SAP-alkalmazásokhoz való hozzáférés kezelése
Az SAP-szoftverek és -szolgáltatások valószínűleg kritikus funkciókat futtatnak, például a HR-t és az ERP-t a szervezet számára. A szervezet ugyanakkor a Microsoftra támaszkodik a különböző Azure-szolgáltatásokhoz, a Microsoft 365-höz és Microsoft Entra ID-kezelés az alkalmazásokhoz való hozzáférés kezeléséhez. Ez a cikk azt ismerteti, hogyan kezelheti az identitásokat az SAP-alkalmazásokban az Identity Governance használatával.
Migrálás az SAP Identity Managementből
Ha SAP Identity Managementet (IDM) használ, akkor az identitáskezelési forgatókönyveket az SAP IDM-ből a Microsoft Entra-ba migrálhatja. További információ: Identitáskezelési forgatókönyvek migrálása AZ SAP IDM-ből a Microsoft Entra-ba.
Azonosítók átvitele a HR-ből a Microsoft Entra azonosítók közé
A oktatóanyag, mely bemutatja a Microsoft Entra felhasználói kiépítésének tervét SAP-forrás és célalkalmazásokkal, illusztrálja, hogyan lehet összekapcsolni a Microsoft Entrát mérvadó forrásokkal egy szervezet munkavállalóinak listájához, például az SAP SuccessFactors-hoz. Azt is bemutatja, hogyan állíthat be identitásokat ezekhez a munkavállalókhoz a Microsoft Entra használatával. Ezután megtudhatja, hogyan használhatja a Microsoft Entra-t, hogy hozzáférést biztosítson a dolgozóknak egy vagy több SAP-alkalmazáshoz, például az SAP ECC-hez vagy az SAP S/4HANA-hoz való bejelentkezéshez.
SuccessFactors
Az SAP SuccessFactorst használó ügyfelek natív összekötők használatával egyszerűen hozhatják be a SuccessFactors-identitásokat a Microsoft Entra-azonosítóba vagy a SuccessFactorsból a helyi Active Directory. Az összekötők a következő forgatókönyveket támogatják:
- Új alkalmazottak felvétele: Amikor új alkalmazottat ad hozzá a SuccessFactorshoz, a rendszer automatikusan létrehoz egy felhasználói fiókot a Microsoft Entra ID-ban, és opcionálisan a Microsoft Entra ID által támogatott Microsoft 365-ös és egyéb szolgáltatásként (SaaS-) alkalmazásokban. Ez a folyamat magában foglalja a SuccessFactors e-mail-címének visszaírását.
- Alkalmazotti attribútumok és profilfrissítések: Ha egy alkalmazotti rekord frissül a SuccessFactorsban (például név, cím vagy vezető), az alkalmazott felhasználói fiókja automatikusan frissül a Microsoft Entra-azonosítóban, és opcionálisan a Microsoft 365 és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokban.
- Alkalmazotti felmondások: Ha egy alkalmazott a SuccessFactors szolgáltatásban megszűnik, az alkalmazott felhasználói fiókja automatikusan le van tiltva a Microsoft Entra-azonosítóban, és opcionálisan a Microsoft Entra ID által támogatott Microsoft 365- és egyéb SaaS-alkalmazásokban.
- Alkalmazotti rehires: Ha egy alkalmazottat újrakérnek a SuccessFactorsban, az alkalmazott régi fiókja automatikusan újraaktiválható vagy újra kiépíthető (az Ön igényeitől függően) a Microsoft Entra-azonosítóra, és opcionálisan a Microsoft 365-re és más SaaS-alkalmazásokra, amelyeket a Microsoft Entra ID támogat.
A Microsoft Entra-azonosítóból az SAP SuccessFactors szolgáltatásba is írhat.
SAP HCM
Az SAP Human Capital Managementet (HCM) továbbra is használó ügyfelek identitásokat is bevihetnek a Microsoft Entra-azonosítóba. Az SAP Integration Suite használatával szinkronizálhatja a dolgozók listáját az SAP HCM és az SAP SuccessFactors között. Ezáltal közvetlenül bevezethet identitásokat a Microsoft Entra ID-be, vagy kiépítheti azokat az Active Directory Domain Services-be a korábban említett natív kiépítési integrációk használatával.
