Поделиться через


Управление доступом к приложениям SAP

Программное обеспечение и службы SAP, скорее всего, выполняют критически важные функции, такие как HR и ERP, для вашей организации. В то же время ваша организация использует Корпорацию Майкрософт для различных служб Azure, Microsoft 365 и Управление идентификацией Microsoft Entra для управления доступом к приложениям. В этой статье описывается, как использовать управление удостоверениями для управления удостоверениями в приложениях SAP.

Схема интеграции SAP.

Миграция из управления удостоверениями SAP

Если вы использовали SAP Identity Management (IDM), можно перенести сценарии управления удостоверениями из SAP IDM в Microsoft Entra. Дополнительные сведения см. в статье "Миграция сценариев управления удостоверениями" из SAP IDM в Microsoft Entra.

Перенос удостоверений из hr в идентификатор Microsoft Entra

В плане руководства по развертыванию Microsoft Entra для подготовки пользователей с помощью источника SAP и целевых приложений показано, как подключить Microsoft Entra к авторитетным источникам для списка работников в организации, таких как SAP SuccessFactors. В нем также показано, как использовать Microsoft Entra для настройки удостоверений для этих работников. Затем вы узнаете, как использовать Microsoft Entra для предоставления сотрудникам доступа к одному или нескольким приложениям SAP, таким как SAP ECC или SAP S/4HANA.

SuccessFactors

Клиенты, использующие SAP SuccessFactors, могут легко перенести удостоверения из SuccessFactors в идентификатор Microsoft Entra id или из SuccessFactors в локальная служба Active Directory с помощью собственных соединителей. Соединители поддерживают следующие сценарии:

  • Нанимать новых сотрудников: когда новый сотрудник добавляется в SuccessFactors, учетная запись пользователя автоматически создается в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложений в качестве службы (SaaS), поддерживаемых идентификатором Microsoft Entra. Этот процесс включает обратную запись адреса электронной почты в SuccessFactors.
  • Обновления атрибутов и профилей сотрудников: когда запись сотрудника обновляется в SuccessFactors (например, имя, название или менеджер), учетная запись пользователя сотрудника автоматически обновляется в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.
  • Завершение работы сотрудников: когда сотрудник завершает работу в SuccessFactors, учетная запись пользователя сотрудника автоматически отключается в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых Идентификатором Microsoft Entra.
  • Сотрудник повторно обновляется: когда сотрудник перезахвачен в SuccessFactors, старая учетная запись сотрудника может быть автоматически активирована или перепроверена (в зависимости от вашего предпочтения) идентификатору Microsoft Entra и при необходимости Microsoft 365 и другим приложениям SaaS, поддерживаемым идентификатором Microsoft Entra ID.

Вы также можете записать обратно из идентификатора Microsoft Entra в SAP SuccessFactors.

SAP HCM

Клиенты, которые по-прежнему используют SAP Human Capital Management (HCM), также могут привести удостоверения в идентификатор Microsoft Entra. С помощью SAP Integration Suite можно синхронизировать списки рабочих ролей между SAP HCM и SAP SuccessFactors. Оттуда можно перенести удостоверения непосредственно в идентификатор Microsoft Entra ID или подготовить их в службы домен Active Directory с помощью встроенных интеграции подготовки, упомянутых ранее.

Схема интеграции с персоналом SAP.

Предоставление доступа к приложениям SAP

Помимо встроенных интеграции подготовки, которые позволяют управлять доступом к приложениям SAP, идентификатор Microsoft Entra поддерживает широкий набор интеграции с этими приложениями.

Включить единый вход

Наряду с настройкой подготовки для приложений SAP вы можете включить единый вход для них. Идентификатор Microsoft Entra может служить поставщиком удостоверений и служить центром проверки подлинности для приложений SAP. Идентификатор Microsoft Entra может интегрироваться с SAP NetWeaver с помощью SAML или OAuth. Для SAP SaaS и современных приложений узнайте, как настроить идентификатор Microsoft Entra в качестве поставщика корпоративных удостоверений для приложений SAP с помощью облачных удостоверений SAP.

Дополнительные сведения о настройке единого входа из идентификатора Microsoft Entra см. в следующей документации и руководствах.

