa Microsoft Entra ID säkerhetsgrupper utifrån affärsprocesser och tilldela teammedlemmarna till rätt grupper. Med säkerhetsgrupperna kan du kontrollera användaråtkomsten till apparna och synligheten för de olika komponenterna i apparna.
Skapa Microsoft Entra ID-säkerhetsgrupper
Följande distributionsmodell illustrerar hur du tilldelar användare till olika Microsoft Entra ID-säkerhetsgrupper utifrån deras avdelningsfunktion.
Säkerhetsgrupp för adminsitratörer
Konfigurera en eller flera administratörer för ett administrationsteam för SAP-inköp.
Funktionssäkerhetsgrupper
Säkerhetsgrupperna kan justeras efter specifika affärsprocesser. Tilldela alla användare som deltar i inköp till betalning-processen till ett eller flera av de sex olika användarteamen:
- Leverantörshantering
- Inköpsrekvisitioner
- Inköpsorder
- Kvitton på leverantörsartiklar
- Leverantörsfaktura
- Leverantörsbetalningar
Den här modellen används i hela resten av dokumentet för att visa avsikt, men konfigurationen kan skilja sig beroende på dina krav.
Mer information:
Skapa Dataverse-gruppteam
Administratörer hanterar menyalternativ som visas för användare i arbetsyteappen direkt i appen SAP-administratör. Dataverse Gruppmedlemskap i team styr åtkomst och synlighet till menyalternativen. Microsoft Entra ID-säkerhetsgrupper styr Dataverse-gruppmedlemskapet och ser till att det finns två alternativ:
- Användarna har insyn och åtkomst till rätt menyalternativ i arbetsyteappar när de läggs till i en eller flera säkerhetsgrupper.
- Användare förlorar synlighet och åtkomst när de tas bort från säkerhetsgruppen.
Dessutom driver menyinsyn beteendet detaljerad information på vissa fält i arbetsyteappen. Till exempel, om en användare inte är en del av inköpsorderteamet kan de bara se det associerade inköpsordernumret till rekvisitionen i appen SAP-rekvisitionshantering. De kan inte öka detaljinformationen för att visa alla uppgifter i inköpsordern.
Mer information: Arbeta med Microsoft Entra ID gruppteam
Steg för att hantera team
Skapa team och konfigurera säkerhetsinställningarna genom att följa stegen nedan:
- Logga in på Power Platform administratörscenter.
- Gå till Miljöer och välj den miljö som innehåller lösningarna.
- Gå till Inställningar>Användare + behörigheter>Teams.
- Välj + Skapa team.
- Slutför obligatoriska fält. För Teamtyp väljer du Microsoft Entra ID säkerhetsgrupp. Du måste också fylla i gruppnamn och medlemskapstyp.
- Sök efter exempelsäkerhetsgruppen som tidigare skapats i Microsoft Entra-ID och associera den med det nyligen skapade gruppteamet.
- Tilldela säkerhetsroller till team som motsvarar teamfunktioner.
Vägledning för säkerhetsroll
I följande tabell finns anvisningar för hur du tilldelar säkerhetsroller:
| Dataverse teamnamn | SAP-mallanvändare | SAP-malladministratör | Vanlig användare |
|---|---|---|---|
| Leverantörshantering | X | X | |
| Inköpsrekvisitioner | X | X | |
| Inköpsorder | X | X | |
| Kvitton på leverantörsartiklar | X | X | |
| Leverantörsfaktura | X | X | |
| Leverantörsbetalningar | X | X | |
| Administratör | X | X |
Kommentar
- Användare läggs till eller tas bort i ett gruppteam baserat på medlemskap i den länkade Microsoft Entra ID-säkerhetsgruppen.
- Åtkomst till Dataverse data styrs av teammedlemskap med åtkomstnivåer som skiljer sig mellan tilldelningar av säkerhetsroll för användare av SAP-integration och för administratörer av SAP-integration till teamen.
- Inställningen av Dataverse gruppteam i Power Platform administrationscenter kan också ses i SAP-administratörsappen som referens.
