Перенос сценариев управления удостоверениями из SAP IDM в Microsoft Entra

Статья
08/25/2024

Помимо бизнес-приложений, SAP предлагает ряд технологий управления удостоверениями и доступом, включая SAP Cloud Identity Services и SAP Identity Management (SAP IDM), чтобы помочь своим клиентам поддерживать удостоверения в своих приложениях SAP. SAP IDM, которые организации развертывают локально, исторически предоставляли управление удостоверениями и доступом для развертываний SAP R/3. SAP прекратит поддержку для SAP Identity Management. Для тех организаций, которые использовали SAP Identity Management, Корпорация Майкрософт и SAP совместно работают над разработкой рекомендаций для этих организаций по переносу сценариев управления удостоверениями из SAP Identity Management в Microsoft Entra.

Модернизация удостоверений является критически важным шагом к улучшению состояния безопасности организации и защите пользователей и ресурсов от угроз идентификации. Это стратегические инвестиции, которые могут обеспечить существенные преимущества за пределами более сильной системы безопасности, таких как улучшение взаимодействия с пользователем и оптимизация операционной эффективности. Администраторы во многих организациях выразили интерес к перемещению центра сценариев управления удостоверениями и доступом полностью в облако. Некоторые организации больше не будут иметь локальную среду, а другие интегрируют управление удостоверениями и доступом, размещенными в облаке, с оставшимися локальными приложениями, каталогами и базами данных. Для получения дополнительной информации о преобразовании облачных сервисов для служб удостоверения, см. положение о преобразовании облака и переход на облако.

Microsoft Entra предлагает универсальную облачную платформу удостоверений, которая предоставляет пользователям, партнерам и клиентам единый идентификатор для доступа к облачным и локальным приложениям, а также для совместной работы с любой платформой и устройством. В этом документе содержатся рекомендации по вариантам миграции и подходам к перемещению сценариев управления удостоверениями (IAM) из SAP Identity Management в облачные службы Microsoft Entra и будут обновлены по мере того, как новые сценарии становятся доступными для миграции.

Общие сведения о Microsoft Entra и его интеграции продуктов с SAP.

Microsoft Entra — это семейство продуктов, включая идентификатор Microsoft Entra (прежнее название — Azure Active Directory) и Управление идентификацией Microsoft Entra. Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом, которую сотрудники и гости могут использовать для доступа к ресурсам. Он обеспечивает надежную проверку подлинности и безопасный адаптивный доступ, а также интегрируется как с локальными устаревшими приложениями, так и тысячами приложений SaaS, обеспечивая простой интерфейс конечных пользователей. Управление идентификацией Microsoft Entra ID предлагает дополнительные возможности для автоматического установления удостоверений пользователей в приложениях, к которым им необходимо получить доступ, а также для обновления и удаления удостоверений пользователей по мере изменения статуса работы или ролей.

Microsoft Entra предоставляет пользовательские интерфейсы, включая Центр администрирования Microsoft Entra, порталы myapps и myaccess, а также предоставляет REST API для операций управления удостоверениями и делегированного самообслуживания конечных пользователей. Идентификатор Microsoft Entra включает интеграции с SuccessFactors, SAP ERP Central Component (SAP ECC) и через SAP Cloud Identity Services может обеспечивать управление ресурсами и единый вход в S/4HANA и многие другие приложения SAP. Дополнительные сведения об этих интеграции см. в статье "Управление доступом к приложениям SAP". Microsoft Entra также реализует стандартные протоколы, такие как SAML, SCIM, SOAP и OpenID Connect, чтобы напрямую интегрироваться с множеством приложений для единого входа и предоставления. Microsoft Entra также имеет агентов, включая облачную синхронизацию Microsoft Entra Connect и агент предоставления для подключения облачных служб Microsoft Entra к локальным приложениям, каталогам и базам данных организации.

На следующей схеме показан пример топологии для подготовки пользователей и единого входа. В этой топологии сотрудники представлены в SuccessFactors, а также должны иметь учетные записи в домене Windows Server Active Directory, Microsoft Entra, SAP ECC и облачных приложениях SAP. В этом примере показана организация с доменом Windows Server AD; Однако Windows Server AD не требуется.

Планирование миграции сценариев управления удостоверениями в Microsoft Entra

С момента внедрения SAP IDM ландшафт управления удостоверениями и доступом развивался с новыми приложениями и новыми бизнес-приоритетами, поэтому подходы, рекомендуемые для решения вариантов использования IAM, во многих случаях будут отличаться сегодня, чем те организации, которые ранее были реализованы для SAP IDM. Поэтому организации должны спланировать поэтапный подход к миграции сценариев. Например, одна организация может определить приоритет для модернизации сценария самостоятельного сброса пароля конечным пользователем в качестве одного из этапов, а после завершения этого этапа будет осуществлено перемещение сценария обеспечения. Например, организация может сначала развернуть функции Microsoft Entra в отдельном промежуточном тенанте, работающем параллельно с существующей системой управления удостоверениями и рабочим тенантом, а затем поочередно перенести конфигурации для сценариев из промежуточного тенанта в рабочий тенант и вывести этот сценарий из существующей системы управления удостоверениями. Порядок, в котором организация выбирает перемещение своих сценариев, зависит от их общих ИТ-приоритетов и влияния на других заинтересованных лиц, таких как конечные пользователи, нуждающиеся в обновлении обучения, или владельцы приложений. Организации также могут структурировать миграцию сценариев IAM вместе с другой ИТ-модернизацией, например перемещение других сценариев вне управления удостоверениями из локальной технологии SAP в SuccessFactors, S/4HANA или других облачных служб. Вы также можете использовать эту возможность для очистки и удаления устаревших интеграций, прав доступа или ролей, а также для консолидации по необходимости.

Чтобы начать планирование миграции,

Определите текущие и запланированные варианты использования IAM в стратегии модернизации IAM.
Анализ требований этих вариантов использования и соответствие этим требованиям к возможностям служб Microsoft Entra.
Определите временные рамки и заинтересованные стороны для реализации новых возможностей Microsoft Entra для поддержки миграции.
Определите процесс перехода для ваших приложений, чтобы переместить управление единым входом в систему, жизненным циклом идентификации и жизненным циклом доступа в Microsoft Entra.