Также см. следующие ресурсы SAP:

Подготовка удостоверений в современных приложениях SAP

После того как пользователи находятся в идентификаторе Microsoft Entra, вы можете подготовить учетные записи в различных приложениях SaaS и локальных приложениях SAP, к которым им нужен доступ. Это можно сделать двумя способами.

  • Используйте корпоративное приложение SAP Cloud Identity Services в идентификаторе Microsoft Entra для подготовки удостоверений в облачных службах удостоверений SAP. После добавления всех удостоверений в облачные службы удостоверений SAP можно использовать sap Cloud Identity Services — подготовка удостоверений для подготовки учетных записей из нее в приложения при необходимости.
  • Используйте интеграцию sap Cloud Identity Services — подготовка удостоверений для непосредственного экспорта удостоверений из идентификатора Microsoft Entra в интегрированные приложения sap Cloud Identity Services. При использовании sap Cloud Identity Services — подготовка удостоверений для привлечения пользователей в эти приложения, все конфигурации подготовки для этих приложений управляются непосредственно в SAP. Вы по-прежнему можете использовать корпоративное приложение в Идентификаторе Microsoft Entra для управления единым входом и использования идентификатора Microsoft Entra в качестве поставщика корпоративных удостоверений.

Подготовка удостоверений в локальных системах SAP

Когда у вас есть пользователи в идентификаторе Microsoft Entra, вы можете подготовить этих пользователей из идентификатора Microsoft Entra в SAP Cloud Identity Services или SAP ECC, чтобы разрешить им войти в приложения SAP. Если у вас есть SAP S/4HANA On-premise, подготовьте пользователей из Microsoft Entra ID в SAP Cloud Identity Directory. Затем облачные службы удостоверений SAP подготавливают пользователей, исходящих из идентификатора Microsoft Entra, которые находятся в каталоге SAP Cloud Identity Directory в подчиненных приложениях SAP в SAP S/4HANA в локальной среде через соединитель облака SAP.

Клиенты, которые еще не переходили с таких приложений, как SAP R/3 и SAP ERP Central (SAP ECC) в SAP S/4HANA, по-прежнему могут полагаться на службу подготовки Microsoft Entra для подготовки учетных записей пользователей. В SAP R/3 и SAP ECC вы предоставляете необходимые интерфейсы программирования бизнес-приложений (BAPIs) для создания, обновления и удаления пользователей. В идентификаторе Microsoft Entra есть два варианта:

Вы также можете использовать идентификатор Microsoft Entra для подготовки сотрудников в Active Directory, а также других локальных систем, которые sap Cloud Identity Services не поддерживает подготовку.

Активация пользовательских рабочих процессов

Когда новый сотрудник нанимается в вашей организации, может потребоваться активировать рабочий процесс в локальных системах SAP для дополнительных задач, помимо подготовки пользователей. С помощью рабочих процессов жизненного цикла Microsoft Entra Logic Apps расширяемость Logic Apps или расширяемость Приложений логики Microsoft Entra с соединителем SAP в Azure Logic Apps можно активировать пользовательские действия в SAP при найме нового сотрудника.

Проверка разделения обязанностей

При проверке разделения обязанностей в управлении правами Microsoft Entra клиенты могут гарантировать, что пользователи не принимают чрезмерные права доступа:

  • Администраторы и руководители доступа могут запретить пользователям запрашивать дополнительные пакеты доступа, если они уже назначены другим пакетам доступа или являются членами других групп, которые несовместимы с запрошенным доступом.
  • Предприятия с критически важными нормативными требованиями для приложений SAP имеют единое представление элементов управления доступом. Затем они могут применять проверки разделения обязанностей между своими финансовыми и другими критически важными приложениями, а также интегрированными приложениями Microsoft Entra.
  • Благодаря интеграции Microsoft Entra с управлением доступом к SAP, к Pathlock и другим партнерским продуктам клиенты могут воспользоваться дополнительными рисками и детальными проверками разделения обязанностей, применяемыми в этих продуктах, с пакетами доступа в Управление идентификацией Microsoft Entra.

Дополнительные рекомендации

Дополнительные сведения об интеграции SAP с идентификатором Microsoft Entra см. в следующей документации:

Следующие шаги