Verwalten des Zugriffs auf Ihre SAP-Anwendungen

Artikel
04/09/2024

SAP führt wahrscheinlich kritische Funktionen wie Personalverwaltung (Human Resources, HR) und ERP (Enterprise Resource Planning) für Ihre Organisation aus. Gleichzeitig setzt Ihre Organisation in Bezug auf die Verwaltung des Zugriffs auf Anwendungen auf Produkte von Microsoft wie verschiedene Azure-Dienste, Microsoft 365 und Microsoft Entra ID Governance. In diesem Artikel wird beschrieben, wie Sie Identity Governance verwenden können, um Identitäten in Ihren SAP-Anwendungen zu verwalten.

Diagramm der SAP-Integrationen.

Integrieren von Identitäten aus HR in Microsoft Entra ID

SuccessFactors

Kunden, die SAP SuccessFactors verwenden, können Identitäten von SuccessFactors mithilfe von nativen Connectors problemlos in Microsoft Entra ID oder von SuccessFactors in ein lokales Active Directory integrieren. Die Connectors unterstützen die folgenden Szenarien:

Einstellung neuer Mitarbeiter: Wenn Sie in SuccessFactors einen neuen Mitarbeiter hinzufügen, wird in Microsoft Entra ID und optional in Microsoft 365 und anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch ein Benutzerkonto erstellt. Dieser Prozess umfasst das Zurückschreiben der E-Mail-Adresse in SuccessFactors.
Aktualisierung von Mitarbeiterattributen und -profilen: Wenn Sie in SuccessFactors einen Mitarbeiterdatensatz (z. B. den Namen, Titel oder Vorgesetzten) aktualisieren, wird das Benutzerkonto des Mitarbeiters in Microsoft Entra ID und optional in Microsoft 365 und anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch aktualisiert.
Kündigung von Mitarbeitern: Wenn Sie in SuccessFactors eine Kündigung vornehmen, wird das Benutzerkonto des entsprechenden Mitarbeiters in Microsoft Entra ID und optional in Microsoft 365 und anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch deaktiviert.
Wiedereinstellung von Mitarbeiter*innen: Wenn Mitarbeiter*innen in SuccessFactors erneut eingestellt werden, können ihre alten Konten in Microsoft Entra ID und optional in Microsoft 365 und anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen (je nach Präferenz) automatisch erneut aktiviert oder erneut bereitgestellt werden.

Sie können auch das Rückschreiben von Microsoft Entra ID in SAP SuccessFactors aktivieren.

SAP HCM

Kunden, die weiterhin SAP Human Capital Management (HCM) verwenden, können auch Identitäten in Microsoft Entra ID integrieren. Mithilfe von SAP Integration Suite können Sie Listen von Mitarbeitern zwischen SAP HCM und SAP SuccessFactors synchronisieren. Von dort aus können Sie Identitäten direkt in Microsoft Entra ID integrieren oder sie über die zuvor erwähnten nativen Bereitstellungsintegrationen in Active Directory Domain Services bereitstellen.

Diagramm der SAP HR-Integrationen.

Bereitstellen des Zugriffs auf SAP-Anwendungen

Zusätzlich zu den nativen Bereitstellungsintegrationen, mit denen Sie den Zugriff auf Ihre SAP-Anwendungen verwalten können, unterstützt Microsoft Entra ID eine Vielzahl von Integrationen in diese Anwendungen.

Aktivieren von SSO

Neben der Einrichtung des Provisioning für Ihre SAP-Anwendungen können Sie auch SSO für diese Anwendungen aktivieren. Microsoft Entra ID kann als Identitätsanbieter sowie als Authentifizierungsstelle für Ihre SAP-Anwendungen fungieren. Microsoft Entra ID kann mit SAML oder OAuth in SAP NetWeaver integriert werden. Für SAP-SaaS- und moderne Apps informieren Sie sich über das Konfigurieren von Microsoft Entra ID als Unternehmensidentitätsanbieter für Ihre SAP-Anwendungen über SAP Cloud Identity Services.