Hozzáférés biztosítása AZ SAP-alkalmazásokhoz
Azon natív kiépítési integrációk mellett, amelyek lehetővé teszik az SAP-alkalmazásokhoz való hozzáférés kezelését, a Microsoft Entra ID számos integrációt támogat ezekkel az alkalmazásokkal.
Egyszeri bejelentkezés engedélyezése
Az SAP-alkalmazások kiépítésének beállításával együtt engedélyezheti az egyszeri bejelentkezést is. A Microsoft Entra ID identitásszolgáltatóként és az SAP-alkalmazások hitelesítésszolgáltatójaként is szolgálhat. A Microsoft Entra ID saml vagy OAuth használatával integrálható az SAP NetWeaverrel. Az SAP SaaS és a modern alkalmazások esetében megtudhatja, hogyan konfigurálhatja a Microsoft Entra ID-t vállalati identitásszolgáltatóként az SAP-alkalmazásokhoz az SAP Cloud Identity Services használatával.
Az egyszeri bejelentkezés Microsoft Entra-azonosítóból való konfigurálásáról az alábbi dokumentációban és oktatóanyagokban talál további információt:
- SAP Cloud Identity Services
- SAP SuccessFactors
- SAP Analytics Cloud
- SAP Fiori
- SAP Ariba
- SAP Concur Utazás és Költség
- SAP Business Technology Platform
- SAP Business ByDesign
- SAP HANA
- SAP Cloud for Customer
- SAP Fieldglass
Tekintse meg a következő blogbejegyzéseket és SAP-erőforrásokat is:
- SAP GUI MFA integrációja a Microsoft Entra -val, az SAP Secure Login Service és integrációja a Microsoft Entra Private Access-mal.
- SAP BTP- hozzáférésének kezelése
- Azure Application Gateway SAML egyszeri bejelentkezés beállítása nyilvános és belső SAP URL-címekhez
- Egyszeri bejelentkezés a Microsoft Entra Domain Services és a Kerberos használatával
Identitások kiépítése modern SAP-alkalmazásokba
Miután a felhasználók a Microsoft Entra-azonosítóban vannak, fiókokat építhet ki a különböző SaaS- és helyszíni SAP-alkalmazásokba, amelyekhez hozzáférésre van szükségük. Ezt kétféleképpen hajthatja végre:
- A Microsoft Entra ID-ban az SAP Cloud Identity Services nagyvállalati alkalmazásával identitásokat építhet ki az SAP Cloud Identity Servicesbe. Miután behozta az összes identitást az SAP Cloud Identity Servicesbe, az SAP Cloud Identity Services – Identity Provisioning használatával szükség esetén kiépítheti a fiókokat az alkalmazásokba.
- Az SAP Cloud Identity Services – Identity Provisioning integrációval közvetlenül exportálhat identitásokat a Microsoft Entra ID-ból az SAP Cloud Identity Services integrált alkalmazásaiba. Ha az SAP Cloud Identity Services – Identity Provisioning szolgáltatást használja a felhasználók alkalmazásba való bevonásához, az alkalmazások összes kiépítési konfigurációja közvetlenül az SAP-ban lesz kezelve. Továbbra is használhatja a vállalati alkalmazást a Microsoft Entra-azonosítóban az egyszeri bejelentkezés kezeléséhez, és a Microsoft Entra ID-t vállalati identitásszolgáltatóként.
Identitások kiépítése helyszíni SAP-rendszerekbe
Ha már rendelkezik felhasználókat a Microsoft Entra-azonosítóval, kiépítheti ezeket a felhasználókat a Microsoft Entra-azonosítóból az SAP Cloud Identity Servicesbe vagy az SAP ECC-be, hogy bejelentkezhessenek az SAP-alkalmazásokba. Ha rendelkezik SAP S/4HANA On-premise, akkor a felhasználókat a Microsoft Entra ID-ból az SAP Cloud Identity Directoryba építheti ki. Az SAP Cloud Identity Services ezt követően az SAP Cloud Identity Directoryban található Microsoft Entra-azonosítóból származó felhasználókat az SAP S/4HANA Helyszíni SAP-felhő-összekötőn keresztül az alárendelt SAP-alkalmazásokba helyezi át.