Поскольку миграция SAP IDM, скорее всего, будет включать интеграцию с существующими приложениями SAP, изучите интеграцию с источниками SAP и целевыми системами, чтобы определить порядок подключения приложений и интеграцию приложений с Microsoft Entra.

Службы и партнеры по интеграции для развертывания Microsoft Entra с помощью приложений SAP

Партнеры также могут помочь вашей организации с планированием и развертыванием Microsoft Entra с такими приложениями SAP, как SAP S/4HANA. Клиенты могут привлекать партнеров, перечисленных в поиске партнеров microsoft Solution Partner, или выбрать из этих служб и партнеров интеграции, перечисленных в следующей таблице. Описания и связанные страницы предоставляются самими партнерами. Вы можете использовать описание для идентификации партнера, с которым хотите развернуть Microsoft Entra и приложения SAP, чтобы связаться с ним и узнать больше информации.

Имя	Описание
Акцентюр и Аванад	"Accenture и Avanade являются глобальными лидерами в Microsoft Security и SAP Services. Благодаря нашему уникальному сочетанию навыков Майкрософт и SAP мы можем помочь вам понять и успешно спланировать миграцию с SAP IdM на идентификатор Microsoft Entra. Благодаря нашим ресурсам доставки и опыту, Avanade и Accenture могут помочь вам ускорить проект миграции, чтобы достичь ваших целей с меньшим риском. Компания Accenture уникально позиционирована, чтобы оказывать помощь крупным глобальным предприятиям, в дополнение к глубокому опыту Avanade в поддержке как средних, так и крупных предприятий в процессе миграции. Наши обширные знания и опыт помогут вам ускорить процесс замены SAP IdM, максимизируя инвестиции в Идентификатор Microsoft Entra".
ARMIS	"ARMIS, с более чем 20 лет опыта цифрового преобразования, предлагает глобальные технологические решения и является доверенным партнером Майкрософт. Мы специализируемся на безопасности, & ИИ и бизнес-приложениях, предоставляя инновационные решения, которые повышают эффективность и устойчивый рост с помощью Microsoft Entra Suite для повышения безопасности и управления удостоверениями».
Кампана и Шотт	"Campana & Schott является международным консультантом по управлению и технологиями с более чем 600 сотрудниками в Европе и США. Мы сочетаем более 30 лет опыта управления проектами и трансформации с глубоким опытом в технологиях Майкрософт, ИТ-стратегии и ИТ-организации. В качестве партнера microsoft Solution для Microsoft Cloud мы предоставляем современную безопасность для Microsoft 365, приложений SaaS и устаревших локальных приложений".
Технология DXC	"Технология DXC помогает глобальным компаниям запускать критически важные системы и операции при модернизации ИТ-отдела, оптимизации архитектуры данных и обеспечения безопасности и масштабируемости в общедоступных, частных и гибридных облаках. С 30-летним опытом глобального стратегического партнерства с корпорацией Microsoft и SAP, DXC обладает богатым опытом внедрений SAP IDM в различных отраслях.
Эдгиле, компания Wipro	"Edgile, компания Wipro, опирается на 25 лет опыта работы с SAP и Microsoft 365, чтобы легко перенести управление удостоверениями и доступом (IDM) для наших ценных клиентов. Как партнер Microsoft Entra Launch и партнер SAP Global Strategic Services (GSSP), мы выделяемся в области модернизации и управления изменениями IAM. Наша команда экспертов Edgile и Wipro используют уникальный подход, обеспечивая успешные преобразования облачных удостоверений и безопасности для наших клиентов».
Решение IB	"IBsolution является одним из самых опытных консультантов SAP Identity Management во всем мире с послужной записью более 20 лет. Благодаря стратегическому подходу и предварительно упакованным решениям компания сопровождает клиентов в переходе от SAP IdM к наиболее рекомендуемой замене — Microsoft Entra ID Governance.
IBM Consulting	"IBM Consulting является глобальным лидером в службах преобразования Microsoft Security и SAP. Мы хорошо позиционированы, чтобы поддержать миграцию SAP IdM наших клиентов на Microsoft Entra ID. Наши знания и опыт поддержки крупных глобальных корпоративных клиентов, в сочетании с глубоким опытом в кибербезопасности, ИИ и службах SAP, помогают обеспечить простой переход с минимальным нарушением критически важных бизнес-служб и функций».
KPMG	KPMG и Майкрософт еще больше укрепляют свой альянс, предоставляя комплексное решение по управлению идентификацией. Благодаря эффективной навигации по сложностям системы управления удостоверениями сочетание расширенных средств Microsoft Entra с KPMG Powered Enterprise помогает управлять функциональным преобразованием. Эта синергетика может ускорить цифровые возможности, повысить эффективность работы, укрепить безопасность и обеспечить соответствие требованиям».
ObjektKultur	"В качестве давнего партнера Майкрософт Objektkultur оцифровывает бизнес-процессы с помощью консультаций, разработки и операций инновационных ИТ-решений. Благодаря глубокому опыту в реализации решений по управлению удостоверениями и доступом в Microsoft Technologies и интеграции приложений, мы плавно переводим клиентов с устаревающего SAP IDM на надежный Microsoft Entra, гарантируя безопасное, управляемое и оптимизированное управление удостоверениями и доступом в облаке.
Patecco	"PATECCO является немецкой ИТ-консалтинговой компанией, специализирующейся на разработке, поддержке и реализации решений управления удостоверениями и доступом на основе новейших технологий. С высоким опытом в IAM и партнерстве с отраслевыми лидерами он предлагает специализированные услуги для клиентов из различных секторов, включая банковские, страховые, фарма, энергию, химию и коммунальные услуги".
Protiviti	"Как партнер Microsoft AI Cloud Solutions и SAP Gold Partner, компания Protiviti имеет непревзойденный в отрасли опыт в решениях Майкрософт и SAP." Объединение наших мощных партнерских отношений обеспечит нашим клиентам набор комплексных решений для централизованного управления удостоверениями и управления ролями».
PwC	Службы управления удостоверениями и доступом PwC могут помочь на всех этапах управления возможностями, начиная от оценки существующих возможностей, развернутых в SAP IDM, и до разработки стратегии и планирования целевого состояния и видения с помощью Управления идентификацией Microsoft Entra. PwC также может поддерживать и управлять средой в качестве управляемой услуги после ввода в эксплуатацию.
SAP	"С обширным опытом разработки и реализации SAP IDM наша группа консультантов SAP предлагает полный опыт миграции из SAP IDM в Microsoft Entra. С помощью надежных и прямых подключений к разработке SAP мы можем управлять требованиями клиентов и реализовывать инновационные идеи. Наш опыт интеграции с Microsoft Entra позволяет предоставлять настраиваемые решения. Кроме того, у нас есть рекомендации по обработке облачных служб SAP Identity Services и интеграции SAP с облачными продуктами, отличными от SAP. Доверяйте нашим знаниям и позвольте нашей группе консультантов SAP поддерживать миграцию на идентификатор Microsoft Entra".
SITS	SITS, ведущий поставщик кибербезопасности в регионе DACH, поддерживает клиентов с консультациями высшего уровня, инженерными услугами, облачными технологиями и управляемыми службами. В качестве партнера Microsoft Solutions для безопасности, современной работы и инфраструктуры Azure мы предлагаем нашим клиентам консультации, реализацию, поддержку и управляемые службы по обеспечению безопасности, соответствию, идентификации и конфиденциальности".
Traxion	"Traxion, часть группы SITS, работает в регионе BeNeLux. Traxion является ИТ-компанией с 160 сотрудниками и более 24 лет опыта, мы специализируемся на решениях по управлению удостоверениями. В качестве партнера Майкрософт мы предоставляем рекомендации, реализацию и поддержку IAM верхнего уровня, обеспечивая надежные, долгосрочные отношения с клиентами".
TrustSis	"TrustSis, золотой партнер Microsoft и SAP, базирующийся в Бразилии, предлагает непревзойденный опыт в интеграции решений Microsoft Entra и SAP." Специализируясь на управлении доступом, безопасности, внутреннем контроле, устранении рисков и сегрегации обязанностей (SoD), TrustSis гарантирует, что каждая миграция безопасна и эффективна. С обширным опытом в SAP IDM TrustSis гарантирует стратегические переходы, которые поддерживают эффективность работы при укреплении мер безопасности".

