Správa přístupu k aplikacím SAP

Software a služby SAP pravděpodobně pro vaši organizaci spouští důležité funkce, jako je hr a ERP. Zároveň vaše organizace spoléhá na Microsoft pro různé služby Azure, Microsoft 365 a zásady správného řízení Microsoft Entra ID pro správu přístupu k aplikacím. Tento článek popisuje, jak můžete použít zásady správného řízení identit ke správě identit napříč aplikacemi SAP.

Migrace ze správy identit SAP

Pokud používáte SAP Identity Management (IDM), můžete migrovat scénáře správy identit ze SAP IDM do Microsoft Entra. Další informace najdete v tématu Migrace scénářů správy identit ze SAP IDM do Microsoft Entra.

Přenesení identit z personálního oddělení do Microsoft Entra ID

Plán kurzu nasazení Microsoft Entra pro zřizování uživatelů pomocí SAP zdrojových a cílových aplikací ukazuje, jak propojit Microsoft Entra s autoritativními zdroji pro seznam pracovníků v organizaci, jako je SAP SuccessFactors. Dozvíte se také, jak pomocí microsoft Entra nastavit identity pro tyto pracovníky. Pak se dozvíte, jak pomocí Microsoft Entra poskytnout pracovníkům přístup k přihlášení k jedné nebo více aplikacím SAP, jako je SAP ECC nebo SAP S/4HANA.

SuccessFactors

Zákazníci, kteří používají SAP SuccessFactors, můžou snadno přenést identity z SuccessFactors do Microsoft Entra ID nebo SuccessFactors do místní Active Directory pomocí nativních konektorů. Konektory podporují následující scénáře:

• Nábor nových zaměstnanců: Když se do SuccessFactors přidá nový zaměstnanec, automaticky se vytvoří uživatelský účet v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS (software jako služba), které Microsoft Entra ID podporuje. Tento proces zahrnuje zpětný zápis e-mailové adresy do SuccessFactors.
• Aktualizace atributu a profilu zaměstnance: Když se záznam zaměstnance aktualizuje v SuccessFactors (například jméno, titul nebo manažer), uživatelský účet zaměstnance se automaticky aktualizuje v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS, které Podporuje Microsoft Entra ID.
• Ukončení zaměstnance: Když je zaměstnanec ukončen v SuccessFactors, uživatelský účet zaměstnance se automaticky zakáže v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS, které Microsoft Entra ID podporuje.
• Zaměstnanec se znovu najímá: Když se zaměstnanec znovu načte v SuccessFactors, může se starý účet zaměstnance automaticky znovu aktivovat nebo znovu vytvořit (v závislosti na vašich preferencích) na Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS, které Microsoft Entra ID podporuje.

Můžete také zapisovat zpět z Microsoft Entra ID do SAP SuccessFactors.

SAP HCM

Zákazníci, kteří stále používají SAP Human Capital Management (HCM), můžou také přenést identity do Microsoft Entra ID. Pomocí sady SAP Integration Suite můžete synchronizovat seznamy pracovních procesů mezi SAP HCM a SAP SuccessFactors. Odtud můžete přenést identity přímo do Microsoft Entra ID nebo je zřídit do služby Active Directory Domain Services pomocí dříve zmíněných zřizovacích integrací.

Poskytnutí přístupu k aplikacím SAP

Kromě nativních integrací zřizování, které umožňují spravovat přístup k vašim aplikacím SAP, podporuje Microsoft Entra ID bohatou sadu integrací s těmito aplikacemi.

Povolit jednotné přihlašování

Kromě nastavení zřizování pro aplikace SAP můžete pro ně povolit jednotné přihlašování. Microsoft Entra ID může sloužit jako zprostředkovatel identity a sloužit jako ověřovací autorita pro vaše aplikace SAP. Microsoft Entra ID může integrovat se SAP NetWeaver pomocí SAML nebo OAuth. V případě SAP SaaS a moderních aplikací se dozvíte, jak nakonfigurovat Microsoft Entra ID jako zprostředkovatele podnikové identity pro aplikace SAP prostřednictvím SLUŽEB SAP Cloud Identity Services.

Další informace o konfiguraci jednotného přihlašování z Microsoft Entra ID najdete v následující dokumentaci a kurzech:

• SAP Cloud Identity Services
• SAP SuccessFactors
• SAP Analytics Cloud
• SAP Fiori
• SAP Ariba
• SAP Concur Travel and Expense
• SAP Business Technology Platform
• SAP Business ByDesign
• SAP HANA
• SAP Cloud pro zákazníka
• SAP Fieldglass

Podívejte se také na následující blogové příspěvky a prostředky SAP:

• SAP GUI MFA s integrací Microsoft Entra se službou SAP Secure Login Service a integrací s privátním přístupem Microsoft Entra
• Správa přístupu k SAP BTP
• Nastavení Azure Application Gateway pro SAML Jednotné přihlašování veřejných a interních SAP URL
• Jednotné přihlašování pomocí služeb Microsoft Entra Domain Services a Kerberos

