Управление доступом к приложениям SAP
Программное обеспечение и службы SAP, скорее всего, выполняют критически важные функции, такие как HR и ERP, для вашей организации. В то же время ваша организация использует Корпорацию Майкрософт для различных служб Azure, Microsoft 365 и Управление идентификацией Microsoft Entra для управления доступом к приложениям. В этой статье описывается, как использовать управление удостоверениями для управления удостоверениями в приложениях SAP.
Миграция из управления удостоверениями SAP
Если вы использовали SAP Identity Management (IDM), можно перенести сценарии управления удостоверениями из SAP IDM в Microsoft Entra. Дополнительные сведения см. в статье "Миграция сценариев управления удостоверениями" из SAP IDM в Microsoft Entra.
Перенос удостоверений из hr в идентификатор Microsoft Entra
В плане руководства по развертыванию Microsoft Entra для подготовки пользователей с помощью источника SAP и целевых приложений показано, как подключить Microsoft Entra к авторитетным источникам для списка работников в организации, таких как SAP SuccessFactors. В нем также показано, как использовать Microsoft Entra для настройки удостоверений для этих работников. Затем вы узнаете, как использовать Microsoft Entra для предоставления сотрудникам доступа к одному или нескольким приложениям SAP, таким как SAP ECC или SAP S/4HANA.
SuccessFactors
Клиенты, использующие SAP SuccessFactors, могут легко перенести удостоверения из SuccessFactors в идентификатор Microsoft Entra id или из SuccessFactors в локальная служба Active Directory с помощью собственных соединителей. Соединители поддерживают следующие сценарии:
- Нанимать новых сотрудников: когда новый сотрудник добавляется в SuccessFactors, учетная запись пользователя автоматически создается в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложений в качестве службы (SaaS), поддерживаемых идентификатором Microsoft Entra. Этот процесс включает обратную запись адреса электронной почты в SuccessFactors.
- Обновления атрибутов и профилей сотрудников: когда запись сотрудника обновляется в SuccessFactors (например, имя, название или менеджер), учетная запись пользователя сотрудника автоматически обновляется в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых идентификатором Microsoft Entra.
- Завершение работы сотрудников: когда сотрудник завершает работу в SuccessFactors, учетная запись пользователя сотрудника автоматически отключается в идентификаторе Microsoft Entra ID и при необходимости Microsoft 365 и других приложениях SaaS, поддерживаемых Идентификатором Microsoft Entra.
- Сотрудник повторно обновляется: когда сотрудник перезахвачен в SuccessFactors, старая учетная запись сотрудника может быть автоматически активирована или перепроверена (в зависимости от вашего предпочтения) идентификатору Microsoft Entra и при необходимости Microsoft 365 и другим приложениям SaaS, поддерживаемым идентификатором Microsoft Entra ID.
Вы также можете записать обратно из идентификатора Microsoft Entra в SAP SuccessFactors.
SAP HCM
Клиенты, которые по-прежнему используют SAP Human Capital Management (HCM), также могут привести удостоверения в идентификатор Microsoft Entra. С помощью SAP Integration Suite можно синхронизировать списки рабочих ролей между SAP HCM и SAP SuccessFactors. Оттуда можно перенести удостоверения непосредственно в идентификатор Microsoft Entra ID или подготовить их в службы домен Active Directory с помощью встроенных интеграции подготовки, упомянутых ранее.
Предоставление доступа к приложениям SAP
Помимо встроенных интеграции подготовки, которые позволяют управлять доступом к приложениям SAP, идентификатор Microsoft Entra поддерживает широкий набор интеграции с этими приложениями.
Включить единый вход
Наряду с настройкой подготовки для приложений SAP вы можете включить единый вход для них. Идентификатор Microsoft Entra может служить поставщиком удостоверений и служить центром проверки подлинности для приложений SAP. Идентификатор Microsoft Entra может интегрироваться с SAP NetWeaver с помощью SAML или OAuth. Для SAP SaaS и современных приложений узнайте, как настроить идентификатор Microsoft Entra в качестве поставщика корпоративных удостоверений для приложений SAP с помощью облачных удостоверений SAP.
Дополнительные сведения о настройке единого входа из идентификатора Microsoft Entra см. в следующей документации и руководствах.
- Облачные службы удостоверений SAP
- SAP SuccessFactors
- Облако SAP Analytics
- SAP Fiori
- SAP Ariba
- SAP Concur Travel and Expense
- SAP Business Technology Platform
- SAP Business ByDesign
- SAP HANA
- SAP Cloud for Customer
- SAP Fieldglass
Также см. следующие ресурсы SAP:
- Шлюз приложений Azure настройка Единый вход SAML для общедоступных и внутренних URL-адресов SAP
- Единый вход с помощью доменных служб Microsoft Entra и Kerberos
Подготовка удостоверений в современных приложениях SAP
После того как пользователи находятся в идентификаторе Microsoft Entra, вы можете подготовить учетные записи в различных приложениях SaaS и локальных приложениях SAP, к которым им нужен доступ. Это можно сделать двумя способами.