Руководство по миграции для каждого сценария SAP IDM

В следующих разделах приведены ссылки на инструкции по переносу каждого сценария SAP IDM в Microsoft Entra. Не все разделы могут иметь отношение к каждой организации в зависимости от сценариев SAP IDM, развернутых организацией.

Не забудьте отслеживать эту статью, документацию по продуктам Microsoft Entra и соответствующую документацию по продуктам SAP для обновлений, так как возможности обоих продуктов продолжают развиваться, чтобы разблокировать больше миграции и новых сценариев, включая интеграции Microsoft Entra с SAP контроль доступа (SAP AC) и SAP Cloud Identity Access Management (SAP IAG).

Сценарий SAP IDM	Руководство по Microsoft Entra
Хранилище идентичностей SAP IDM	Перенос хранилища удостоверений в тенант Microsoft Entra ID и перенос существующих данных IAM в тенант Microsoft Entra ID
Управление пользователями в SAP IDM	Перенос сценариев управления пользователями
SAP SuccessFactors и другие источники кадров	Интеграция с источниками кадров SAP
Управление идентификациями для единого входа в приложениях	Предоставление к системам SAP, предоставление к системам, не связанным с SAP, миграция аутентификации и единого входа в систему
Самообслуживание конечных пользователей	Перенос самообслуживания конечных пользователей
Назначение ролей и назначение доступа	Перенос сценариев управления жизненным циклом доступа
Отчетность	Использование Microsoft Entra для создания отчетов
Система федерации учетных данных	Перенос информации об удостоверении личности между организациями
Сервер каталогов	Перенос приложений, требующих служб каталогов
Расширения	Расширение Microsoft Entra с помощью интерфейсов интеграции

Перенос хранилища удостоверений в клиент идентификатора Microsoft Entra ID

В SAP IDM "хранилище идентификационных данных" — это репозиторий сведений о личностях, включая пользователей, группы и их журнал аудита. В Microsoft Entra клиент — это экземпляр идентификатора Microsoft Entra, в котором сведения об одной организации находятся в том числе объекты организации, такие как пользователи, группы и устройства. Арендатор также содержит политики доступа и соответствия для ресурсов, таких как приложения, зарегистрированные в каталоге. Основные функции, выполняемые арендатором, включают аутентификацию личности, а также управление доступом к ресурсам. Арендаторы содержат привилегированные корпоративные данные и безопасно разделены от других арендаторов. Кроме того, арендаторы могут быть настроены таким образом, чтобы данные организации сохранялись и обрабатывались в конкретном регионе или облаке, что позволяет организациям использовать арендаторов как механизм для соблюдения требований к местонахождению и обработке данных в соответствии с нормами.

Организации, имеющие Microsoft 365, Microsoft Azure или другие веб-службы Microsoft Online Services, уже будут иметь клиент Идентификатора Microsoft Entra, который лежит в основе этих служб. Кроме того, организация может иметь дополнительных клиентов, таких как клиент с определенными приложениями и настроенный для соответствия стандартам , таким как PCI-DSS , применимым к этим приложениям. Дополнительную информацию об определении пригодности существующего арендатора см. в изоляции ресурсов с несколькими арендаторами. Если у вашей организации еще нет клиента, просмотрите планы развертывания Microsoft Entra.

Перед переносом сценариев в клиент Microsoft Entra необходимо ознакомиться с пошаговой инструкцией.

Определение политики организации с предварительными условиями пользователя и другими ограничениями для доступа к приложению
Определите топологию подготовки и проверки подлинности. Аналогично управлению жизненным циклом удостоверений SAP IDM, один клиент Идентификатора Microsoft Entra может подключаться к нескольким облачным и локальным приложениям для подготовки и единого входа.
Убедитесь, что в этом клиенте выполнены предварительные требования организации, включая наличие соответствующих лицензий Microsoft Entra в этом клиенте для функций, которые вы будете использовать.

