Mengelola akses ke aplikasi SAP Anda

Perangkat lunak dan layanan SAP kemungkinan menjalankan fungsi penting, seperti HR dan ERP, untuk organisasi Anda. Pada saat yang sama, organisasi Anda bergantung pada Microsoft untuk berbagai layanan Azure, Microsoft 365, dan Tata Kelola ID Microsoft Entra untuk mengelola akses ke aplikasi. Artikel ini menjelaskan bagaimana Anda dapat menggunakan Identity Governance untuk mengelola identitas di seluruh aplikasi SAP Anda.

Migrasi dari Manajemen Identitas SAP

Jika Anda telah menggunakan SAP Identity Management (IDM), maka Anda dapat memigrasikan skenario manajemen identitas dari SAP IDM ke Microsoft Entra. Untuk informasi selengkapnya, lihat Memigrasikan skenario manajemen identitas dari SAP IDM ke Microsoft Entra.

Bawa identitas dari SDM ke dalam Microsoft Entra ID

Rencana tutorial menerapkan Microsoft Entra untuk penyediaan pengguna dengan aplikasi SAP sumber dan target menggambarkan cara menghubungkan Microsoft Entra dengan sumber otoritatif untuk daftar pekerja otomatis di organisasi, seperti SAP SuccessFactors. Ini juga menunjukkan kepada Anda cara menggunakan Microsoft Entra untuk menyiapkan identitas untuk pekerja tersebut. Kemudian Anda mempelajari cara menggunakan Microsoft Entra untuk memberi pekerja akses untuk masuk ke satu atau beberapa aplikasi SAP, seperti SAP ECC atau SAP S/4HANA.

SuccessFactors

Pelanggan yang menggunakan SAP SuccessFactors dapat dengan mudah membawa identitas dari SuccessFactors ke MICROSOFT Entra ID atau dari SuccessFactors ke Active Directory lokal dengan menggunakan konektor asli. Konektor mendukung skenario berikut:

• Mempekerjakan karyawan baru: Saat karyawan baru ditambahkan ke SuccessFactors, akun pengguna secara otomatis dibuat di ID Microsoft Entra dan secara opsional Microsoft 365 dan aplikasi perangkat lunak sebagai layanan (SaaS) lainnya yang didukung ID Microsoft Entra. Proses ini mencakup penulisan kembali alamat email ke SuccessFactors.
• Pembaruan atribut dan profil karyawan: Saat catatan karyawan diperbarui di SuccessFactors (seperti nama, judul, atau manajer), akun pengguna karyawan secara otomatis diperbarui di ID Microsoft Entra dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung MICROSOFT Entra ID.
• Penghentian karyawan: Saat karyawan dihentikan di SuccessFactors, akun pengguna karyawan secara otomatis dinonaktifkan di ID Microsoft Entra dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung MICROSOFT Entra ID.
• Perekrutan Ulang Karyawan: Ketika karyawan dipekerjakan kembali di SuccessFactors, akun lama karyawan dapat diaktifkan kembali atau diprovisikan ulang secara otomatis (berdasarkan preferensi Anda) ke ID Microsoft Entra dan, jika diinginkan, Microsoft 365 serta aplikasi SaaS lainnya yang didukung oleh ID Microsoft Entra.

Anda juga dapat menulis kembali dari ID Microsoft Entra ke SAP SuccessFactors.

SAP HCM

Pelanggan yang masih menggunakan SAP Human Capital Management (HCM) juga dapat membawa identitas ke dalam ID Microsoft Entra. Dengan menggunakan SAP Integration Suite, Anda dapat menyinkronkan daftar pekerja antara SAP HCM dan SAP SuccessFactors. Dari sana, Anda dapat membawa identitas langsung ke Microsoft Entra ID atau memprovisikannya ke dalam Active Directory Domain Services dengan menggunakan integrasi penyediaan asli yang telah disebutkan sebelumnya.

