Управление доступом к приложениям SAP
Программное обеспечение и службы SAP, скорее всего, выполняют критически важные функции, такие как HR и ERP, для вашей организации. В то же время ваша организация использует Корпорацию Майкрософт для различных служб Azure, Microsoft 365 и Управление идентификацией Microsoft Entra для управления доступом к приложениям. В этой статье описывается, как использовать управление удостоверениями для контроля и администрирования идентификаций в приложениях SAP.
Миграция с системы управления идентификацией SAP
Если вы использовали SAP Identity Management (IDM), можно перенести сценарии управления удостоверениями из SAP IDM в Microsoft Entra. Дополнительные сведения см. в статье "Миграция сценариев управления удостоверениями" из SAP IDM в Microsoft Entra.
Перенос удостоверений из отдела кадров в учётную запись Microsoft Entra
В руководстве по развертыванию Microsoft Entra для предоставления доступа пользователям с использованием источника и целевых приложений SAP демонстрируется, как подключить Microsoft Entra к достоверным источникам для списка работников в организации, таким как SAP SuccessFactors. В нем также показано, как использовать Microsoft Entra для настройки идентификаторов для этих работников. Затем вы узнаете, как использовать Microsoft Entra для предоставления сотрудникам доступа к одному или нескольким приложениям SAP, таким как SAP ECC или SAP S/4HANA.
SuccessFactors
Клиенты, использующие SAP SuccessFactors, могут легко перенести удостоверения из SuccessFactors в Microsoft Entra ID или из SuccessFactors в локальный Active Directory с помощью родных соединителей. Соединители поддерживают следующие сценарии:
- Нанимается новый сотрудник: когда новый сотрудник добавляется в SuccessFactors, учетная запись пользователя автоматически создается в Microsoft Entra ID и, при необходимости, в Microsoft 365 и других приложениях в виде программ как услуги (SaaS), поддерживаемых Microsoft Entra ID. Этот процесс включает обратную запись адреса электронной почты в SuccessFactors.
- Обновления атрибутов и профилей сотрудников: когда запись сотрудника обновляется в SuccessFactors (например, имя, название или менеджер), учетная запись пользователя сотрудника автоматически обновляется в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.
- Завершение работы сотрудников: когда сотрудник завершает работу в SuccessFactors, учетная запись пользователя сотрудника автоматически отключается в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых Идентификатором Microsoft Entra.
- Повторный найм сотрудников: Когда сотрудник повторно нанимается в SuccessFactors, старая учетная запись сотрудника может быть автоматически активирована или перенастроена (в зависимости от вашего предпочтения) в Microsoft Entra ID, а также при необходимости в Microsoft 365 и других приложениях SaaS, поддерживаемых Microsoft Entra ID.
Вы также можете выполнять обратную запись из Microsoft Entra ID в SAP SuccessFactors.
SAP HCM
Клиенты, которые по-прежнему используют SAP Human Capital Management (HCM), также могут интегрировать учетные записи в Microsoft Entra ID. С помощью SAP Integration Suite можно синхронизировать списки рабочих ролей между SAP HCM и SAP SuccessFactors. Оттуда можно перенести удостоверения непосредственно в Microsoft Entra ID или подготовить их в службы доменных Active Directory с помощью встроенных интеграций подготовки, упомянутых ранее.
Предоставление доступа к приложениям SAP
Помимо встроенных возможностей подготовки, которые позволяют управлять доступом к приложениям SAP, Microsoft Entra ID поддерживает широкий набор интеграций с этими приложениями.
Включить единый вход (SSO)
Наряду с настройкой предоставления для приложений SAP вы можете включить единую аутентификацию для них. Идентификатор Microsoft Entra может служить поставщиком удостоверений и служить центром проверки подлинности для приложений SAP. Идентификатор Microsoft Entra может интегрироваться с SAP NetWeaver с помощью SAML или OAuth. Для SAP SaaS и современных приложений узнайте, как настроить Microsoft Entra ID в качестве поставщика корпоративных удостоверений для ваших приложений SAP с помощью службы облачных идентификационных служб SAP.
Дополнительные сведения о настройке единого входа из идентификатора Microsoft Entra см. в следующей документации и руководствах.
- Облачные службы удостоверений SAP
- SAP SuccessFactors
- Облако SAP Analytics
- SAP Fiori
- SAP Ariba
- SAP Concur Travel and Expense
- SAP Business Technology Platform
- SAP Business ByDesign
- SAP HANA
- SAP Cloud for Customer
- SAP Fieldglass
Также см. следующие записи блога и ресурсы SAP:
- SAP GUI MFA с интеграцией Microsoft Entra и SAP Secure Login Service, а также с интеграцией и Microsoft Entra Private Access
- Управление доступом к SAP BTP
- Настройка шлюза приложений Azure для SAML Единого входа на общедоступные и внутренние SAP URL-адреса
- Единый вход с помощью доменных служб Microsoft Entra и Kerberos
Управление идентификацией в современных приложениях SAP
После того как пользователи находятся в идентификаторе Microsoft Entra, вы можете подготовить учетные записи в различных приложениях SaaS и локальных приложениях SAP, к которым им нужен доступ. Это можно сделать двумя способами.
