Správa přístupu k aplikacím SAP

SAP pravděpodobně spouští důležité funkce, jako je hr a ERP, pro vaši organizaci. Zároveň vaše organizace spoléhá na Microsoft pro různé služby Azure, Microsoft 365 a zásady správného řízení Microsoft Entra ID pro správu přístupu k aplikacím. Tento článek popisuje, jak můžete použít zásady správného řízení identit ke správě identit napříč aplikacemi SAP.

Přenesení identit z personálního oddělení do Microsoft Entra ID

SuccessFactors

Zákazníci, kteří používají SAP SuccessFactors, můžou snadno přenést identity z SuccessFactors do Microsoft Entra ID nebo SuccessFactors do místní Active Directory pomocí nativních konektorů. Konektory podporují následující scénáře:

• Nábor nových zaměstnanců: Když se do SuccessFactors přidá nový zaměstnanec, automaticky se vytvoří uživatelský účet v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS (software jako služba), které Microsoft Entra ID podporuje. Tento proces zahrnuje zpětný zápis e-mailové adresy do SuccessFactors.
• Aktualizace atributu a profilu zaměstnance: Když se záznam zaměstnance aktualizuje v SuccessFactors (například jméno, titul nebo manažer), uživatelský účet zaměstnance se automaticky aktualizuje v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS, které Podporuje Microsoft Entra ID.
• Ukončení zaměstnance: Když je zaměstnanec ukončen v SuccessFactors, uživatelský účet zaměstnance se automaticky zakáže v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS, které Microsoft Entra ID podporuje.
• Zaměstnanec se znovu najímá: Když se zaměstnanec znovu načte v SuccessFactors, může se starý účet zaměstnance automaticky znovu aktivovat nebo znovu vytvořit (v závislosti na vašich preferencích) na Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS, které Microsoft Entra ID podporuje.

Do SAP SuccessFactors můžete také zapisovat zpět z Microsoft Entra ID.

SAP HCM

Zákazníci, kteří stále používají SAP Human Capital Management (HCM), můžou také přenést identity do Microsoft Entra ID. Pomocí sady SAP Integration Suite můžete synchronizovat seznamy pracovních procesů mezi SAP HCM a SAP SuccessFactors. Odtud můžete přenést identity přímo do Microsoft Entra ID nebo je zřídit do služby Doména služby Active Directory Services pomocí nativních integrací zřizování zmíněných dříve.

Poskytnutí přístupu k aplikacím SAP

Kromě nativních integrací zřizování, které umožňují spravovat přístup k vašim aplikacím SAP, podporuje Microsoft Entra ID bohatou sadu integrací s těmito aplikacemi.

Povolení jednotného přihlašování

Kromě nastavení zřizování pro aplikace SAP můžete pro ně povolit jednotné přihlašování. Microsoft Entra ID může sloužit jako zprostředkovatel identity a sloužit jako ověřovací autorita pro vaše aplikace SAP. Microsoft Entra ID může integrovat se SAP NetWeaver pomocí SAML nebo OAuth. V případě SAP SaaS a moderních aplikací se dozvíte, jak nakonfigurovat Microsoft Entra ID jako zprostředkovatele podnikové identity pro aplikace SAP prostřednictvím SLUŽEB SAP Cloud Identity Services.

Další informace o konfiguraci jednotného přihlašování z Microsoft Entra ID najdete v následující dokumentaci a kurzech:

• SAP Cloud Identity Services
• SAP SuccessFactors
• SAP Analytics Cloud
• SAP Fiori
• SAP Qualtrics
• SAP Ariba
• SAP Concur Travel and Expense
• SAP Business Technology Platform
• SAP Business ByDesign
• SAP HANA
• SAP Cloud pro zákazníka
• SAP Fieldglass

Projděte si také následující prostředky SAP:

• nastavení brány Aplikace Azure SAML Jednotné přihlašování pro veřejné a interní adresy URL SAP
• Jednotné přihlašování pomocí služeb Microsoft Entra Domain Services a Kerberos

Zřizování identit do moderních aplikací SAP

Jakmile jsou vaši uživatelé v Microsoft Entra ID, můžete zřizovat účty do různých saaS a místních aplikací SAP, ke kterým potřebují přístup. Můžete to provést dvěma způsoby:

• Pomocí podnikové aplikace SAP Cloud Identity Services v Microsoft Entra ID zřiďte identity do SAP Cloud Identity Services. Po přenesení všech identit do sap Cloud Identity Services můžete v případě potřeby zřizovat účty do vašich aplikací pomocí služby SAP Cloud Identity Services – Zřizování identit.
• Pomocí integrace SAP Cloud Identity Services – Zřizování identit můžete přímo exportovat identity z Microsoft Entra ID do integrovaných aplikací SAP Cloud Identity Services. Když používáte SAP Cloud Identity Services – Zřizování identit k přenesení uživatelů do těchto aplikací, veškerá konfigurace zřizování pro tyto aplikace se spravuje přímo v SAP. Podnikovou aplikaci v Microsoft Entra ID můžete dál používat ke správě jednotného přihlašování a jako zprostředkovatele podnikové identity používat Microsoft Entra ID.

Zřizování identit do místních systémů SAP

Zákazníci, kteří ještě přešli z aplikací, jako jsou SAP R/3 a SAP ERP Central Component (SAP ECC) na SAP S/4HANA, se stále můžou spolehnout na službu zřizování Microsoft Entra za účelem zřizování uživatelských účtů. V RÁMCI SAP R/3 a SAP ECC zveřejňujete potřebná rozhraní BAPI (Business Application Programming Interface) pro vytváření, aktualizaci a odstraňování uživatelů. V rámci ID Microsoft Entra máte dvě možnosti:

• Pomocí odlehčeného zřizovacího agenta Microsoft Entra a konektoru webových služeb zřiďte uživatele do aplikací, jako je SAP ECC.
• Ve scénářích, ve kterých potřebujete provádět složitější správu skupin a rolí, použijte Microsoft Identity Manager ke správě přístupu ke starším aplikacím SAP.

Microsoft Entra ID můžete také použít ke zřizování pracovních procesů do služby Active Directory a také k dalším místním systémům, které SLUŽBA SAP Cloud Identity Services nepodporuje zřizování.

Aktivace vlastních pracovních postupů

Když je ve vaší organizaci přijat nový zaměstnanec, možná budete muset v místních systémech SAP aktivovat pracovní postup pro další úkoly nad rámec zřizování uživatelů. Pomocí rozšiřitelnosti pracovních postupů životního cyklu Microsoft Entra nebo rozšiřitelnosti Logic Apps pro správu nároků Microsoft Entra pomocí konektoru SAP v Azure Logic Apps můžete při přijetí nového zaměstnance aktivovat vlastní akce v SAP.

Kontrola oddělení povinností

Díky kontrolám oddělení povinností ve správě nároků Microsoft Entra můžou zákazníci zajistit, aby uživatelé nezabírají nadměrná přístupová práva:

• Správa a správci přístupu můžou uživatelům zabránit v vyžádání dodatečných přístupových balíčků, pokud jsou už přiřazeni k jiným přístupovým balíčkům nebo jsou členem jiných skupin, které nejsou kompatibilní s požadovaným přístupem.
• Podniky s důležitými zákonnými požadavky pro aplikace SAP mají jednotný pohled na řízení přístupu. Poté mohou vynutit kontroly oddělení povinností napříč finančními a dalšími důležitými obchodními aplikacemi společně s integrovanými aplikacemi Microsoft Entra.
• Díky integraci s Pathlock a dalšími partnerskými produkty můžou zákazníci využívat jemně odstupňované kontroly povinností s přístupovými balíčky v zásadách správného řízení Microsoft Entra ID.

Další doprovodné materiály

Další informace o integraci SAP s Microsoft Entra ID najdete v následující dokumentaci:

• Zabezpečený přístup pomocí SLUŽEB SAP Cloud Identity Services a Microsoft Entra ID
• Zabezpečení úloh SAP – Dobře navržená architektura Microsoft Azure

Další kroky

• Přenesení identit ze SAP SuccessFactors do Microsoft Entra ID
• Zřízení účtů ve službě SAP Cloud Identity Services
• Začínáme se scénáři integrace SAP a Microsoftu