Zřizování identit do moderních aplikací SAP

Jakmile jsou vaši uživatelé v Microsoft Entra ID, můžete zřizovat účty do různých saaS a místních aplikací SAP, ke kterým potřebují přístup. Můžete to provést dvěma způsoby:

• Pomocí podnikové aplikace SAP Cloud Identity Services v Microsoft Entra ID zřiďte identity do SAP Cloud Identity Services. Po přenesení všech identit do sap Cloud Identity Services můžete v případě potřeby zřizovat účty do vašich aplikací pomocí služby SAP Cloud Identity Services – Zřizování identit.
• Pomocí integrace SAP Cloud Identity Services – Zřizování identit můžete přímo exportovat identity z Microsoft Entra ID do integrovaných aplikací SAP Cloud Identity Services. Když používáte SAP Cloud Identity Services – Zřizování identit k přenesení uživatelů do těchto aplikací, veškerá konfigurace zřizování pro tyto aplikace se spravuje přímo v SAP. Podnikovou aplikaci v Microsoft Entra ID můžete dál používat ke správě jednotného přihlašování a jako zprostředkovatele podnikové identity používat Microsoft Entra ID.

Zřizování identit do místních systémů SAP

Jakmile budete mít uživatele v Microsoft Entra ID, můžete tyto uživatele zřídit z Microsoft Entra ID pro SAP Cloud Identity Services nebo SAP ECC, aby se mohli přihlásit k aplikacím SAP. Pokud máte SAP S/4HANA On-premise, zřiďte uživatele z Microsoft Entra ID do adresáře SAP Cloud Identity Directory. Sap Cloud Identity Services pak zřídí uživatele pocházející z Microsoft Entra ID, které jsou v adresáři SAP Cloud Identity Directory, do podřízených aplikací SAP do SAP S/4HANA on-Premise prostřednictvím cloudového konektoru SAP.

Zákazníci, kteří ještě přešli z aplikací, jako jsou SAP R/3 a SAP ERP Central Component (SAP ECC) na SAP S/4HANA, se stále můžou spolehnout na službu zřizování Microsoft Entra za účelem zřizování uživatelských účtů. V RÁMCI SAP R/3 a SAP ECC zveřejňujete potřebná rozhraní BAPI (Business Application Programming Interface) pro vytváření, aktualizaci a odstraňování uživatelů. V rámci ID Microsoft Entra máte dvě možnosti:

• Pomocí odlehčeného zřizovacího agenta Microsoft Entra a konektoru webových služeb zřiďte uživatele do aplikací, jako je SAP ECC.
• Ve scénářích, ve kterých potřebujete provádět složitější správu skupin a rolí, použijte Microsoft Identity Manager ke správě přístupu ke starším aplikacím SAP.

Microsoft Entra ID můžete také použít ke zřizování pracovníků do Active Directory a do dalších lokálních systémů, které služba SAP Cloud Identity Services nepodporuje pro zřizování.

Aktivace vlastních pracovních postupů

Když je ve vaší organizaci přijat nový zaměstnanec, možná budete muset v místních systémech SAP aktivovat pracovní postup pro další úkoly nad rámec zřizování uživatelů. Pomocí rozšiřitelnosti pracovních postupů životního cyklu Microsoft Entra nebo rozšiřitelnosti Logic Apps pro správu nároků Microsoft Entra pomocí konektoru SAP v Azure Logic Apps můžete při přijetí nového zaměstnance aktivovat vlastní akce v SAP.

Kontrola oddělení povinností

Díky kontrolám oddělení povinností ve správě nároků Microsoft Entra můžou zákazníci zajistit, aby uživatelé nezabírají nadměrná přístupová práva:

• Správci a správci přístupu můžou uživatelům zabránit v vyžádání dodatečných přístupových balíčků, pokud jsou už přiřazeni k jiným přístupovým balíčkům nebo jsou členy jiných skupin, které nejsou kompatibilní s požadovaným přístupem.
• Podniky s důležitými zákonnými požadavky pro aplikace SAP mají jednotný pohled na řízení přístupu. Poté mohou vynutit kontroly oddělení povinností napříč finančními a dalšími důležitými obchodními aplikacemi společně s integrovanými aplikacemi Microsoft Entra.
• Díky integraci Microsoft Entra do SAP přístupové řízení, Pathlock a dalšími partnerskými produkty, můžou zákazníci využívat další kontroly rizik a jemné rozdělování povinností vynucovaných v těchto produktech, s přístupovými balíčky v zásadách správného řízení Microsoft Entra ID.

Další doprovodné materiály

Další informace o integraci SAP s Microsoft Entra ID najdete v následující dokumentaci:

• Zabezpečený přístup pomocí SLUŽEB SAP Cloud Identity Services a Microsoft Entra ID
• Zabezpečení úloh SAP – Dobře navržená architektura Microsoft Azure
• Služby a integrační partneři pro nasazení Microsoft Entra s aplikacemi SAP

Další kroky

• Plánování nasazení Microsoft Entra pro zřizování uživatelů pomocí zdrojových a cílových aplikací SAP
• Přenesení identit ze SAP SuccessFactors do Microsoft Entra ID
• Zřízení účtů ve službě SAP Cloud Identity Services
• Začínáme se scénáři integrace SAP a Microsoftu