- Используйте корпоративное приложение SAP Cloud Identity Services в Microsoft Entra ID для предоставления удостоверений в SAP Cloud Identity Services. После добавления всех удостоверений в SAP Cloud Identity Services можно использовать SAP Cloud Identity Services — Identity Provisioning для предоставления учетных записей в ваши приложения при необходимости.
- Используйте интеграцию SAP Cloud Identity Services - Identity Provisioning для непосредственного экспорта идентификаций из Microsoft Entra ID в интегрированные приложения SAP Cloud Identity Services. При использовании SAP Cloud Identity Services — Identity Provisioning для интеграции пользователей в эти приложения, все конфигурации предоставления учетных записей для этих приложений управляются непосредственно в SAP. Вы по-прежнему можете использовать корпоративное приложение в Идентификаторе Microsoft Entra для управления единым входом и использования идентификатора Microsoft Entra в качестве поставщика корпоративных удостоверений.
Предоставление учетных записей в локальные системы SAP
Когда у вас есть пользователи в Microsoft Entra ID, вы можете настраивать этих пользователей из Microsoft Entra ID в SAP Cloud Identity Services или SAP ECC, чтобы разрешить им входить в приложения SAP. Если у вас есть SAP S/4HANA On-premise, перенаправьте пользователей из Microsoft Entra ID в SAP Cloud Identity Directory. Затем облачные службы удостоверений SAP подготавливают пользователей, исходящих из идентификатора Microsoft Entra, которые находятся в каталоге SAP Cloud Identity Directory в подчиненных приложениях SAP в SAP S/4HANA в локальной среде через соединитель облака SAP.
Клиенты, которые еще не переходили с таких приложений, как SAP R/3 и SAP ERP Central (SAP ECC) в SAP S/4HANA, по-прежнему могут полагаться на службу подготовки Microsoft Entra для подготовки учетных записей пользователей. В SAP R/3 и SAP ECC вы предоставляете необходимые интерфейсы программирования бизнес-приложений (BAPIs) для создания, обновления и удаления пользователей. В идентификаторе Microsoft Entra есть два варианта:
- Используйте упрощенный агент подготовки Microsoft Entra и соединитель веб-служб для подготовки пользователей к приложениям, таким как SAP ECC.
- В сценариях, где необходимо выполнять более сложные группы и управление ролями, используйте Microsoft Identity Manager для управления доступом к устаревшим приложениям SAP.
Вы также можете использовать Microsoft Entra ID для предоставления доступов сотрудникам в Active Directory, а также других локальных систем, которые SAP Cloud Identity Services не поддерживает для предоставления доступа.
Активация пользовательских рабочих процессов
Когда новый сотрудник нанимается в вашей организации, может потребоваться активировать рабочий процесс в локальных системах SAP для дополнительных задач, помимо подготовки пользователей. С помощью расширяемости в Logic Apps для рабочих процессов жизненного цикла Microsoft Entra или управления правами доступа Microsoft Entra и соединителя SAP в Azure Logic Apps, вы можете активировать пользовательские действия в SAP при найме нового сотрудника.
Проверка разделения обязанностей
При проверке разделения обязанностей в управлении правами Microsoft Entra клиенты могут гарантировать, что пользователи не принимают чрезмерные права доступа:
- Администраторы и руководители доступа могут запретить пользователям запрашивать дополнительные пакеты доступа, если они уже назначены другим пакетам доступа или являются членами других групп, которые несовместимы с запрошенным доступом.
- Предприятия с критически важными нормативными требованиями для приложений SAP имеют единое представление элементов управления доступом. Затем они могут применять проверки разделения обязанностей между своими финансовыми и другими критически важными приложениями, а также интегрированными приложениями Microsoft Entra.
- Благодаря интеграции Microsoft Entra с системами управления доступом к SAP, к Pathlock и другим партнерским продуктам, клиенты могут воспользоваться дополнительными проверками рисков и детальными проверками разделения обязанностей, осуществляемыми в данных продуктах, с пакетами доступа в Управление идентификаторами Microsoft Entra.
Дополнительные рекомендации
Дополнительные сведения об интеграции SAP с идентификатором Microsoft Entra см. в следующей документации:
- Безопасный доступ с помощью облачных удостоверений SAP и идентификатора Microsoft Entra
- Безопасность рабочей нагрузки SAP — хорошо разработанная платформа Microsoft Azure
- Службы и партнеры по интеграции для развертывания Microsoft Entra с помощью приложений SAP