Перенос существующих данных IAM в клиент идентификатора Microsoft Entra

В SAP IDM хранилище идентификационных данных представляет данные идентичности с помощью таких типов записей, как MX_PERSON, MX_ROLE, или MX_PRIVILEGE.

В Microsoft Entra ID арендатора человек представлен в качестве пользователя. Если у вас есть пользователи, которые еще не находятся в идентификаторе Microsoft Entra, их можно перенести в идентификатор Microsoft Entra. Во-первых, если у вас есть атрибуты существующих пользователей, которые не являются частью схемы идентификатора Microsoft Entra, то расширьте схему пользователя Microsoft Entra атрибутами расширения для дополнительных атрибутов. Затем загрузите данные для массового создания пользователей в Microsoft Entra ID из источника, например, CSV-файла. Затем выпустите учетные данные новым пользователям, чтобы они могли пройти проверку подлинности в Microsoft Entra ID.
Роль в бизнесе может быть представлена в Microsoft Entra ID Governance как пакет доступа управления правами. Вы можете управлять доступом к приложениям, переносив модель ролей организации в Управление идентификацией Microsoft Entra, что приводит к пакету доступа для каждой бизнес-роли. Чтобы автоматизировать процесс миграции, можно использовать PowerShell для создания пакетов доступа.
Привилегия или техническая роль в целевой системе может быть представлена в Microsoft Entra как роль приложения или в качестве группы безопасности в зависимости от требований целевой системы для использования данных идентификатора Microsoft Entra для авторизации. Для получения дополнительной информации смотрите интеграцию приложений с Microsoft Entra ID и установление базового уровня проверенного доступа.
Возможные представления динамической группы в Microsoft Entra являются отдельными. В Microsoft Entra вы можете автоматически поддерживать коллекции пользователей, например, всех с определенным значением атрибута центра затрат, используя динамические группы членства Microsoft Entra ID или управление доступом Microsoft Entra ID Governance с политиками автоматического назначения пакетов доступа. Командлеты PowerShell можно использовать для создания динамических групп членства или создания политик автоматического назначения в массовом режиме.

Перенос сценариев управления пользователями

С помощью Центра администрирования Microsoft Entra, API Microsoft Graph и PowerShell администраторы могут легко выполнять повседневные действия по управлению удостоверениями, включая создание пользователя, блокировку пользователя при входе, добавление пользователя в группу или удаление пользователя.

Чтобы обеспечить работу на крупных масштабах, Microsoft Entra позволяет организациям автоматизировать процессы управления идентификацией.

Схема связи Microsoft Entra в подготовке с другими источниками и целевыми объектами.

В Microsoft Entra ID и в Системе управления идентификацией Microsoft Entra можно автоматизировать процессы жизненного цикла удостоверений с помощью:

Входящее обеспечение из HR-источников вашей организации извлекает информацию о сотрудниках из Workday и SuccessFactors, чтобы автоматически поддерживать учетные записи пользователей как в Active Directory, так и в Microsoft Entra ID.
Пользователи, уже присутствующие в Active Directory, могут автоматически создаваться и поддерживаться в Microsoft Entra ID с помощью подготовки между каталогами.
Рабочие процессы управления идентификацией жизненного цикла Microsoft Entra автоматизируют задачи, выполняемые на определенных ключевых событиях, например, прежде чем новый сотрудник планирует начать работу в организации, когда они меняют свое положение во время их работы в организации, и при выходе из организации. Например, рабочий процесс можно настроить для отправки электронной почты с временным доступом к руководителю нового пользователя или приветственному сообщению электронной почты пользователю в первый день.
Политики автоматического назначения в управлении правами для добавления и удаления динамической группы членства пользователя, ролей приложений и ролей сайта SharePoint на основе изменений атрибутов пользователя. Пользователи также могут по запросу назначаться группам, командам, ролям Microsoft Entra, ролям ресурсов Azure и сайтам SharePoint Online, используя управление доступом и управление привилегированными пользователями, как это показано в разделе управления жизненным циклом доступа.
** Как только пользователи зарегистрированы в Microsoft Entra ID с назначением в правильные динамические группы и роли приложений, автоматизация управления пользователями может создавать, обновлять и удалять учетные записи пользователей в других приложениях с использованием коннекторов для сотен облачных и локальных приложений посредством SCIM, LDAP и SQL.
Для жизненного цикла гостей можно указать в управлении правами другие организации, пользователи которых могут запрашивать доступ к ресурсам вашей организации. Когда запрос одного из этих пользователей утвержден, управление правами автоматически добавляет его в качестве гостя B2B в каталог вашей организации и назначает соответствующий доступ. А управление правами автоматически удаляет гостевого пользователя B2B из каталога вашей организации при истечении срока действия или отмене прав доступа.
Проверки доступа автоматизирует повторяющиеся проверки существующих гостей, уже имеющихся в каталоге вашей организации, и удаляет этих пользователей из каталога вашей организации, когда им больше не нужен доступ.

При переходе с другого продукта IAM следует помнить, что реализации концепций IAM в Microsoft Entra могут отличаться от реализаций этих понятий в других продуктах IAM. Например, организации могут выразить бизнес-процесс для событий жизненного цикла, таких как введение новых сотрудников в должность, и некоторые IAM продукты реализуют это через рабочий процесс на базе фреймворка рабочего процесса. В отличие от этого, Microsoft Entra имеет множество встроенных процедур автоматизации и не требует определения рабочих процессов для большинства действий автоматизации управления удостоверениями. Например, Microsoft Entra можно настроить так, чтобы при обнаружении нового сотрудника в основной кадровой системе, такой как SuccessFactors, Microsoft Entra автоматически создавала учетные записи пользователей для этого нового сотрудника в Windows Server AD, Microsoft Entra ID, предоставляла им доступ к приложениям, добавляла их в группы и назначала им соответствующие лицензии. Аналогичным образом обработка утверждения запроса на доступ не требует определения рабочего процесса. В Microsoft Entra рабочие процессы требуются только для следующих ситуаций:

Рабочие процессы можно использовать в процессе присоединения, перемещения и выхода для работника, доступных в рабочих процессах жизненного цикла Microsoft Entra, встроенных задачах. Например, администратор может определить рабочий процесс с задачей для отправки сообщения электронной почты с Временным Паролем Доступа для нового сотрудника. Администратор также может добавлять элементы из рабочих процессов жизненного цикла в Azure Logic Apps в ходе выполнения операций присоединения, перемещения и увольнения.
Рабочие процессы можно использовать для добавления шагов в процесс запроса и назначения доступа. Процедуры многоэтапного утверждения, проверок разделения обязанностей и истечения прав доступа уже реализованы в системе управления правами Microsoft Entra. Администратор может определять обращения из управление привилегиями в процессе обработки запросов на назначение пакетов доступа, предоставления и удаления назначений в рабочие процессы Azure Logic Apps.

Интеграция с источниками кадров SAP

Организации, имеющие SAP SuccessFactors, могут использовать SAP IDM для получения данных сотрудников из SAP SuccessFactors. Организации, использующие SAP SuccessFactors, могут легко перенести учетные записи сотрудников из SuccessFactors в Microsoft Entra ID или в локальную службу Active Directory с помощью соединителей Microsoft Entra ID. Соединители поддерживают следующие сценарии:

Найм новых сотрудников: Когда новый сотрудник добавляется в SuccessFactors, учетная запись пользователя автоматически создается в Microsoft Entra ID и при необходимости также в Microsoft 365 и других программных приложениях как услуг (SaaS), поддерживаемых Microsoft Entra ID.
Обновления атрибутов и профилей сотрудников: когда запись сотрудника обновляется в SuccessFactors (например, имя, название или менеджер), учетная запись пользователя сотрудника автоматически обновляется в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.
Завершение работы сотрудников: когда сотрудник завершает работу в SuccessFactors, учетная запись пользователя сотрудника автоматически отключается в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых Идентификатором Microsoft Entra.
Повторный прием на работу сотрудника: когда сотрудник повторно нанят в SuccessFactors, старая учетная запись сотрудника может быть автоматически активирована или перенастроена (в зависимости от вашего предпочтения) для Microsoft Entra ID, а также при необходимости Microsoft 365 и других поддерживаемых приложений SaaS.

Вы также можете записывать обратно из Microsoft Entra ID в свойства SAP SuccessFactors, такие как адрес электронной почты.

Пошаговые инструкции по жизненному циклу идентификации с использованием SAP SuccessFactors в качестве источника, включая настройку новых пользователей с соответствующими учетными данными в Windows Server AD или Microsoft Entra ID, смотрите в статье "Планирование развертывания Microsoft Entra для обеспечения пользователей с приложениями SAP в качестве источника и целевыми приложениями".

Некоторые организации также использовали SAP IDM для чтения из SAP Human Capital Management (HCM). Организации, использующие как SAP SuccessFactors, так и SAP Human Capital Management (HCM), также могут интегрировать учетные записи в Microsoft Entra ID. С помощью SAP Integration Suite можно синхронизировать списки рабочих ролей между SAP HCM и SAP SuccessFactors. Оттуда можно перенести удостоверения непосредственно в Microsoft Entra ID или подготовить их в службы доменных имен Active Directory с помощью встроенных интеграций подготовки, упомянутых ранее.

Схема интеграции с персоналом SAP.

Если у вас есть другие системы ведения учёта, кроме SuccessFactors или SAP HCM, вы можете использовать API входящего предоставления Microsoft Entra для добавления работников из этой системы в качестве пользователей в Windows Server или Microsoft Entra ID.

Подготовка к системам SAP

Большинство организаций с SAP IDM уже использовали его для предоставления пользователей в SAP ECC, SAP IAS, SAP S/4HANA или в других приложениях SAP. Microsoft Entra имеет соединители для SAP ECC, SAP Cloud Identity Services и SAP SuccessFactors. Настройка в SAP S/4HANA или других приложениях требует, чтобы пользователи сначала находились в Microsoft Entra ID. Как только у вас есть пользователи в Microsoft Entra ID, вы можете предоставить этих пользователей из Microsoft Entra ID в SAP Cloud Identity Services или SAP ECC, чтобы они могли войти в приложения SAP. Затем облачные службы удостоверений SAP подготавливают пользователей, которые исходят из Microsoft Entra ID и находятся в каталоге SAP Cloud Identity Directory, в подчиненные приложения SAP, в том числе SAP S/4HANA Cloud, SAP S/4HANA On-premise, через облачный соединитель SAP, AS ABAP и другие.

Пошаговое руководство по жизненному циклу идентификации с приложениями SAP в качестве целевых см. в статье "Планирование развертывания Microsoft Entra для подготовки пользователей с приложениями SAP в качестве источника и цели".

Чтобы подготовиться к предоставлению доступа пользователям в приложения SAP, интегрированные с облачными службами удостоверений SAP, убедитесь, что облачные службы удостоверений SAP имеют необходимые сопоставления схем для этих приложений, и осуществите предоставление пользователей из Microsoft Entra ID в SAP Cloud Identity Services. При необходимости облачные службы удостоверений SAP будут внедрять пользователей в последующие приложения SAP. Затем вы можете использовать входящие данные из SuccessFactors, чтобы поддерживать список пользователей в Microsoft Entra ID актуальным, когда сотрудники присоединяются, переходят на новые должности и покидают компанию. Если у вашего арендатора есть лицензия на Microsoft Entra ID Governance, вы также можете автоматизировать изменения назначений ролей приложения в Microsoft Entra ID для SAP Cloud Identity Services. Для получения более подробной информации о выполнении разделения обязанностей и других проверок соответствия требованиям перед предоставлением прав, см. раздел сценарии управления жизненным циклом доступа.
Чтобы настроить пользователей в SAP ECC, убедитесь, что необходимые бизнес-API (BAPIs) для SAP ECC готовы к использованию Microsoft Entra для управления удостоверениями, а затем создайте пользователей из Microsoft Entra ID в SAP ECC.
Для получения инструкций по обновлению записи сотрудника SAP SuccessFactors см. руководство по обратной записи из Microsoft Entra ID в SAP SuccessFactors.
Если вы используете SAP NetWeaver AS для Java с Windows Server Active Directory в качестве источника данных, входящий трафик Microsoft Entra SuccessFactors можно использовать для автоматического создания и обновления пользователей в Windows Server AD.
Если вы используете SAP NetWeaver AS для Java с другим каталогом LDAP в качестве источника данных, можно настроить Microsoft Entra ID для предоставления пользователей в каталоги LDAP.

После настройки подготовки пользователей в приложениях SAP необходимо включить единый вход для них. Идентификатор Microsoft Entra может служить поставщиком удостоверений и центром проверки подлинности для приложений SAP. Идентификатор Microsoft Entra может интегрироваться с SAP NetWeaver с помощью SAML или OAuth. Дополнительные сведения о настройке единого входа в SAP SaaS и современных приложениях см. в статье "Включение единого входа".

Подготовка к системам, не относящихся к SAP

Организации также могут использовать SAP IDM для подготовки пользователей к системам, не относящихся к SAP, включая Windows Server AD, и другие базы данных, каталоги и приложения. Эти сценарии можно перенести в Microsoft Entra ID, чтобы Microsoft Entra ID подготавливал копию этих пользователей в указанные репозитории.

Для организаций с Windows Server AD, возможно, Windows Server AD использовался как источник для пользователей и групп в SAP IDM для интеграции в SAP R/3. Вы можете использовать Microsoft Entra Connect Sync или Microsoft Entra Cloud Sync для переноса пользователей и групп из Windows Server AD в Microsoft Entra ID. Кроме того, входящий трафик Microsoft Entra SuccessFactors можно использовать для автоматического создания и обновления пользователей в Windows Server AD и управления членством в группах в AD, используемых приложениями на основе AD . Почтовые ящики Exchange Online можно создавать автоматически для пользователей с помощью назначения лицензии с помощью группового лицензирования.
Для организаций с приложениями, зависящими от других каталогов, вы можете настроить Microsoft Entra ID для создания пользователей в каталогах LDAP, включая OpenLDAP, службы каталога Microsoft Active Directory Lightweight Directory Services, сервер 389 Directory Server, сервер Apache Directory Server, IBM Tivoli DS, Isode Directory, NetIQ eDirectory, Novell eDirectory, Open DJ, Open DS, сервер Oracle Directory Server Enterprise Edition (ранее Sun ONE), и сервер Virtual Directory Server RadiantOne (VDS). Атрибуты пользователей в идентификаторе Microsoft Entra можно сопоставить с атрибутами пользователя в этих каталогах и задать начальный пароль при необходимости.
Для организаций с приложениями, зависящими от базы данных SQL, можно настроить идентификатор Microsoft Entra для подготовки пользователей в базу данных SQL с помощью драйвера ODBC базы данных. Поддерживаемые базы данных: Microsoft SQL Server, Azure SQL, IBM DB2 9.x, IBM DB2 10.x, IBM DB2 11.5, Oracle 10g и 11g, Oracle 12c и 18c, MySQL 5.x, MySQL 8.x и Postgres. Атрибуты пользователей в идентификаторе Microsoft Entra можно сопоставить с столбцами таблицы или параметрами хранимой процедуры для этих баз данных. Сведения о SAP HANA см. в статье SAP Cloud Identity Services SAP HANA Database Connector (бета-версия).
Если существуют пользователи в некаталоге Active Directory или базе данных, которые были настроены с помощью SAP IDM и еще не добавлены в Microsoft Entra ID и не могут быть сопоставлены с работником в SAP SuccessFactors или другом кадровом источнике, см. управление существующими пользователями приложения для получения указаний, как интегрировать этих пользователей в Microsoft Entra ID.
Microsoft Entra имеет встроенные интеграции для управления предоставлением доступа с сотнями приложений SaaS. Полный список приложений, поддерживающих предоставление доступа, см. в разделе интеграции управления идентификацией Microsoft Entra. Партнеры Майкрософт также предоставляют партнерские интеграции с дополнительными специализированными приложениями.
Для других внутренних разработанных приложений Microsoft Entra может осуществлять предоставление доступа к облачным приложениям через SCIM, и к локальным приложениям с помощью SCIM, SOAP или REST, PowerShell или партнёрских коннекторов, реализующих ECMA API. Если вы ранее использовали SPML для подготовки из SAP IDM, рекомендуется обновить приложения для поддержки нового протокола SCIM.
Для приложений без интерфейса подготовки рекомендуется использовать функцию управления полномочиями Microsoft Entra ID для автоматизации создания тикета ServiceNow, чтобы назначать тикет владельцу приложения при назначении пользователю или потере доступа к пакету доступа.

Миграция проверки подлинности и единого входа

Идентификатор Microsoft Entra выступает в качестве службы маркеров безопасности, позволяя пользователям проходить проверку подлинности в идентификаторе Microsoft Entra с помощью многофакторной и без пароля проверки подлинности, а затем иметь единый вход ко всем приложениям. Единый вход Microsoft Entra ID использует стандартные протоколы, включая SAML, OpenID Connect и Kerberos. Дополнительные сведения об интеграции единого входа в облачные приложения или приложения SAP BTP см. в интеграции единого входа Microsoft Entra с SAP Cloud Identity Services.

Организации, у которых есть существующий поставщик удостоверений, например Windows Server AD, могут настроить гибридную идентификацию для пользователей, чтобы платформа Microsoft Entra основывалась на существующем поставщике удостоверений. Дополнительные сведения о шаблонах интеграции см. в разделе "Выбор правильного метода проверки подлинности" для решения гибридного удостоверения Microsoft Entra.

Если у вас есть локальные системы SAP, вы можете модернизировать подключение пользователей вашей организации к этим системам с помощью клиента глобального безопасного доступа Частный доступ Microsoft Entra. Удаленные работники не должны использовать VPN для доступа к этим ресурсам, если у них установлен клиент глобального безопасного доступа. Клиент спокойно и легко подключает их к нужным ресурсам. Дополнительные сведения см. в разделе Частный доступ Microsoft Entra.

Перенос самообслуживания для конечных пользователей

Организации могли использовать SAP IDM Справка по входу, чтобы дать пользователям возможность сбрасывать пароли Windows Server AD.

Самостоятельный сброс пароля Microsoft Entra (SSPR) позволяет пользователям изменять или сбрасывать пароль без участия администратора или службы технической поддержки. После настройки Microsoft Entra SSPR вы можете требовать от пользователей регистрации при входе в систему. Затем, если учетная запись пользователя заблокирована или они забыли пароль, они могут следовать запросам разблокировать себя и вернуться к работе. Когда пользователи изменяют или сбрасывают пароли с помощью SSPR в облаке, обновленные пароли также могут быть записаны обратно в локальную среду AD DS. Дополнительные сведения о том, как работает SSPR, см. в разделе Сброс пароля для самообслуживания Microsoft Entra. Если вам нужно отправлять изменения паролей в другие локальные системы, помимо Microsoft Entra ID и Windows Server AD, это можно сделать с помощью такого инструмента, как Служба уведомлений об изменении пароля (PCNS), вместе с Microsoft Identity Manager (MIM). Сведения об этом сценарии см. в статье "Развертывание службы уведомлений об изменении пароля MIM".

Microsoft Entra также поддерживает самообслуживание конечных пользователей для управления группами, а также запросы на самостоятельный доступ, утверждение и проверки. Дополнительные сведения об управлении самостоятельным доступом с помощью Microsoft Entra ID Governance см. в следующем разделе о управлении жизненным циклом доступа.

Перенос сценариев управления жизненным циклом доступа

Организации могут интегрировать SAP IDM с SAP AC, ранее SAP GRC или SAP IAG для утверждений доступа, оценки рисков, разделения обязанностей и других операций.

Microsoft Entra включает несколько технологий управления жизненным циклом доступа, чтобы организации могли перенести свои сценарии управления удостоверениями и доступом в облако. Выбор технологий зависит от требований приложений вашей организации и лицензий Microsoft Entra.

Управление доступом с помощью управления группами безопасности идентификаторов Microsoft Entra. Традиционные приложения на основе Windows Server AD зависят от проверки членства в группах безопасности для авторизации. Microsoft Entra предоставляет группам с динамическим членством доступ к приложениям с помощью утверждений SAML, предоставления или записи групп в Windows Server AD. Вы можете управлять доступом к приложениям SAP BTP с помощью членства в группах, передающихся в виде утверждений в OpenID Connect в облачные службы удостоверений SAP. Облачные службы удостоверений SAP также могут считывать группы из идентификатора Microsoft Entra с помощью Graph и подготавливать эти группы для других приложений SAP.

В Microsoft Entra администраторы могут управлять динамическими группами членства, создавать проверки доступа динамической группы членства и самостоятельно управлять группами. С помощью самообслуживания владельцы групп могут утвердить или запретить запросы на членство и делегировать контроль над динамическими группами членства. Вы также можете использовать привилегированное управление удостоверениями (PIM) для групп для управления участием в группе или владением группы в режиме Just-in-Time.
Управление доступом с помощью пакетов управления правами.. Управление правами — это функция управления удостоверениями, которая позволяет организациям управлять жизненным циклом идентификации и доступа в большом масштабе путем автоматизации рабочих процессов запросов на доступ и утверждения, назначений доступа, проверок и истечения срока действия. Управление правами доступа можно использовать для точечных назначений доступа к приложениям, использующим группы, назначения ролей приложений или имеющих соединители для Azure Logic Apps.

Управление правами позволяет организациям реализовать свои методики по назначению пользователям доступа между несколькими ресурсами, используя стандартизованную коллекцию прав доступа, называемых пакетами доступа. Каждый пакет доступа предоставляет членство группам, назначению ролей приложений или членству на сайтах SharePoint Online. Пакеты доступа можно использовать для представления бизнес-ролей, которые включают технические роли или привилегии в одном или нескольких приложениях. Вы можете настроить управление правами, чтобы пользователи получали назначения пакетов доступа автоматически на основе свойств пользователей, таких как отдел или центр затрат. Вы также можете настроить рабочие процессы жизненного цикла для добавления или удаления назначений при присоединении и выходе пользователей. Администраторы могут запросить, чтобы пользователям были назначены права доступа к пакетам, а пользователи могут также запросить доступ к пакетам самостоятельно. Пакеты доступа, доступные пользователю для запроса, определяются группой динамического членства безопасности пользователя. Пользователи могут запрашивать доступ к ним немедленно или запрашивать доступ в будущем, указывать ограничение времени в часах или днях, а также включать ответы на вопросы или предоставлять значения для дополнительных атрибутов. Запрос можно настроить для автоматического утверждения или пройти несколько этапов утверждения менеджером, владельцем ролей или другими утверждающими, с возможностью привлечения эскалационных утверждающих в случае, если основной утверждающий недоступен или не отвечает. После утверждения запрашивающие пользователи уведомляются о том, что им назначен доступ. Назначения пакета доступа могут быть ограничены по времени, и вы можете настроить повторяющиеся проверки доступа, чтобы менеджер, владелец ресурса или другие утверждающие лица регулярно пересматривали или подтверждали потребность пользователя в продолжении доступа. Дополнительные сведения о переносе политик авторизации, представленных в модели ролей в управление правами, см. в разделе "Миграция модели ролей организации". Чтобы автоматизировать процесс миграции, можно использовать PowerShell для создания пакетов доступа.
Управление доступом с помощью управления правами и внешнего продукта GRC. Благодаря интеграции Microsoft Entra с управлением доступом к SAP, к Pathlock и другим партнерским продуктам клиенты могут воспользоваться дополнительными рисками и детальными проверками разделения обязанностей, применяемыми в этих продуктах, с пакетами доступа в Управление идентификацией Microsoft Entra.

Использование Microsoft Entra для создания отчетов

Microsoft Entra включает встроенные отчеты и рабочие книги, которые отображаются в Azure Monitor на основе данных аудита, входа в систему и подготовки ресурсов из журналов. Доступные варианты создания отчетов в Microsoft Entra:

Встроенные отчеты Microsoft Entra в Центре администрирования, включая отчеты об использовании и аналитике, для представления информации о данных входа, ориентированной на приложение. Эти отчеты можно использовать для мониторинга необычного создания и удаления учетных записей, а также для необычного использования учетных записей.
Вы можете экспортировать данные из Центра администрирования Microsoft Entra для создания собственных отчетов. Например, можно скачать список пользователей и их атрибутов или скачать журналы, включая журналы подготовки, из Центра администрирования Microsoft Entra.
Вы можете запросить Microsoft Graph, чтобы получить данные для использования в отчете. Например, можно получить список неактивных учетных записей пользователей в идентификаторе Microsoft Entra.
С помощью командлетов PowerShell и API Microsoft Graph можно экспортировать и реструктурировать содержимое, подходящее для создания отчетов. Например, если вы используете пакеты доступа управления полномочиями Microsoft Entra, вы можете получить список назначений для пакета доступа в PowerShell.
Вы можете экспортировать коллекции объектов, например пользователей или групп, из Microsoft Entra в Azure Data Explorer. Дополнительные сведения смотрите в разделе настраиваемых отчетов в Azure Data Explorer (ADX) с использованием данных из Microsoft Entra ID.
Вы можете получать оповещения и использовать рабочие тетради, настраиваемые запросы и отчеты по журналам аудита, входа и учета ресурсов, отправленным в Azure Monitor. Например, можно архивировать журналы и отчеты об управлении правами в Azure Monitor из Центра администрирования Microsoft Entra или с помощью PowerShell. Журналы аудита содержат сведения о том, кто создал и изменил объекты в Microsoft Entra. Azure Monitor также предоставляет варианты долгосрочного хранения данных.

Обмен сведениями об удостоверениях между структурами организаций

Некоторые организации могут использовать федерацию удостоверений SAP IDM для обмена сведениями об удостоверениях пользователей по границам компании.

Microsoft Entra включает возможности для мультитенантной организации, которая более одного клиента Microsoft Entra ID объединяет пользователей из одного клиента для доступа к приложениям или совместной работы в другом клиенте. На следующей схеме показано, как использовать функцию синхронизации мультитенантных организаций между клиентами, чтобы пользователи одного клиента могли иметь доступ к приложениям в другом клиенте в вашей организации.

Внешняя идентификация Microsoft Entra включает в себя Возможности совместной работы B2B, которые позволяют вашим сотрудникам безопасно работать с организациями и гостями бизнес-партнеров, а также предоставлять им доступ к приложениям вашей компании. Гостевые пользователи могут выполнять вход в ваши приложения и службы с использованием собственных рабочих, учебных учетных данных либо учетных данных из социальных сетей. Для организаций бизнес-партнеров, имеющих собственный клиент Идентификатора Microsoft Entra, где проходят проверку подлинности пользователи, можно настроить параметры доступа между клиентами. И для тех организаций бизнес-партнеров, которые не имеют клиента Microsoft Entra, но вместо этого имеют собственных поставщиков удостоверений, можно настроить федерацию с поставщиками удостоверений SAML/WS-Fed для гостевых пользователей. Управление правами Microsoft Entra позволяет управлять жизненным циклом идентификации и доступа для этих внешних пользователей, настраивая пакет доступа, требующий утверждения, перед тем, как гость получает доступ в арендатора, а также автоматическое удаление гостей при отказе в продолжительном доступе во время проверки доступа.

Схема жизненного цикла внешних пользователей

Перенос приложений, требующих служб каталогов

Некоторые организации могут использовать SAP IDM в качестве службы каталогов, чтобы приложения могли обращаться к нему для чтения и записи удостоверений. Идентификатор Microsoft Entra предоставляет службу каталогов для современных приложений, позволяя приложениям обращаться через API Microsoft Graph для запроса и обновления пользователей, групп и других сведений об удостоверениях.

Для приложений, которым по-прежнему требуется интерфейс LDAP для чтения пользователей или групп, Microsoft Entra предоставляет несколько вариантов:

Microsoft Entra Domain Services предоставляет услуги по проверке удостоверений для приложений и виртуальных машин в облаке и совместимы с традиционной средой AD DS для таких операций, как подключение к домену и безопасный LDAP. Доменные службы реплицируют сведения об удостоверениях из Microsoft Entra ID, поэтому система работает с клиентами Microsoft Entra, которые являются исключительно облачными или синхронизированными с локальной средой AD DS.
Если вы используете Microsoft Entra для переноса сотрудников из SuccessFactors в локальную службу Active Directory, приложения могут считывать пользователей из этой Windows Server Active Directory. Если приложения также требуют динамической группы членства, вы можете заполнить группы Windows Server AD из соответствующих групп в Microsoft Entra. Дополнительные сведения см. в разделе "Обратная запись группы" с помощью Microsoft Entra Cloud Sync.
Если ваша организация использовала другой каталог LDAP, можно настроить Microsoft Entra ID для добавления пользователей в этот каталог LDAP.

Расширение Microsoft Entra с помощью интерфейсов интеграции

Microsoft Entra включает несколько интерфейсов для интеграции и расширения в своих службах, в том числе:

Приложения могут вызывать Microsoft Entra через API Microsoft Graph, чтобы запрашивать и обновлять сведения об удостоверениях, конфигурации и политиках, а также получать журналы, состояние и отчеты.
Администраторы могут настроить подготовку приложений с помощью SCIM, SOAP или REST и API ECMA.
Администраторы могут использовать API входящего обеспечения для интеграции рабочих записей из других систем учета записей, чтобы предоставлять обновления данных пользователей в Windows Server AD и Microsoft Entra ID.
Администраторы клиента с Управлением идентификацией Microsoft Entra могут также настраивать вызовы пользовательских Azure Logic Apps из управления доступом и рабочих процессов жизненного цикла. Они позволяют настраивать процессы подключения пользователей, отключения и доступа к процессам запросов и назначений.

Поделиться через