Menyediakan akses ke aplikasi SAP

Selain integrasi provisi asli yang memungkinkan Anda mengelola akses ke aplikasi SAP Anda, Microsoft Entra ID mendukung serangkaian integrasi yang komprehensif dengan aplikasi tersebut.

Mengaktifkan SSO

Seiring dengan menyiapkan provisi untuk aplikasi SAP Anda, Anda dapat mengaktifkan SSO untuk aplikasi tersebut. ID Microsoft Entra dapat berfungsi sebagai penyedia identitas dan berfungsi sebagai otoritas autentikasi untuk aplikasi SAP Anda. MICROSOFT Entra ID dapat diintegrasikan dengan SAP NetWeaver menggunakan SAML atau OAuth. Untuk SAP SaaS dan aplikasi modern, pelajari cara mengonfigurasi ID Microsoft Entra sebagai penyedia identitas perusahaan untuk aplikasi SAP Anda melalui SAP Cloud Identity Services.

Untuk informasi selengkapnya tentang cara mengonfigurasi akses menyeluruh dari ID Microsoft Entra, lihat dokumentasi dan tutorial berikut:

• SAP Cloud Identity Services
• SAP SuccessFactors
• SAP Analytics Cloud
• SAP Fiori
• SAP Ariba
• SAP Concur Travel and Expense
• Platform Teknologi Bisnis SAP
• SAP Business ByDesign
• SAP HANA
• SAP Cloud for Customer
• SAP Fieldglass

Lihat juga posting blog dan sumber daya SAP berikut:

• SAP GUI MFA dengan integrasi Microsoft Entra , terintegrasi dengan SAP Secure Login Service, dan integrasi dengan Microsoft Entra Private Access.
• Mengelola akses ke SAP BTP
• Penyiapan Azure Application Gateway Akses Menyeluruh SAML untuk URL SAP Publik dan Internal
• Single Sign-On menggunakan Microsoft Entra Domain Services dan Kerberos

Memprovisikan identitas ke dalam aplikasi SAP modern

Setelah pengguna Anda berada di ID Microsoft Entra, Anda dapat memprovisikan akun ke dalam berbagai aplikasi SaaS dan SAP lokal yang perlu mereka akses. Anda memiliki dua cara untuk mencapai hal ini:

• Gunakan aplikasi perusahaan SAP Cloud Identity Services di MICROSOFT Entra ID untuk memprovisikan identitas ke dalam SAP Cloud Identity Services. Setelah Membawa semua identitas ke SAP Cloud Identity Services, Anda dapat menggunakan SAP Cloud Identity Services - Penyediaan Identitas untuk memprovisikan akun dari sana ke dalam aplikasi Anda jika diperlukan.
• Gunakan SAP Cloud Identity Services - Penyediaan Identitas untuk mengekspor identitas secara langsung dari Microsoft Entra ID ke dalam aplikasi terintegrasi SAP Cloud Identity Services. Saat Anda menggunakan SAP Cloud Identity Services - Penyediaan Identitas untuk membawa pengguna ke dalam aplikasi tersebut, semua konfigurasi provisi untuk aplikasi tersebut dikelola di SAP secara langsung. Anda masih dapat menggunakan aplikasi perusahaan di MICROSOFT Entra ID untuk mengelola SSO dan menggunakan ID Microsoft Entra sebagai penyedia identitas perusahaan.

Memprovisikan identitas ke dalam sistem SAP lokal

Setelah Anda memiliki pengguna di ID Microsoft Entra, Anda dapat memprovisikan pengguna tersebut dari ID Microsoft Entra ke SAP Cloud Identity Services atau SAP ECC, untuk memungkinkan mereka masuk ke aplikasi SAP. Jika Anda memiliki SAP S/4HANA On-premise, maka provisikan pengguna dari ID Microsoft Entra ke SAP Cloud Identity Directory. SAP Cloud Identity Services kemudian memprovisikan pengguna yang berasal dari ID Microsoft Entra yang berada di Direktori Identitas Cloud SAP ke dalam aplikasi SAP hilir ke SAP S/4HANA Lokal melalui konektor cloud SAP.

Pelanggan yang belum beralih dari aplikasi seperti SAP R/3 dan Komponen Pusat SAP ERP (SAP ECC) ke SAP S/4HANA masih dapat mengandalkan layanan provisi Microsoft Entra untuk memprovisikan akun pengguna. Dalam SAP R/3 dan SAP ECC, Anda mengekspos Antarmuka Pemrograman Aplikasi Bisnis (BAPI) yang diperlukan untuk membuat, memperbarui, dan menghapus pengguna. Dalam ID Microsoft Entra, Anda memiliki dua opsi:

• Gunakan agen provisi Microsoft Entra ringan dan konektor layanan web untuk memprovisikan pengguna ke dalam aplikasi seperti SAP ECC.
• Dalam skenario di mana Anda perlu melakukan manajemen grup dan peran yang lebih kompleks, gunakan Microsoft Identity Manager untuk mengelola akses ke aplikasi SAP warisan Anda.

Anda juga dapat menggunakan Microsoft Entra ID untuk memprovisikan pekerja ke Active Directory, serta ke sistem lokal lainnya yang tidak didukung untuk provisi oleh SAP Cloud Identity Services.

Memicu alur kerja kustom

Saat karyawan baru dipekerjakan di organisasi Anda, Anda mungkin perlu memicu alur kerja dalam sistem lokal SAP Anda untuk tugas tambahan di luar provisi pengguna. Dengan menggunakan ekstensibilitas Logic Apps alur kerja siklus hidup Microsoft Entra, atau ekstensibilitas Logic Apps manajemen pemberian hak Microsoft Entra dengan konektor SAP di Azure Logic Apps, Anda dapat memicu tindakan kustom di SAP setelah mempekerjakan karyawan baru.

Periksa pemisahan tugas

Dengan pemeriksaan pemisahan tugas dalam pengelolaan pemberian hak Microsoft Entra, pelanggan dapat memastikan bahwa pengguna tidak mengambil hak akses yang berlebihan:

• Admin dan manajer akses dapat mencegah pengguna meminta paket akses tambahan jika mereka sudah ditetapkan ke paket akses lain atau merupakan anggota grup lain yang tidak kompatibel dengan akses yang diminta.
• Perusahaan dengan persyaratan peraturan penting untuk aplikasi SAP memiliki satu tampilan kontrol akses yang konsisten. Mereka kemudian dapat memberlakukan pemeriksaan pemisahan tugas di seluruh aplikasi keuangan dan bisnis penting lainnya, bersama dengan aplikasi terintegrasi Microsoft Entra.
• Dengan integrasi Microsoft Entra ke tata kelola akses SAP, ke Pathlock dan ke produk mitra lainnya, pelanggan dapat memanfaatkan risiko tambahan dan pemeriksaan pemisahan tugas terperinci yang diberlakukan dalam produk tersebut, dengan paket akses dalam Tata Kelola ID Microsoft Entra.

Panduan tambahan

Untuk informasi selengkapnya tentang integrasi SAP dengan MICROSOFT Entra ID, lihat dokumentasi berikut ini:

• Akses aman dengan SAP Cloud Identity Services dan ID Microsoft Entra
• Keamanan beban kerja SAP - Microsoft Azure Well-Architected Framework
• Mitra layanan dan integrasi untuk menyebarkan Microsoft Entra dengan aplikasi SAP

Langkah berikutnya

• Rencanakan penerapan Microsoft Entra untuk penyediaan pengguna dengan aplikasi sumber dan target SAP
• Membawa identitas dari SAP SuccessFactors ke MICROSOFT Entra ID
• Menyediakan akun di SAP Cloud Identity Services
• Mulai menggunakan skenario integrasi SAP dan Microsoft