Azok az ügyfelek, akik még nem váltanak át az olyan alkalmazásokról, mint az SAP R/3 és az SAP ERP Central Component (SAP ECC) az SAP S/4HANA-ra, továbbra is támaszkodhatnak a Microsoft Entra kiépítési szolgáltatásra a felhasználói fiókok kiépítéséhez. Az SAP R/3-on és az SAP ECC-n belül elérhetővé teheti a szükséges üzletialkalmazás-programozási felületeket (BAPI-kat) a felhasználók létrehozásához, frissítéséhez és törléséhez. A Microsoft Entra-azonosítón belül két lehetősége van:
- Használja a könnyű Microsoft Entra kiépítési ügynököt és a webszolgáltatások összekötőjét, hogy felhasználókat biztosítson olyan alkalmazások számára, mint a SAP ECC.
- Olyan helyzetekben, ahol összetettebb csoport- és szerepkör-kezelést kell végeznie, a Microsoft Identity Managerrel kezelheti a régi SAP-alkalmazásokhoz való hozzáférést.
A Microsoft Entra ID-t is használhatja arra, hogy munkatársakat állítson be az Active Directory-ba, valamint más helyszíni rendszerekbe, amelyeket az SAP Cloud Identity Services nem támogat a kiépítéshez.
Egyéni munkafolyamatok aktiválása
Ha új alkalmazottat alkalmaz a szervezetében, előfordulhat, hogy a felhasználói kiépítésen túl további feladatokhoz is létre kell hoznia egy munkafolyamatot az SAP helyszíni rendszereiben. A Microsoft Entra életciklus-munkafolyamatainak Logic Apps-bővíthetőségével vagy a Microsoft Entra jogosultságkezelési Logic Apps bővíthetőségével az Azure Logic Apps SAP-összekötőjével egyéni műveleteket indíthat el az SAP-ban egy új alkalmazott felvételekor.
A vámok elkülönítésének ellenőrzése
A feladatok szétválasztása ellenőrzésével a Microsoft Entra jogosultságkezelésében az ügyfelek biztosíthatják, hogy a felhasználók ne vállaljanak túlzott hozzáférési jogosultságokat.
- A rendszergazdák és a hozzáférés-kezelők megakadályozhatják, hogy a felhasználók további hozzáférési csomagokat kérjenek, ha már más hozzáférési csomagokhoz vannak rendelve, vagy más csoportok tagjai, amelyek nem kompatibilisek a kért hozzáféréssel.
- Az SAP-alkalmazásokra vonatkozó kritikus szabályozási követelményekkel rendelkező vállalatok egységes hozzáférés-vezérlési nézettel rendelkeznek. Ezt követően a pénzügyi és egyéb üzleti szempontból kritikus alkalmazásokban, valamint a Microsoft Entra integrált alkalmazásaiban is érvényesíthetik a vámelválasztási ellenőrzéseket.
- A Microsoft Entra integrációjával az SAP hozzáférés szabályozásához, a Pathlockhoz és más partnertermékekhez az ügyfelek kihasználhatják a további részletes elkülönítési és kockázatkezelési ellenőrzéseket, amelyeket ezekben a termékekben hajtanak végre, valamint hozzáférhetnek a Microsoft Entra ID-kezelés hozzáférési csomagjaihoz.
További útmutatás
A Microsoft Entra ID-val való SAP-integrációval kapcsolatos további információkért tekintse meg a következő dokumentációt:
- Biztonságos hozzáférés az SAP Cloud Identity Services és a Microsoft Entra ID használatával
- SAP számítási feladatok biztonsága – Microsoft Azure Well-Architected Framework
- Szolgáltatások és integrációs partnerek a Microsoft Entra SAP-alkalmazásokkal való üzembe helyezéséhez