- Используйте корпоративное приложение SAP Cloud Identity Services в идентификаторе Microsoft Entra для подготовки удостоверений в облачных службах удостоверений SAP. После добавления всех удостоверений в облачные службы удостоверений SAP можно использовать sap Cloud Identity Services — подготовка удостоверений для подготовки учетных записей из нее в приложения при необходимости.
- Используйте интеграцию sap Cloud Identity Services — подготовка удостоверений для непосредственного экспорта удостоверений из идентификатора Microsoft Entra в интегрированные приложения sap Cloud Identity Services. При использовании sap Cloud Identity Services — подготовка удостоверений для привлечения пользователей в эти приложения, все конфигурации подготовки для этих приложений управляются непосредственно в SAP. Вы по-прежнему можете использовать корпоративное приложение в Идентификаторе Microsoft Entra для управления единым входом и использования идентификатора Microsoft Entra в качестве поставщика корпоративных удостоверений.
Подготовка удостоверений в локальных системах SAP
Когда у вас есть пользователи в идентификаторе Microsoft Entra, вы можете подготовить этих пользователей из идентификатора Microsoft Entra в SAP Cloud Identity Services или SAP ECC, чтобы разрешить им войти в приложения SAP. Если у вас есть SAP S/4HANA On-premise
, подготовьте пользователей из Microsoft Entra ID в SAP Cloud Identity Directory. Затем облачные службы удостоверений SAP подготавливают пользователей, исходящих из идентификатора Microsoft Entra, которые находятся в каталоге SAP Cloud Identity Directory в подчиненных приложениях SAP в SAP S/4HANA в локальной среде через соединитель облака SAP.
Клиенты, которые еще не переходили с таких приложений, как SAP R/3 и SAP ERP Central (SAP ECC) в SAP S/4HANA, по-прежнему могут полагаться на службу подготовки Microsoft Entra для подготовки учетных записей пользователей. В SAP R/3 и SAP ECC вы предоставляете необходимые интерфейсы программирования бизнес-приложений (BAPIs) для создания, обновления и удаления пользователей. В идентификаторе Microsoft Entra есть два варианта:
- Используйте упрощенный агент подготовки Microsoft Entra и соединитель веб-служб для подготовки пользователей к приложениям, таким как SAP ECC.
- В сценариях, где необходимо выполнять более сложные группы и управление ролями, используйте Microsoft Identity Manager для управления доступом к устаревшим приложениям SAP.
Вы также можете использовать идентификатор Microsoft Entra для подготовки сотрудников в Active Directory, а также других локальных систем, которые sap Cloud Identity Services не поддерживает подготовку.
Активация пользовательских рабочих процессов
Когда новый сотрудник нанимается в вашей организации, может потребоваться активировать рабочий процесс в локальных системах SAP для дополнительных задач, помимо подготовки пользователей. С помощью рабочих процессов жизненного цикла Microsoft Entra Logic Apps расширяемость Logic Apps или расширяемость Приложений логики Microsoft Entra с соединителем SAP в Azure Logic Apps можно активировать пользовательские действия в SAP при найме нового сотрудника.
Проверка разделения обязанностей
При проверке разделения обязанностей в управлении правами Microsoft Entra клиенты могут гарантировать, что пользователи не принимают чрезмерные права доступа:
- Администраторы и руководители доступа могут запретить пользователям запрашивать дополнительные пакеты доступа, если они уже назначены другим пакетам доступа или являются членами других групп, которые несовместимы с запрошенным доступом.
- Предприятия с критически важными нормативными требованиями для приложений SAP имеют единое представление элементов управления доступом. Затем они могут применять проверки разделения обязанностей между своими финансовыми и другими критически важными приложениями, а также интегрированными приложениями Microsoft Entra.
- Благодаря интеграции Microsoft Entra с управлением доступом к SAP, к Pathlock и другим партнерским продуктам клиенты могут воспользоваться дополнительными рисками и детальными проверками разделения обязанностей, применяемыми в этих продуктах, с пакетами доступа в Управление идентификацией Microsoft Entra.
Дополнительные рекомендации
Дополнительные сведения об интеграции SAP с идентификатором Microsoft Entra см. в следующей документации:
- Безопасный доступ с помощью облачных удостоверений SAP и идентификатора Microsoft Entra
- Безопасность рабочей нагрузки SAP — хорошо разработанная платформа Microsoft Azure
- Службы и партнеры по интеграции для развертывания Microsoft Entra с помощью приложений SAP
Следующие шаги
- Планирование развертывания Microsoft Entra для подготовки пользователей с помощью исходных и целевых приложений SAP
- Перенос удостоверений из SAP SuccessFactors в идентификатор Microsoft Entra
- Подготовка учетных записей в sap Cloud Identity Services
- Начало работы с сценариями интеграции SAP и Майкрософт