Mer information: Hantera gruppteam, Säkerhetsroller och privilegier
Dela åtkomst till appar och flöden
Medlemmar i säkerhetsgrupper kan bara komma åt appar och flöden som delas med dem. Använd modellen med säkerhetsgrupper som exempel när du vill konfigurera säkerhetsgrupper för organisationen.
Dela flödena med Kör endast privilegier så att användarna har tillgång till inbyggda flöden och SAP ERP-systemet, Dataverse och Office 365 användartjänster för anslutningsprogram använder den utlösande användarens autentiseringsuppgifter.
Varning
Om du misslyckas med att ändra flödens skrivskyddade privilegier förhindras anslutningstjänsterna från att skicka autentiseringsuppgifter. Delning av Dataverse och Office 365 anslutningar bör begränsas.
Steg för att dela appar
- Gå till de enskilda apparna i Power Apps.
- Välj alternativet Dela.
- Sök efter och välj rätt säkerhetsgrupp som innehåller de medlemmar som behöver åtkomst till appen.
- Välj Dela. Du kan också välja om en e-postinbjudan ska ingå (inte obligatoriskt).
Steg för att dela flöden
- Gå till individuella molnflöden i Power Apps.
- Gå till avsnittet Kör endast användare och välj Redigera.
- Bjuda in systemanvändare och team genom att söka efter och välja de Microsoft Entra ID-säkerhetsgrupper som behöver åtkomst till flödet enligt de arbetsyteappar som teamet behöver använda.
- För alla tre anslutningar som används väljer du alternativet Tillhandahålls av slutanvändaren för enbart körning.
- Välj Spara.
Sammanfattning av delning
Tabellen ger en mappningssammanfattning över vilka komponenter som behöver tilldelas eller delas enligt exemplet med Microsoft Entra ID-säkerhetsgruppteamteams.
| Komponent | Type | Leverantörshanteringsteam | Inköpsrekvisitionsteam | Inköpsorderteam | Kvitto på leverantörsartiklar, team | Leverantörsfaktura, team | Leverantörsbetalningar, team | Administrationsteam |
|---|---|---|---|---|---|---|---|---|
| SAP-leverantörshantering | -program | X | ||||||
| SAP-inköpsrekvisitioner | -program | X | ||||||
| SAP-inköpsorder | -program | X | ||||||
| SAP varukvitton | -program | X | ||||||
| SAP leverantörsfaktura | -program | X | ||||||
| SAP leverantörsbetalningar | -program | X | ||||||
| SAP-malladministratör | -program | X | ||||||
| ApprovePurchaseOrder | flow | X | ||||||
| ApproveVendorInvoice | flow | X | ||||||
| ConvertRequisitionToPurchaseOrder | flow | X | ||||||
| CreateGoodsReceipt | flow | X | ||||||
| CreatePurchaseOrder | flow | X | ||||||
| CreateRequisition | flow | X | ||||||
| CreateVendor | flow | X | ||||||
| CreateVendorInvoice | flow | X | ||||||
| ReadGLAccount | flow | X | X | X | ||||
| ReadGLAccountList | flow | X | X | X | ||||
| ReadGoodsReceipt | flow | X | X | X | ||||
| ReadGoodsReceiptList | flow | X | X | X | ||||
| ReadMaterial | flow | X | X | X | X | X | X | |
| ReadMaterialList | flow | X | X | X | X | X | X | |
| ReadPurchaseOrder | flow | X | X | X | X | |||
| ReadPurchaseOrderList | flow | X | X | X | X | |||
| ReadRequisition | flow | X | X | X | ||||
| ReadRequisitionList | flow | X | X | X | ||||
| ReadVendor | flow | X | X | X | X | X | X | |
| ReadVendorInvoice | flow | X | X | X | X | |||
| ReadVendorInvoiceList | flow | X | X | X | X | |||
| ReadVendorList | flow | X | X | X | X | X | X | |
| ReadVendorPayment | flow | X | X | X | ||||
| ReadVendorPaymentList | flow | X | X | X | ||||
| ReverseVendorInvoice | flow | X | ||||||
| UpdatePurchaseOrder | flow | X | ||||||
| UpdateVendor | flow | X | ||||||
| UpdateVendorInvoice | flow | X |
Mer information: