Migrowanie scenariuszy zarządzania tożsamościami z programu SAP IDM do usługi Microsoft Entra
Oprócz aplikacji biznesowych firma SAP oferuje szereg technologii zarządzania tożsamościami i dostępem, w tym usług SAP Cloud Identity Services i SAP Identity Management (SAP IDM), aby pomóc swoim klientom w utrzymaniu tożsamości w aplikacjach SAP. Oprogramowanie SAP IDM, które organizacje wdrażają lokalnie, historycznie zapewniało zarządzanie tożsamościami i dostępem w przypadku wdrożeń SAP R/3. SAP zakończy utrzymanie rozwiązania SAP Identity Management. W przypadku tych organizacji, które korzystały z usługi SAP Identity Management, firma Microsoft i SAP współpracują ze współpracownikami w celu opracowania wskazówek dotyczących migracji scenariuszy zarządzania tożsamościami z usługi SAP Identity Management do firmy Microsoft Entra.
Modernizacja tożsamości to krytyczny i niezbędny krok w kierunku poprawy stanu zabezpieczeń organizacji i ochrony użytkowników i zasobów przed zagrożeniami tożsamości. Jest to strategiczna inwestycja, która może przynieść znaczne korzyści poza silniejszą postawę zabezpieczeń, na przykład poprawę środowiska użytkownika i optymalizację wydajności operacyjnej. Administratorzy w wielu organizacjach wyrazili zainteresowanie przeniesieniem centrum scenariuszy zarządzania tożsamościami i dostępem w całości do chmury. Niektóre organizacje nie będą już mieć środowiska lokalnego, podczas gdy inne integrują zarządzanie tożsamościami i dostępem hostowanymi w chmurze z pozostałymi aplikacjami lokalnymi, katalogami i bazami danych. Aby uzyskać więcej informacji na temat transformacji w chmurze dla usług tożsamości, zobacz podejście do transformacji chmurowej i przejście na chmurę.
Firma Microsoft Entra oferuje uniwersalną platformę tożsamości hostowaną w chmurze, która zapewnia osobom, partnerom i klientom pojedynczą tożsamość w celu uzyskiwania dostępu do aplikacji w chmurze i lokalnych oraz współpracy z dowolnej platformy i urządzenia. Ten dokument zawiera wskazówki dotyczące opcji migracji i podejść do przenoszenia scenariuszy zarządzania tożsamościami i dostępem (IAM) z rozwiązania SAP Identity Management do usług hostowanych w chmurze firmy Microsoft i zostaną zaktualizowane w miarę udostępniania nowych scenariuszy migracji.
Omówienie firmy Microsoft Entra i jego integracji produktów SAP
Microsoft Entra to rodzina produktów, w tym Microsoft Entra ID (dawniej Azure Active Directory) i Zarządzanie tożsamością Microsoft Entra. Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem, która umożliwia pracownikom i gościom dostęp do zasobów. Zapewnia silne uwierzytelnianie i bezpieczny dostęp adaptacyjny oraz integruje się zarówno z lokalnymi starszymi aplikacjami, jak i tysiącami aplikacji typu oprogramowanie jako usługa (SaaS), zapewniając bezproblemowe środowisko użytkownika końcowego. Zarządzanie tożsamością Microsoft Entra oferuje dodatkowe możliwości automatycznego ustanawiania tożsamości użytkowników w aplikacjach, do których użytkownicy muszą uzyskiwać dostęp, oraz aktualizować i usuwać tożsamości użytkowników w miarę zmiany stanu zadania lub ról.
Firma Microsoft Entra udostępnia interfejsy użytkownika, w tym centrum administracyjne firmy Microsoft Entra, portale myapps i myaccess oraz udostępnia interfejs API REST dla operacji zarządzania tożsamościami i samoobsługę delegowanego użytkownika końcowego. Microsoft Entra ID obejmuje integracje dla rozwiązania SuccessFactors, składnika SAP ERP Central (SAP ECC) oraz dzięki usługom SAP Cloud Identity Services, zapewniają aprowizację i logowanie jednokrotne do platformy S/4HANA oraz do wielu innych aplikacji SAP. Aby uzyskać więcej informacji na temat tych integracji, zobacz Zarządzanie dostępem do aplikacji SAP. Firma Microsoft Entra implementuje również standardowe protokoły, takie jak SAML, SCIM, SOAP i OpenID Connect, aby bezpośrednio integrować się z wieloma aplikacjami na potrzeby logowania jednokrotnego i aprowizacji. Microsoft Entra ma również agentów, w tym agent synchronizacji Microsoft Entra Connect w chmurze oraz agenta aprowizacji, aby połączyć chmurowe usługi Microsoft Entra z lokalnymi aplikacjami, katalogami i bazami danych organizacji.
Na poniższym diagramie przedstawiono przykładową topologię aprowizacji użytkowników i logowania jednokrotnego. W tej topologii pracownicy są reprezentowani w SuccessFactors i muszą mieć konta w domenie Active Directory systemu Windows Server, w Microsoft Entra, SAP ECC oraz aplikacjach SAP w chmurze. W tym przykładzie przedstawiono organizację z domeną usługi AD systemu Windows Server; jednak usługa AD systemu Windows Server nie jest wymagana.
Planowanie migracji scenariuszy zarządzania tożsamościami do firmy Microsoft Entra
Od czasu wprowadzenia rozwiązania SAP IDM krajobraz zarządzania tożsamościami i dostępem ewoluował wraz z nowymi aplikacjami i nowymi priorytetami biznesowymi, a więc podejścia zalecane do rozwiązywania przypadków użycia IAM będą w wielu przypadkach różnić się od tych organizacji, które zostały wcześniej zaimplementowane dla rozwiązania SAP IDM. W związku z tym organizacje powinny zaplanować etapowe podejście do migracji scenariuszy. Na przykład jedna organizacja może określić priorytety migracji scenariusza samoobsługowego resetowania haseł przez użytkownika końcowego jako jeden krok, a następnie, po jego ukończeniu, zająć się migracją scenariusza aprowizacji. W innym przykładzie organizacja może najpierw wdrożyć funkcje firmy Microsoft Entra w oddzielnej dzierżawie przejściowej, obsługiwanej równolegle z istniejącym systemem zarządzania tożsamościami i dzierżawą produkcyjną, a następnie wprowadzić konfiguracje scenariuszy jeden po jednym z dzierżawy przejściowej do dzierżawy produkcyjnej i zlikwidować ten scenariusz z istniejącego systemu zarządzania tożsamościami. Kolejność, w jakiej organizacja zdecyduje się przenieść swoje scenariusze, będzie zależeć od ogólnych priorytetów IT i wpływu na innych uczestników projektu, takich jak użytkownicy końcowi potrzebują aktualizacji szkoleniowej lub właściciele aplikacji. Organizacje mogą również strukturyzować migrację scenariuszy IAM w powiązaniu z innymi modernizacjami IT, takimi jak przenoszenie innych scenariuszy niewchodzących w zakres zarządzania tożsamościami z lokalnej technologii SAP do SuccessFactors, S/4HANA lub innych usług w chmurze. Możesz również skorzystać z tej okazji, aby wyczyścić i usunąć nieaktualne integracje, prawa dostępu lub role i skonsolidować w razie potrzeby.
Aby rozpocząć planowanie migracji,
- Zidentyfikuj bieżące i planowane przypadki użycia IAM w strategii modernizacji IAM.
- Przeanalizuj wymagania tych przypadków użycia i dopasuj te wymagania do możliwości usług Microsoft Entra.
- Określanie ram czasowych i uczestników projektu w celu wdrożenia nowych funkcji firmy Microsoft Entra w celu obsługi migracji.
- Określ proces przeniesienia dla aplikacji, aby zintegrować jednorazowe logowanie, zarządzanie cyklem życia tożsamości oraz cyklem życia dostępu z Microsoft Entra.
Ponieważ migracja SAP IDM prawdopodobnie będzie obejmować integracje z istniejącymi aplikacjami SAP, zapoznaj się ze wskazówkami dotyczącymi integracji ze źródłami i odbiornikami SAP, aby określić sekwencję włączania aplikacji oraz sposób ich integracji z Microsoft Entra.
Usługi i partnerzy integracji na potrzeby wdrażania firmy Microsoft Entra z aplikacjami SAP
Partnerzy mogą również pomóc twojej organizacji w planowaniu i wdrażaniu Microsoft Entra z aplikacjami SAP, takimi jak SAP S/4HANA. Klienci mogą angażować partnerów wymienionych w narzędziu Microsoft Solution Partner Finder lub wybrać spośród tych usług i partnerów integracji wymienionych w poniższej tabeli. Opisy i połączone strony są udostępniane przez samych partnerów. Możesz użyć tego opisu, aby zidentyfikować partnera do wdrożenia Microsoft Entra wraz z aplikacjami SAP, z którym możesz się skontaktować i dowiedzieć się więcej.
| Nazwa/nazwisko | opis |
|---|---|
| Accenture i Avanade | "Accenture i Avanade są globalnymi liderami w zakresie zabezpieczeń i usług SAP firmy Microsoft. Dzięki naszej unikatowej kombinacji umiejętności związanych z Microsoft i SAP możemy pomóc zrozumieć i pomyślnie zaplanować migrację z SAP IdM do Microsoft Entra ID. Dzięki naszym zasobom dostawczym i wiedzy fachowej firma Avanade i Accenture mogą pomóc w przyspieszeniu projektu migracji w celu osiągania swoich celów z mniejszym ryzykiem. Accenture jest wyjątkowo pozycjonowany, aby pomóc dużym przedsiębiorstwom globalnym, uzupełnionym głębokim doświadczeniem firmy Avanade z wspieraniem zarówno średnich, jak i dużych przedsiębiorstw podczas migracji. Nasza obszerna wiedza i doświadczenie mogą pomóc w przyspieszeniu podróży w celu zastąpienia rozwiązania SAP IdM, jednocześnie maksymalizując inwestycję w identyfikator Microsoft Entra ID. |
| ARMIS | "ARMIS, z ponad 20-letnim doświadczeniem w transformacji cyfrowej, oferuje globalne rozwiązania technologiczne i jest zaufanym partnerem firmy Microsoft. Specjalizujemy się w zabezpieczeniach, danych & sztucznej inteligencji i aplikacjach biznesowych, dostarczając innowacyjne rozwiązania, które zwiększają wydajność i zrównoważony rozwój przy użyciu pakietu Microsoft Entra Suite w celu zwiększenia bezpieczeństwa i zarządzania tożsamościami". |
| Campana i Schott | "Campana & Schott to międzynarodowe doradztwo w zakresie zarządzania i technologii z ponad 600 pracownikami w Europie i USA. Łączymy ponad 30-letnie doświadczenie w zarządzaniu projektami i transformacji z dogłębną wiedzą w zakresie technologii firmy Microsoft, strategii IT i organizacji IT. Jako partner rozwiązań firmy Microsoft dla chmury firmy Microsoft zapewniamy nowoczesne zabezpieczenia dla aplikacji Microsoft 365, SaaS i starszych aplikacji lokalnych. |
| Technologia DXC | "Technologia DXC pomaga firmom globalnym uruchamiać swoje systemy i operacje o znaczeniu krytycznym podczas modernizacji IT, optymalizowania architektur danych oraz zapewniania bezpieczeństwa i skalowalności w chmurach publicznych, prywatnych i hybrydowych. Dzięki 30+ lat globalnej współpracy strategicznej z firmą Microsoft i SAP firma DXC ma bogate doświadczenie w implementacjach oprogramowania SAP IDM w różnych branżach. |
| Edgile, firma Wipro | Edgile, firma Wipro, korzysta z zasobów z 25 lat wiedzy zarówno z SAP, jak i platformy Microsoft 365, aby bezproblemowo przenieść Tożsamość i Zarządzanie Dostępem (IdM) dla naszych wartościowych klientów. Jako partner startowy Microsoft Entra oraz globalny partner strategicznych usług SAP (GSSP) wyróżniamy się w dziedzinie modernizacji zarządzania tożsamościami i dostępem oraz zarządzania zmianami. Nasz zespół ekspertów z Edgile i Wipro stosuje unikalne podejście, zapewniając pomyślną transformację tożsamości i bezpieczeństwa w systemach chmurowych dla naszych klientów. |
| Rozwiązanie IB | IBsolution jest jedną z najbardziej doświadczonych firm doradczych SAP Identity Management na całym świecie, z dorobkiem ponad 20 lat. Dzięki strategicznemu podejściu i wstępnie spakowanym rozwiązaniom firma towarzyszy klientom w przejściu od rozwiązania SAP IdM do najbardziej zalecanego następcy rozwiązania IdM firmy SAP, Microsoft Entra ID Governance. |
| IBM Consulting | IBM Consulting jest globalnym liderem w zakresie zabezpieczeń Microsoft i usług transformacji SAP. Jesteśmy dobrze pozycjonowani, aby obsługiwać migrację oprogramowania SAP IdM klientów do identyfikatora Entra firmy Microsoft. Nasza wiedza i doświadczenie w obsłudze dużych globalnych klientów korporacyjnych, w połączeniu z głęboką wiedzą w zakresie cyberbezpieczeństwa, sztucznej inteligencji i usług SAP, pomaga zapewnić bezproblemową podróż przejścia z minimalnymi zakłóceniami w krytycznych usługach biznesowych i funkcjach. |
| KPMG | "KPMG i Microsoft jeszcze bardziej wzmacniają swój sojusz, dostarczając kompleksową propozycję zarządzania tożsamościami. Dzięki umiejętnemu poruszaniu się po złożoności ładu tożsamości, połączenie zaawansowanych narzędzi firmy Microsoft Entra z KPMG Powered Enterprise pomaga pobudzać transformację funkcjonalną. Ta synergia może napędzać przyspieszone możliwości cyfrowe, zwiększyć wydajność operacyjną, wzmocnić bezpieczeństwo i zapewnić zgodność. |
| ObjektKultur | "Jako wieloletni partner firmy Microsoft, Objektkultur cyfryzuje procesy biznesowe poprzez doradztwo, opracowywanie i operacje innowacyjnych rozwiązań IT. Mając głębokie doświadczenie w wdrażaniu rozwiązań do zarządzania tożsamościami i dostępem w ramach technologii firmy Microsoft i integrowania aplikacji, bezproblemowo kierujemy klientów od wycofanego rozwiązania SAP IDM do niezawodnej usługi Microsoft Entra, gwarantując bezpieczne, zarządzane i usprawnione zarządzanie tożsamościami i dostępem w chmurze. |
| Patecco | "PATECCO to niemiecka firma konsultingowa IT specjalizująca się w opracowywaniu, obsłudze i wdrażaniu rozwiązań do zarządzania tożsamościami i dostępem w oparciu o najnowsze technologie. Mając wysoką wiedzę na temat IAM i partnerstwa z liderami branży, oferuje dostosowane usługi dla klientów z różnych sektorów, w tym bankowości, ubezpieczeń, farmy, energii, chemii i użyteczności publicznej. |
| Protiviti | Jako partner w rozwiązaniach w chmurze sztucznej inteligencji Microsoft i partner SAP Gold, doświadczenie Protiviti w zakresie rozwiązań Microsoft i SAP jest niezrównane w branży. Łączenie naszych zaawansowanych partnerstw zapewni naszym klientom zestaw kompleksowych rozwiązań do scentralizowanego zarządzania tożsamościami i zarządzania rolami. |
| PwC | Usługi zarządzania tożsamości i dostępem PwC mogą pomóc we wszystkich fazach wdrażania, od oceny istniejących możliwości wdrożonych w SAP IDM po strategizowanie i planowanie docelowego stanu i wizji z Microsoft Entra ID Governance. PwC może również wspierać i zarządzać środowiskiem jako usługą zarządzaną po uruchomieniu. |
| SAP | "Z dużym doświadczeniem w projektowaniu i wdrażaniu rozwiązania SAP IDM nasz zespół konsultingowy SAP oferuje kompleksową wiedzę na temat migracji z rozwiązania SAP IDM do firmy Microsoft Entra. Dzięki silnym i bezpośrednim połączeniom z programowaniem sap możemy napędzać wymagania klientów i wdrażać innowacyjne pomysły. Nasze doświadczenie w integracji z firmą Microsoft Entra umożliwia nam dostarczanie dostosowanych rozwiązań. Ponadto mamy najlepsze rozwiązania dotyczące obsługi usług SAP Cloud Identity Services i integrowania oprogramowania SAP z produktami w chmurze innych niż SAP. Ufaj naszej wiedzy i pozwól, aby nasz zespół konsultingowy SAP wspierał Cię podczas migracji do identyfikatora Entra firmy Microsoft". |
| SITS | "SITS, wiodący dostawca cyberbezpieczeństwa w regionie DACH, wspiera klientów poprzez najwyższej klasy doradztwo, inżynierię, technologie w chmurze i usługi zarządzane." Jako partner rozwiązań firmy Microsoft dla zabezpieczeń, nowoczesnej pracy i infrastruktury platformy Azure oferujemy naszym klientom doradztwo, implementację, pomoc techniczną i usługi zarządzane w zakresie zabezpieczeń, zgodności, tożsamości i prywatności". |
| Traxion | "Traxion, część grupy SITS, działa w regionie BeNeLux. Traxion to firma zajmująca się bezpieczeństwem IT z 160 pracownikami i ponad 24 latami, specjalizujemy się w rozwiązaniach do zarządzania tożsamościami. Jako partner firmy Microsoft, zapewniamy usługi doradcze, wdrożeniowe i serwisowe najwyższej klasy w zakresie IAM, zapewniając silne, długotrwałe relacje z klientami. |
| TrustSis | "TrustSis, partner firmy Microsoft i SAP Gold z siedzibą w Brazylii, oferuje niezrównaną wiedzę na temat integracji rozwiązań Firmy Microsoft Entra i SAP. Specjalizacja w zakresie zarządzania dostępem, zabezpieczeń, kontroli wewnętrznej, ograniczania ryzyka i podziału obowiązków (SoD), TrustSis zapewnia bezpieczeństwo i wydajność każdej migracji. Dzięki szerokiemu doświadczeniu w oprogramowaniu SAP IDM firma TrustSis gwarantuje strategiczne przejścia, które utrzymują doskonałość operacyjną przy jednoczesnym wzmacnianiu środków bezpieczeństwa. |
Wskazówki dotyczące migracji dla każdego scenariusza rozwiązania SAP IDM
W poniższych sekcjach znajdziesz linki do wskazówek, jak migrować każdy scenariusz SAP IDM do Microsoft Entra. Nie wszystkie sekcje mogą być istotne dla każdej organizacji, w zależności od scenariuszy SAP IDM wdrożonych przez organizację.
Pamiętaj, aby monitorować ten artykuł, dokumentację produktu Microsoft Entra i odpowiednią dokumentację produktu SAP, aby uzyskać aktualizacje, ponieważ możliwości obu produktów nadal ewoluują, umożliwiając więcej scenariuszy migracji i nowych scenariuszy, w tym integracje Microsoft Entra z SAP Access Control (SAP AC) i SAP Cloud Identity Access Governance (SAP IAG).
Migruj repozytorium tożsamości do dzierżawcy Microsoft Entra ID
W programie SAP IDM magazyn tożsamości to repozytorium informacji o tożsamości, w tym użytkowników, grup i ślad audytu. W Microsoft Entra, jednostka Entra ID to wystąpienie, w którym znajdują się informacje o jednej organizacji, w tym takie jak użytkownicy, grupy i urządzenia. Administrator zawiera również zasady dostępu i zgodności dla zasobów, takich jak aplikacje zarejestrowane w katalogu. Podstawowe funkcje pełnione przez najemcę obejmują uwierzytelnianie tożsamości, jak również zarządzanie dostępem do zasobów. Tenanty zawierają uprzywilejowane dane organizacyjne i są bezpiecznie odizolowane od innych tenantów. Ponadto dzierżawy można skonfigurować tak, aby dane organizacji zostały utrwalone i przetworzone w określonym regionie lub chmurze, co umożliwia organizacjom korzystanie z dzierżaw jako mechanizmu spełniającego wymagania dotyczące rezydencji danych i obsługi wymagań dotyczących zgodności.
Organizacje z platformą Microsoft 365, platformą Microsoft Azure lub innymi usługami online firmy Microsoft mają już dzierżawę identyfikatora Entra firmy Microsoft, która stanowi podstawę tych usług. Ponadto organizacja może mieć dodatkowe najmy, takie jak ten z określonymi aplikacjami, który został skonfigurowany, aby spełniać standardy takie jak PCI-DSS, mające zastosowanie do tych aplikacji. Aby uzyskać więcej informacji na temat określania, czy istniejący najemca jest odpowiedni, zobacz izolacja zasobów przy wielu najemcach. Jeśli Twoja organizacja nie ma jeszcze dzierżawcy, zapoznaj się z planami wdrażania Microsoft Entra.
Przed migracją scenariuszy do dzierżawy Microsoft Entra zapoznaj się z instrukcjami krok po kroku:
- Definiowanie zasad organizacji z wymaganiami wstępnymi użytkownika i innymi ograniczeniami dostępu do aplikacji
-
Zdecyduj o topologii aprowizacji oraz uwierzytelniania. Podobnie jak w przypadku zarządzania cyklem życia tożsamości SAP IDM
, jedna dzierżawa usługi Microsoft Entra ID może łączyć się z wieloma aplikacjami w chmurze i lokalnie na potrzeby udostępniania i logowania jednokrotnego. - Upewnij się, że wymagania wstępne organizacji są spełnione w tym dzierżawcy, w tym posiadanie odpowiednich licencji Microsoft Entra dla funkcji, z których będziesz korzystać.
Migrowanie istniejących danych IAM do dzierżawy usługi Microsoft Entra ID
W programie SAP IDM magazyn tożsamości reprezentuje dane tożsamości za pomocą typów pozycji, takich jak MX_PERSON, MX_ROLElub MX_PRIVILEGE.
Osoba jest reprezentowana w dzierżawie Microsoft Entra ID jako Użytkownik. Jeśli masz istniejących użytkowników, którzy nie są jeszcze w identyfikatorze Entra firmy Microsoft, możesz przenieść je do identyfikatora Entra firmy Microsoft. Najpierw, jeśli masz atrybuty istniejących użytkowników, które nie są częścią schematu Microsoft Entra ID, rozszerz schemat użytkownika Microsoft Entra, dodając atrybuty rozszerzenia odpowiadające tym dodatkowym atrybutom. Następnie wykonaj przesyłanie, aby zbiorczo utworzyć użytkowników w usłudze Microsoft Entra ID ze źródła, takiego jak plik CSV. Następnie należy wydać poświadczenia tym nowym użytkownikom, aby mogli uwierzytelnić się w identyfikatorze Entra firmy Microsoft.
Rolę biznesową można przedstawić w zarządzaniu tożsamością Microsoft Entra ID jako pakiet dostępu do Zarządzania Uprawnieniami. Możesz zarządzać dostępem do aplikacji, migrując model ról organizacyjnych do Microsoft Entra ID Governance, co skutkuje utworzeniem pakietu dostępu dla każdej roli biznesowej. Aby zautomatyzować proces migracji, możesz użyć programu PowerShell do tworzenia pakietów dostępu.
Uprawnienie lub rola techniczna w systemie docelowym może być reprezentowana w firmie Microsoft Entra jako rola aplikacji lub jako grupa zabezpieczeń, w zależności od wymagań systemu docelowego dotyczących sposobu korzystania z danych microsoft Entra ID do autoryzacji. Aby uzyskać więcej informacji, zobacz Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i ustanawianie punktu odniesienia przeglądanego dostępu.
Grupa dynamiczna ma oddzielne możliwe reprezentacje w firmie Microsoft Entra. W Microsoft Entra możesz automatycznie zarządzać kolekcjami użytkowników, na przykład wszystkich z określoną wartością atrybutu centrum kosztów, korzystając z dynamicznych grup członkostwa Microsoft Entra ID lub zarządzania uprawnieniami Microsoft Entra ID Governance przy użyciu zasad automatycznego przypisywania pakietów dostępu. Polecenia cmdlet programu PowerShell umożliwiają tworzenie dynamicznych grup członkostwa lub zbiorcze tworzenie zasad automatycznego przypisania.
Migrowanie scenariuszy zarządzania użytkownikami
Za pośrednictwem centrum administracyjnego firmy Microsoft Entra, interfejsu API programu Microsoft Graph i programu PowerShell administratorzy mogą łatwo wykonywać codzienne działania związane z zarządzaniem tożsamościami, w tym tworzenie użytkownika, blokowanie logowania użytkownika, dodawanie użytkownika do grupy lub usuwanie użytkownika.
Aby umożliwić działanie na dużą skalę, firma Microsoft Entra pozwala organizacjom automatyzować procesy cyklu życia tożsamości.
W usłudze Microsoft Entra ID i Zarządzanie tożsamością Microsoft Entra można zautomatyzować procesy cyklu życia tożsamości przy użyciu:
- Inbound provisioning from your organization's HR sources, pobiera informacje o pracownikach z Workday i SuccessFactors, aby automatycznie zarządzać tożsamościami użytkowników zarówno w usługach Active Directory, jak i Microsoft Entra ID.
- Użytkownicy już obecni w usłudze Active Directory mogą być automatycznie tworzeni i utrzymywani w usłudze Microsoft Entra ID przy użyciu aprowizacji między katalogami.
- Zarządzanie tożsamościami Microsoft Entra automatyzuje przepływy pracy cyklu życia, które są uruchamiane w określonych kluczowych zdarzeniach, na przykład przed rozpoczęciem pracy nowego pracownika w organizacji, gdy zmieniają oni status w czasie w organizacji oraz gdy opuszczają organizację. Na przykład przepływ pracy można skonfigurować pod kątem wysyłania wiadomości e-mail z tymczasowym dostępem do menedżera nowego użytkownika lub powitalnej wiadomości e-mail do użytkownika pierwszego dnia.
- Zasady automatycznego przypisywania w zarządzaniu upoważnieniami do dodawania i usuwania dynamicznej grupy członkostwa użytkownika, ról aplikacji i ról witryny programu SharePoint na podstawie zmian atrybutów użytkownika. Użytkownicy mogą również na żądanie być przypisani do grup, zespołów, ról firmy Microsoft Entra, ról zasobów platformy Azure i witryn usługi SharePoint Online, przy użyciu zarządzania upoważnieniami i usługi Privileged Identity Management, jak pokazano w sekcji zarządzania cyklem życia dostępu.
- Gdy użytkownicy znajdują się w usłudze Microsoft Entra ID z prawidłowymi przypisaniami ról członkostwa dynamicznego i aplikacji, aprowizacja użytkowników może tworzyć, aktualizować i usuwać konta użytkowników w innych aplikacjach z łącznikami do setek aplikacji w chmurze i lokalnych za pośrednictwem protokołu SCIM, LDAP i SQL.
- W przypadku cyklu życia gościa można określić w obszarze zarządzania upoważnieniami inne organizacje, których użytkownicy mogą żądać dostępu do zasobów organizacji. Po zatwierdzeniu żądania jednego z tych użytkowników zarządzanie upoważnieniami automatycznie dodaje je jako gościa B2B do katalogu organizacji i przypisuje odpowiedni dostęp. A zarządzanie upoważnieniami automatycznie usuwa użytkownika-gościa B2B z katalogu organizacji po wygaśnięciu lub odwołaniu ich praw dostępu.
- Przeglądy dostępu automatyzują cykliczne przeglądy istniejących gości w katalogu organizacji i usuwają tych użytkowników z katalogu, gdy nie potrzebują już dostępu.
Podczas migracji z innego produktu IAM należy pamiętać, że implementacje pojęć związanych z zarządzaniem dostępem i tożsamościami w firmie Microsoft Entra mogą różnić się od implementacji tych pojęć w innych produktach IAM. Na przykład organizacje mogą wyrażać proces biznesowy dla zdarzeń cyklu życia, takich jak wdrożenie nowych pracowników, a niektóre produkty IAM wdrożyły to za pomocą przepływu pracy w ramach platformy przepływu pracy. Z kolei firma Microsoft Entra ma wiele wbudowanych procedur automatyzacji i nie wymaga zdefiniowanych przepływów pracy dla większości działań automatyzacji zarządzania tożsamościami. Na przykład Microsoft Entra można tak skonfigurować, że po wykryciu nowego pracownika w systemie HR, takim jak SuccessFactors, Microsoft Entra automatycznie tworzy konta użytkowników dla tego nowego pracownika w Windows Server AD, Microsoft Entra ID, przypisuje je do aplikacji, dodaje do grup i przypisuje odpowiednie licencje. Podobnie przetwarzanie żądań dostępu nie wymaga zdefiniowania przepływu pracy. W firmie Microsoft Entra przepływy pracy są wymagane tylko w następujących sytuacjach:
- Przepływy pracy mogą być używane w procesie dołączania/przenoszenia/opuszczania pracownika, dostępne we wbudowanych zadaniach cyklu życia firmy Microsoft Entra. Na przykład administrator może zdefiniować przepływ pracy z zadaniem wysyłania wiadomości e-mail z tymczasową przepustką dostępu dla nowego pracownika. Administrator może również dodawać objaśnienia z przepływów pracy cyklu życia do usługi Azure Logic Apps podczas dołączania, przenoszenia i opuszczania przepływów pracy.
- Przepływy pracy mogą służyć do dodawania kroków w procesie żądania dostępu i przypisywania dostępu. Kroki zatwierdzania wieloetapowego, oddzielania kontroli obowiązków i wygasania są już implementowane w zarządzaniu upoważnieniami firmy Microsoft Entra. Administrator może zdefiniować callouty z zarządzania upoważnieniami podczas przetwarzania, udzielania i usuwania przypisań pakietu dostępu do przepływów pracy usługi Azure Logic Apps.
Integracja ze źródłami SAP HR
Organizacje, które mają rozwiązanie SAP SuccessFactors, mogą używać rozwiązania SAP IDM do wprowadzania danych pracowników z rozwiązania SAP SuccessFactors. Organizacje z rozwiązaniem SAP SuccessFactors mogą łatwo migrować w celu przeniesienia tożsamości pracowników z SuccessFactors do Microsoft Entra ID lub z SuccessFactors do lokalnej usługi Active Directory, przy użyciu łączników Microsoft Entra ID. Łączniki obsługują następujące scenariusze:
- Zatrudnianie nowych pracowników: gdy nowy pracownik zostanie dodany do rozwiązania SuccessFactors, konto użytkownika jest automatycznie tworzone w usłudze Microsoft Entra ID, a opcjonalnie także w platformie Microsoft 365 i innych aplikacjach SaaS, które obsługiwane są przez Microsoft Entra ID.
- Atrybut pracownika i aktualizacje profilu: po zaktualizowaniu rekordu pracownika w rozwiązaniach SuccessFactors (takich jak nazwa, tytuł lub menedżer) konto użytkownika pracownika jest automatycznie aktualizowane w identyfikatorze Microsoft Entra ID i opcjonalnie platforma Microsoft 365 i inne aplikacje SaaS obsługiwane przez usługę Microsoft Entra ID.
- Zwolnienia pracowników: Po zwolnieniu pracownika w rozwiązaniu SuccessFactors, konto użytkownika pracownika jest automatycznie wyłączane w Microsoft Entra ID oraz opcjonalnie w Microsoft 365 i innych aplikacjach SaaS obsługiwanych przez Microsoft Entra ID.
- Ponowne zatrudnienie pracownika: Gdy pracownik zostanie ponownie zatrudniony w rozwiązaniu SuccessFactors, stare konto pracownika może zostać automatycznie ponownie aktywowane lub ponownie zainicjowane (w zależności od preferencji) do Microsoft Entra ID i opcjonalnie Microsoft 365 oraz innych aplikacji SaaS, które obsługuje Microsoft Entra ID.
Możesz również zapisać z powrotem z Microsoft Entra ID do właściwości SAP SuccessFactors, takich jak adres e-mail.
Aby uzyskać szczegółowe wskazówki dotyczące cyklu życia tożsamości z użyciem SAP SuccessFactors jako źródła, w tym konfigurowania nowych użytkowników z odpowiednimi poświadczeniami w Windows Server AD lub Microsoft Entra ID, zobacz Planowanie wdrażania Microsoft Entra dla aprowizacji użytkowników przy użyciu aplikacji źródłowych i docelowych SAP.
Niektóre organizacje również używały SAP IDM do odczytu z SAP Human Capital Management (HCM). Organizacje korzystające zarówno z rozwiązania SAP SuccessFactors, jak i SAP Human Capital Management (HCM) mogą również wprowadzać tożsamości do identyfikatora Entra firmy Microsoft. Za pomocą pakietu SAP Integration Suite można synchronizować listy procesów roboczych między rozwiązaniami SAP HCM i SAP SuccessFactors. Z tego miejsca możesz bezpośrednio przenieść tożsamości do Microsoft Entra ID lub aprowizować je w domenowe Active Directory przy użyciu natywnych integracji aprowizacji wymienionych wcześniej.
Jeśli masz inne systemy ewidencji oprócz SuccessFactors lub SAP HCM, da się użyć interfejsu API do aprowizacji ruchu przychodzącego Microsoft Entra, aby przenieść pracowników z tego systemu ewidencji jako użytkowników w Windows Server lub Microsoft Entra ID.
Konfiguruj systemy SAP
Większość organizacji z rozwiązaniem SAP IDM będzie używać go do aprowizowania użytkowników w usługach SAP ECC, SAP IAS, SAP S/4HANA lub innych aplikacjach SAP. Firma Microsoft Entra ma łączniki do systemów SAP ECC, SAP Cloud Identity Services i SAP SuccessFactors. Aprowizowanie w oprogramowaniu SAP S/4HANA lub innych aplikacjach wymaga, aby użytkownicy najpierw byli obecni w usłudze Microsoft Entra ID. Gdy masz użytkowników w usłudze Microsoft Entra ID, możesz aprowizować tych użytkowników z usługi Microsoft Entra ID do usług SAP Cloud Identity Services lub SAP ECC, aby umożliwić im logowanie się do aplikacji SAP. Następnie usługa SAP Cloud Identity Services aprowizuje użytkowników pochodzących z usługi Microsoft Entra ID, które znajdują się w usłudze SAP Cloud Identity Directory, do podrzędnych aplikacji SAP SAP, w tym SAP S/4HANA CloudSAP S/4HANA On-premise za pośrednictwem łącznika SAP Cloud Connector, as ABAP i innych.
Aby uzyskać szczegółowe wskazówki dotyczące cyklu życia tożsamości z aplikacjami SAP jako obiektem docelowym, zobacz Planowanie wdrażania usługi Microsoft Entra na potrzeby aprowizacji użytkowników za pomocą aplikacji źródłowych i docelowych SAP.
Aby przygotować się do aprowizacji użytkowników w aplikacjach SAP zintegrowanych z usługami SAP Cloud Identity Services, upewnij się, że usługi SAP Cloud Identity Services mają niezbędne mapowania schematów dla tych aplikacji i zaaprowizuj użytkowników z Microsoft Entra ID do usług SAP Cloud Identity Services. Usługi SAP Cloud Identity Services będą następnie aprowizować użytkowników do podrzędnych aplikacji SAP w razie potrzeby. Następnie możesz użyć wprowadzania danych HR z rozwiązania SuccessFactors, aby aktualizować listę użytkowników w Microsoft Entra ID, gdy pracownicy zatrudniają się, przenoszą lub odchodzą. Jeśli dzierżawca ma licencję na Microsoft Entra ID Governance, również możesz zautomatyzować zmiany przypisań ról aplikacji w Microsoft Entra ID dla usług SAP Cloud Identity Services. Aby uzyskać więcej informacji na temat rozdzielania obowiązków i innych kontroli zgodności przed aprowizowaniem, zobacz migrowanie scenariuszy zarządzania cyklem życia dostępu.
Aby uzyskać wskazówki dotyczące aprowizacji użytkowników w SAP ECC, upewnij się, że niezbędne interfejsy API biznesowe (BAPI) dla SAP ECC są gotowe do użycia przez Microsoft Entra do zarządzania tożsamościami, a następnie aprowizuj użytkowników z Microsoft Entra ID do SAP ECC.
Aby uzyskać wskazówki dotyczące aktualizowania rekordu pracownika w systemie SAP SuccessFactors, zobacz zapisywanie zwrotne z Microsoft Entra ID do SAP SuccessFactors.
Jeśli używasz oprogramowania SAP NetWeaver AS dla Java z Active Directory systemu Windows Server jako źródła danych, funkcjonalność Microsoft Entra SuccessFactors do obsługi danych przychodzących może być używana do automatycznego tworzenia i aktualizowania użytkowników w Active Directory systemu Windows Server.
Jeśli używasz programu SAP NetWeaver AS dla języka Java z innym katalogiem LDAP jako źródłem danych, możesz skonfigurować identyfikator Entra firmy Microsoft, aby aprowizować użytkowników w katalogach LDAP.
Po skonfigurowaniu aprowizacji dla użytkowników w aplikacjach SAP należy włączyć dla nich logowanie jednokrotne. Microsoft Entra ID może służyć jako dostawca tożsamości i autorytet uwierzytelniania dla aplikacji SAP. Identyfikator Entra firmy Microsoft może integrować się z oprogramowaniem SAP NetWeaver przy użyciu protokołu SAML lub OAuth. Aby uzyskać więcej informacji na temat konfigurowania logowania jednokrotnego do aplikacji SAP SaaS i nowoczesnych, zobacz włączanie logowania jednokrotnego.
Zasilanie systemów innych niż SAP
Organizacje mogą również używać programu SAP IDM do aprowizowania użytkowników w systemach innych niż SAP, w tym usługi AD systemu Windows Server i innych baz danych, katalogów i aplikacji. Można przenieść te scenariusze do Microsoft Entra ID, aby Microsoft Entra ID skonfigurował ich kopie tych użytkowników w tych repozytoriach.
W przypadku organizacji korzystających z AD Windows Server, organizacja mogła używać AD Windows Server jako źródła dla użytkowników i grup dla modułu SAP IDM w celu integracji z systemem SAP R/3. Za pomocą usługi Microsoft Entra Connect Sync lub Microsoft Entra Cloud Sync można przenieść użytkowników i grupy z usługi AD systemu Windows Server do identyfikatora entra firmy Microsoft. Ponadto ruch przychodzący firmy Microsoft Entra SuccessFactors może służyć do automatycznego tworzenia i aktualizowania użytkowników w usłudze AD systemu Windows Server oraz zarządzania członkostwem grup w usłudze AD używanych przez aplikacje oparte na usłudze AD . Skrzynki pocztowe usługi Exchange Online można tworzyć automatycznie dla użytkowników za pośrednictwem przypisania licencji przy użyciu licencjonowania opartego na grupach.
W przypadku organizacji mających aplikacje zależne od innych katalogów można skonfigurować Microsoft Entra ID do zarządzania użytkownikami w katalogach LDAP, takich jak OpenLDAP, Microsoft Active Directory Lightweight Directory Services, 389 Directory Server, Apache Directory Server, IBM Tivoli DS, Isode Directory, NetIQ eDirectory, Novell eDirectory, Open DJ, Open DS, Oracle (wcześniej Sun ONE) Directory Server Enterprise Edition i RadiantOne Virtual Directory Server (VDS). Atrybuty użytkowników w usłudze Microsoft Entra ID można mapować na atrybuty użytkownika w tych katalogach i w razie potrzeby ustawić początkowe hasło.
W przypadku organizacji z aplikacjami opartymi na bazie danych SQL można skonfigurować Microsoft Entra ID do provisioningu użytkowników do bazy danych SQL za pośrednictwem sterownika ODBC bazy danych. Obsługiwane bazy danych obejmują programy Microsoft SQL Server, Azure SQL, IBM DB2 9.x, IBM DB2 10.x, IBM DB2 11.5, Oracle 10g i 11g, Oracle 12c i 18c, MySQL 5.x, MySQL 8.x i Postgres. Możesz mapować atrybuty użytkowników w Microsoft Entra ID do kolumn tabeli lub parametrów procedury składowanej dla tych baz danych. W przypadku oprogramowania SAP HANA zobacz SAP Cloud Identity Services SAP HANA Database Connector (beta).
Jeśli istnieją użytkownicy w katalogu innym niż AD lub w bazie danych, którzy zostali aprowizowani przez SAP IDM, a nie są jeszcze w Microsoft Entra ID i nie można ich skorelować z pracownikiem w SAP SuccessFactors lub innym źródle zasobów ludzkich, zobacz zarządzanie istniejącymi użytkownikami aplikacji w celu uzyskania wskazówek, jak wprowadzić tych użytkowników do Microsoft Entra ID.
Microsoft Entra ma wbudowane integracje do aprowizacji z setkami aplikacji SaaS; aby uzyskać pełną listę aplikacji obsługujących aprowizację, zobacz Integracje zarządzania tożsamością w Microsoft Entra. Partnerzy firmy Microsoft udostępniają również integracje oparte na partnerach z dodatkowymi wyspecjalizowanymi aplikacjami .
W przypadku innych autorsko opracowanych aplikacji firma Microsoft Entra może udostępniać aplikacje chmurowe za pośrednictwem protokołu SCIM, oraz aplikacje lokalne za pośrednictwem protokołu SCIM, protokołu SOAP lub REST, programu PowerShell lub łączników dostarczanych przez partnerów, które implementują interfejs API ECMA. Jeśli wcześniej używano SPML do aprowizowania z SAP IDM, zalecamy zaktualizowanie aplikacji w celu obsługi nowszego protokołu SCIM.
W przypadku aplikacji bez interfejsu aprowizacji rozważ użycie funkcji Zarządzanie Microsoft Entra ID, aby zautomatyzować tworzenie zgłoszeń ServiceNow, przydzielając zgłoszenie właścicielowi aplikacji, gdy użytkownik zostanie przypisany lub utraci dostęp do pakietu dostępu.
Migrowanie uwierzytelniania i logowania jednokrotnego
Microsoft Entra ID działa jako usługa tokenu zabezpieczającego, umożliwiając użytkownikom uwierzytelnianie w usłudze Microsoft Entra ID za pomocą uwierzytelniania wieloskładnikowego i bez hasła, a następnie logowanie jednokrotne do wszystkich aplikacji. Logowanie jednokrotne Microsoft Entra ID używa standardowych protokołów, takich jak SAML, OpenID Connect i Kerberos. Aby uzyskać więcej informacji na temat logowania jednokrotnego do aplikacji w chmurze SAP lub aplikacji na platformie SAP BTP, zobacz integracja logowania jednokrotnego firmy Microsoft Entra z usługami SAP Cloud Identity Services.
Organizacje, które mają istniejącego dostawcę tożsamości, takiego jak usługa AD systemu Windows Server, mogą skonfigurować uwierzytelnianie tożsamości hybrydowej, dzięki czemu identyfikator Entra firmy Microsoft opiera się na istniejącym dostawcy tożsamości. Aby uzyskać więcej informacji na temat wzorców integracji, zobacz wybieranie odpowiedniej metody uwierzytelniania dla rozwiązania tożsamości hybrydowej firmy Microsoft Entra.
Jeśli masz lokalne systemy SAP, możesz zmodernizować sposób, w jaki użytkownicy organizacji łączą się z tymi systemami za pomocą globalnego klienta bezpiecznego dostępu Dostęp Prywatny Microsoft Entra. Pracownicy zdalni nie muszą używać sieci VPN, aby uzyskiwać dostęp do tych zasobów, jeśli mają zainstalowanego klienta globalnego bezpiecznego dostępu. Klient po cichu i bezproblemowo łączy je z potrzebnymi zasobami. Aby uzyskać więcej informacji, zobacz Dostęp Prywatny Microsoft Entra.
Migrowanie samoobsługi użytkownika końcowego
Organizacje mogły używać pomocy logowania programu SAP IDM, aby umożliwić użytkownikom końcowym resetowanie hasła usługi AD systemu Windows Server.
Microsoft Entra samoobsługowy reset hasła (SSPR) umożliwia użytkownikom zmianę lub resetowanie hasła bez konieczności zaangażowania administratora lub pomocy technicznej. Po skonfigurowaniu samoobsługowego resetowania hasła firmy Microsoft możesz wymagać od użytkowników zarejestrowania się podczas logowania. Następnie, jeśli konto użytkownika jest zablokowane lub zapomni hasło, może postępować zgodnie z monitami, aby odblokować się i wrócić do pracy. Gdy użytkownicy zmieniają lub resetują swoje hasła przy użyciu SSPR w chmurze, zaktualizowane hasła mogą być również zapisywane z powrotem w lokalnym środowisku usług AD DS. Aby uzyskać więcej informacji na temat działania samoobsługowego resetowania hasła, odnieś się do Samoobsługowe resetowanie hasła Microsoft Entra. Jeśli musisz wysłać zmiany hasła do innych systemów lokalnych oprócz usługi Microsoft Entra ID i Usługi AD systemu Windows Server, możesz to zrobić za pomocą narzędzia, takiego jak usługa powiadamiania o zmianie hasła (PCNS) za pomocą programu Microsoft Identity Manager (MIM). Aby znaleźć informacje na temat tego scenariusza, zobacz artykuł Wdrażanie usługi powiadamiania o zmianie hasła programu MIM.
Firma Microsoft Entra obsługuje również samoobsługę użytkowników końcowych na potrzeby zarządzania grupami oraz żądań dostępu samoobsługowego, zatwierdzenia i przeglądów. Aby uzyskać więcej informacji na temat samoobsługowego zarządzania dostępem za pośrednictwem Microsoft Entra ID Governance, zobacz następującą sekcję dotyczącą zarządzania cyklem życia dostępu.
Migrowanie scenariuszy zarządzania cyklem życia dostępu
Organizacje mogły zintegrować rozwiązanie SAP IDM z oprogramowaniem SAP AC, dawniej SAP GRC lub SAP IAG w celu uzyskania zatwierdzeń dostępu, ocen ryzyka, rozdzielenia kontroli obowiązków i innych operacji.
Firma Microsoft Entra obejmuje wiele technologii zarządzania cyklem życia dostępu, aby umożliwić organizacjom wprowadzanie scenariuszy zarządzania tożsamościami i dostępem do chmury. Wybór technologii zależy od wymagań aplikacji organizacji i licencji firmy Microsoft Entra.
Zarządzanie dostępem za pośrednictwem zarządzania grupami zabezpieczeń Entra ID firmy Microsoft. Tradycyjne aplikacje oparte na usłudze AD systemu Windows Server polegały na sprawdzaniu członkostwa w grupach zabezpieczeń na potrzeby autoryzacji. Firma Microsoft Entra udostępnia dynamiczną grupę członkostwa aplikacjom za pośrednictwem oświadczeń SAML, aprowizacji lub przez zapisywanie grup w usłudze AD systemu Windows Server. Możesz zarządzać dostępem do aplikacji SAP BTP przy użyciu członkostwa w grupach wysyłanych jako oświadczenia w programie OpenID Connect z usługami SAP Cloud Identity Services. Usługi SAP Cloud Identity Services mogą również odczytywać grupy z identyfikatora Entra firmy Microsoft za pośrednictwem programu Graph i aprowizować te grupy w innych aplikacjach SAP.
W Microsoft Entra administratorzy mogą zarządzać dynamicznymi grupami członkostwa
, tworzyć przeglądy dostępu dynamicznych grup członkostwa oraz włączać samoobsługowe zarządzanie grupami . Dzięki samoobsługi właściciele grup mogą zatwierdzać lub odrzucać żądania członkostwa oraz delegować kontrolę nad dynamicznymi grupami członkostwa. Możesz również użyć usługi Privileged Identity Management (PIM) dla grup do zarządzania członkostwem na żądanie w grupie lub własnością na żądanie grupy. Zarządzanie dostępem za pomocą pakietów dostępu do zarządzania upoważnieniami. Zarządzanie uprawnieniami to funkcja zarządzania tożsamością, która umożliwia organizacjom zarządzanie cyklem życia tożsamości i dostępu na dużą skalę, automatyzując procesy wnioskowania o dostęp i akceptacji, przypisywanie dostępu, przeglądy oraz wygaśnięcie dostępu. Zarządzanie upoważnieniami może służyć do precyzyjnych przypisań dostępu do aplikacji korzystających z grup, przypisań ról aplikacji lub łączników dla usługi Azure Logic Apps.
Zarządzanie uprawnieniami umożliwia organizacjom wdrażanie swoich praktyk dotyczących przydzielania dostępu użytkownikom do różnych zasobów przy użyciu standaryzowanej kolekcji praw dostępu, nazywanej pakietami dostępu. Każdy pakiet dostępu zapewnia członkostwo w grupach, przypisanie do ról aplikacji lub członkostwo w witrynach SharePoint Online. Pakiety dostępu mogą służyć do reprezentowania ról biznesowych, które obejmują role techniczne lub uprawnienia w co najmniej jednej aplikacji. Zarządzanie upoważnieniami można skonfigurować tak, aby użytkownicy otrzymywali automatycznie przypisania pakietów dostępu na podstawie właściwości użytkownika, takich jak dział lub centrum kosztów. Możesz również skonfigurować przepływy pracy cyklu życia, aby dodawać lub usuwać przypisania, kiedy ludzie dołączają do zespołu lub go opuszczają. Administratorzy mogą również poprosić użytkowników o przypisanie dostępu do pakietów, a użytkownicy mogą również zażądać samodzielnego posiadania pakietu dostępu. Pakiety dostępu, które użytkownik może wnioskować, są ustalane przez grupę dynamicznego członkostwa zabezpieczeń użytkownika. Użytkownicy mogą żądać dostępu, którego potrzebują natychmiast lub zażądać dostępu w przyszłości, mogą określić limit czasu godzin lub dni i mogą zawierać odpowiedzi na pytania lub podać wartości dodatkowych atrybutów. Żądanie można skonfigurować do automatycznego zatwierdzania lub przechodzić przez wiele etapów zatwierdzania przez menedżera, właściciela roli lub innych osób zatwierdzających, z osobami zatwierdzającymi eskalację na wypadek, gdy osoba zatwierdzająca jest niedostępna lub nie odpowiadają. Po zatwierdzeniu żądania są powiadamiani o tym, że mają przypisany dostęp. Przypisania do pakietu dostępu mogą być ograniczone czasowo, a cykliczne przeglądy dostępu można skonfigurować w taki sposób, aby menedżer, właściciel zasobu lub inne osoby zatwierdzające regularnie ponownie certyfikowali lub poświadczali potrzebę dalszego dostępu użytkownika. Aby uzyskać więcej informacji na temat migrowania zasad autoryzacji przedstawionych w modelu ról do zarządzania upoważnieniami, zobacz migrowanie modelu ról organizacyjnych. Aby zautomatyzować proces migracji, możesz użyć programu PowerShell do tworzenia pakietów dostępu.
Zarządzanie dostępem za pośrednictwem zarządzania upoważnieniami i zewnętrznego produktu GRC. Dzięki integracji z systemem zarządzania dostępem SAP, Pathlock oraz inne produkty partnerskie, klienci mogą korzystać z dodatkowych kontroli ryzyka i precyzyjnego rozdzielania obowiązków, wymuszanych w tych produktach dzięki pakietom dostępu w Zarządzaniu Identyfikatorami Microsoft Entra.
Używanie usługi Microsoft Entra do raportowania
Microsoft Entra zawiera wbudowane raporty, a także skoroszyty, które są dostępne w usłudze Azure Monitor na podstawie danych inspekcji, logowania i danych z dzienników tworzenia zasobów. Opcje raportowania dostępne w witrynie Microsoft Entra obejmują:
- Wbudowane raporty Microsoft Entra w centrum administracyjnym, w tym raporty użycia i wglądów dla widoku skoncentrowanego na aplikacji opartego na danych logowania. Za pomocą tych raportów można monitorować nietypowe tworzenie i usuwanie konta oraz nietypowe użycie konta.
- Możesz wyeksportować dane z centrum administracyjnego firmy Microsoft Entra do użycia podczas generowania własnych raportów. Na przykład, możesz pobrać listę użytkowników i ich atrybutów lub pobrać dzienniki, w tym dzienniki aprowizacji, z centrum administracyjnego Microsoft Entra.
- Możesz wykonać zapytanie względem programu Microsoft Graph, aby uzyskać dane do użycia w raporcie. Możesz na przykład pobrać listę nieaktywnych kont użytkowników w identyfikatorze Microsoft Entra.
- Możesz użyć poleceń cmdlet programu PowerShell na szczycie interfejsów API programu Microsoft Graph, aby wyeksportować i zrestrukturyzować zawartość odpowiednią do raportowania. Jeśli na przykład używasz pakietów dostępu do zarządzania upoważnieniami firmy Microsoft, możesz pobrać listę przypisań do pakietu dostępu w programie PowerShell.
- Kolekcje obiektów, takich jak użytkownicy lub grupy, można eksportować z witryny Microsoft Entra do usługi Azure Data Explorer. Aby uzyskać więcej informacji, zobacz dostosowane raporty w usłudze Azure Data Explorer (ADX) przy użyciu danych z identyfikatora Entra firmy Microsoft.
- Możesz uzyskać alerty i używać skoroszytów, zapytań niestandardowych i raportów dotyczących inspekcji, logowania i dzienników aprowizacji, które zostały wysłane do usługi Azure Monitor. Możesz na przykład archiwizować dzienniki i raportować zarządzanie upoważnieniami w usłudze Azure Monitor z poziomu centrum administracyjnego firmy Microsoft Entra lub przy użyciu programu PowerShell. Dzienniki inspekcji zawierają szczegółowe informacje o tym, kto utworzył i zmienił obiekty w firmie Microsoft Entra. Usługa Azure Monitor udostępnia również opcje długoterminowego przechowywania danych.
Migrowanie wymiany informacji o tożsamości poza granice organizacji
Niektóre organizacje mogą używać federacji tożsamości SAP IDM do wymiany informacji o tożsamości użytkowników w granicach firmy.
Microsoft Entra obejmuje możliwości dla organizacji wielodostępnej, obejmującej więcej niż jedną dzierżawę Microsoft Entra ID, umożliwiających łączenie użytkowników z jednej dzierżawy w celu uzyskania dostępu do aplikacji lub współpracy w innej dzierżawie. Na poniższym diagramie pokazano, jak za pomocą funkcji synchronizacji między dzierżawami w wielu organizacjach automatycznie umożliwić użytkownikom z jednej dzierżawy dostęp do aplikacji w innej dzierżawie w organizacji.
Tożsamość zewnętrzna Microsoft Entra obejmuje Możliwości współpracy B2B, które umożliwiają pracownikom bezpieczną pracę z organizacjami partnerskimi i gośćmi biznesowymi oraz udostępnianie im aplikacji firmowych. Użytkownicy-goście logują się do aplikacji i usług za pomocą własnych tożsamości służbowych lub społecznościowych. W przypadku organizacji partnerów biznesowych, które mają własną dzierżawę Microsoft Entra ID, w której uwierzytelniają się ich użytkownicy, można skonfigurować ustawienia dostępu między dzierżawami. W przypadku tych organizacji partnerskich, które nie mają dzierżawy Microsoft Entra, ale posiadają własne systemy dostawców tożsamości, można skonfigurować federację z dostawcami tożsamości SAML/WS-Fed dla użytkowników-gości. Zarządzanie uprawnieniami w Microsoft Entra umożliwia zarządzanie cyklem życia tożsamości i dostępu dla użytkowników zewnętrznych, poprzez konfigurację pakietu dostępu z zatwierdzeniami zanim gość zostanie dodany do dzierżawcy, oraz automatyczne usunięcie gości w przypadku odmowy dostępu podczas przeglądu dostępu.
Migrowanie aplikacji wymagających usług katalogowych
Niektóre organizacje mogą używać rozwiązania SAP IDM jako usługi katalogowej, z której aplikacje mogą korzystać w celu odczytu i zapisu tożsamości. Microsoft Entra ID udostępnia usługę katalogową dla nowoczesnych aplikacji, umożliwiając aplikacjom wywoływanie za pośrednictwem interfejsu API programu Microsoft Graph w celu wysyłania zapytań i aktualizowania użytkowników, grup i innych informacji o tożsamości.
W przypadku aplikacji, które nadal wymagają interfejsu LDAP do odczytu użytkowników lub grup, firma Microsoft Entra oferuje kilka opcji:
Usługi microsoft Entra Domain Services udostępniają usługi tożsamości aplikacjom i maszynom wirtualnym w chmurze i są zgodne z tradycyjnym środowiskiem usług AD DS na potrzeby operacji, takich jak przyłączanie do domeny i bezpieczny protokół LDAP. Usługi Domain Services replikują informacje o tożsamości z Microsoft Entra ID, więc współpracują z dzierżawcami Microsoft Entra, które są wyłącznie w chmurze albo synchronizowane z lokalnym środowiskiem usług AD DS.
Jeśli używasz Microsoft Entra do przenoszenia pracowników z SuccessFactors do lokalnego środowiska Active Directory, aplikacje mogą odczytywać użytkowników z tego Windows Server Active Directory. Jeśli aplikacje wymagają również dynamicznej grupy członkowskiej, możesz wypełnić grupy usługi AD systemu Windows Server z pasujących grup w Microsoft Entra. Aby uzyskać więcej informacji, zobacz Zapisywanie zwrotne grup za pomocą usługi Microsoft Entra Cloud Sync.
Jeśli Twoja organizacja używa innego katalogu LDAP, możesz skonfigurować identyfikator Entra firmy Microsoft, aby aprowizować użytkowników w tym katalogu LDAP.
Rozszerzanie usługi Microsoft Entra za pomocą interfejsów integracji
Firma Microsoft Entra zawiera wiele interfejsów do integracji i rozszerzenia w ramach swoich usług, w tym:
- Aplikacje mogą wywoływać firmę Microsoft Entra za pośrednictwem interfejsu API programu Microsoft Graph w celu wykonywania zapytań i aktualizowania informacji o tożsamości, konfiguracji i zasadach oraz pobierania dzienników, stanu i raportów.
- Administratorzy mogą konfigurować obsługę administracyjną aplikacji za pośrednictwem protokołu SCIM, protokołu SOAP lub REST oraz interfejsu API ECMA.
- Administratorzy mogą używać interfejsu API aprowizacji dla ruchu przychodzącego, aby wprowadzać rekordy procesów roboczych z innego systemu źródeł rekordów w celu dostarczania aktualizacji użytkowników do usługi AD systemu Windows Server i identyfikatora Entra firmy Microsoft.
- Administratorzy w dzierżawie korzystającej z Zarządzania tożsamościami Microsoft Entra ID mogą również konfigurować wywołania do niestandardowych aplikacji Azure Logic Apps z zarządzania uprawnieniami i przepływów cyklu życia. Umożliwiają one dostosowanie procesów związanych z wprowadzaniem użytkowników, ich usuwaniem oraz żądaniami i przypisywaniem dostępu.
Następne kroki
- Planowanie wdrażania usługi Microsoft Entra na potrzeby aprowizacji tożsamości użytkowników za pomocą aplikacji źródłowych i docelowych SAP
- Zarządzanie dostępem do aplikacji SAP
- Wskazówki dotyczące migracji z usług AD FS
- Wskazówki dotyczące migracji z programu MIM
- Wdrażanie programu SAP NetWeaver AS ABAP 7.51
- Tworzenie szablonu SAP ECC 7 dla ECMA2Host
- Konfigurowanie identyfikatora Entra firmy Microsoft w celu aprowizacji użytkowników w usłudze SAP ECC przy użyciu programu NetWeaver AS ABAP 7.0 lub nowszego