Weitere Informationen zum Konfigurieren des einmaligen Anmeldens über Microsoft Entra ID finden Sie in der folgenden Dokumentation und den folgenden Tutorials:

Sehen Sie sich auch die folgenden SAP-Ressourcen an:

Bereitstellen von Identitäten in modernen SAP-Anwendungen

Nachdem Ihre Benutzer in Microsoft Entra ID integriert wurden, können Sie Konten in den verschiedenen SaaS- und lokalen SAP-Anwendungen bereitstellen, auf die sie Zugriff benötigen. Es gibt zwei Möglichkeiten, dies zu erreichen:

Sie können die Unternehmensanwendung SAP Cloud Identity Services in Microsoft Entra ID verwenden, um Identitäten in SAP Cloud Identity Services bereitzustellen. Nachdem Sie alle Identitäten in SAP Cloud Identity Services integriert haben, können Sie SAP Cloud Identity Services – Identitätsbereitstellung verwenden, um die Konten von dort bei Bedarf in Ihren Anwendungen bereitzustellen.
Sie können die Integration von SAP Cloud Identity Services – Identity Provisioning verwenden, um Identitäten direkt aus Microsoft Entra ID in SAP Cloud Identity Services-Anwendungen zu exportieren. Wenn Sie SAP Cloud Identity Services – Identity Provisioning verwenden, um Benutzer und Benutzerinnen in diese Anwendungen zu integrieren, wird die gesamte Bereitstellungskonfiguration für diese Anwendungen direkt in SAP verwaltet. Sie können weiterhin die Unternehmensanwendung in Microsoft Entra ID verwenden, um einmaliges Anmelden zu verwalten und Microsoft Entra ID als Unternehmensidentitätsanbieter zu verwenden.

Bereitstellen von Identitäten in lokalen SAP-Systemen

Kunden, die noch nicht von Anwendungen wie SAP R/3 und SAP ERP Central Component (SAP ECC) auf SAP S/4HANA umgestiegen sind, können weiterhin den Microsoft Entra-Bereitstellungsdienst nutzen, um Benutzerkonten bereitzustellen. In SAP/R3 und SAP ECC machen Sie die erforderlichen Anwendungsprogrammierschnittstellen (Business Application Programming Interfaces, BAPIs) zum Erstellen, Aktualisieren und Löschen von Benutzern verfügbar. Innerhalb Microsoft Entra ID stehen Ihnen zwei Optionen zur Auswahl:

Verwenden Sie den einfachen Microsoft Entra-Bereitstellungs-Agent und den Webdienstconnector, um Benutzer in Apps wie SAP ECC bereitzustellen.
In Szenarien, in denen eine komplexere Gruppen- und Rollenverwaltung erforderlich ist, verwenden Sie Microsoft Identity Manager, um den Zugriff auf Ihre älteren SAP-Anwendungen zu verwalten.

Sie können Microsoft Entra ID auch verwenden, um Arbeitskräfte in Active Directory oder in anderen lokalen Systemen bereitzustellen, die SAP Cloud Identity Services für die Bereitstellung nicht unterstützt.

Auslösen von benutzerdefinierten Workflows

Wenn in Ihrer Organisation neue Arbeitskräfte eingestellt werden, müssen Sie möglicherweise einen Workflow in Ihren lokalen SAP-Systemen auslösen, um zusätzliche Aufgaben neben der Benutzerbereitstellung auszuführen. Wenn Sie die Logic Apps-Erweiterbarkeit für Microsoft Entra-Lebenszyklus-Workflows oder die Logic Apps-Erweiterbarkeit für die Microsoft Entra-Berechtigungsverwaltung mit dem SAP-Connector in Azure Logic Apps verwenden, können Sie benutzerdefinierte Aktionen in SAP auslösen, wenn Sie neue Arbeitskräfte einstellen.

Überprüfung auf Aufgabentrennung

Mit den Überprüfungen der Aufgabentrennung, die jetzt in der Vorschauversion der Microsoft Entra-Berechtigungsverwaltung verfügbar sind, können Kunden und Kundinnen sicherstellen, dass Benutzerkonten keine übermäßigen Zugriffsrechte zugewiesen werden:

Administrator*innen und Zugriffs-Manager*innen können verhindern, dass Benutzer*innen zusätzliche Zugriffspakete anfordern, wenn sie bereits anderen Zugriffspaketen zugewiesen sind oder Mitglieder anderer Gruppen sind, die mit dem angeforderten Zugriff nicht kompatibel sind.
Unternehmen mit kritischen gesetzlichen Anforderungen für SAP-Apps profitieren von einer einheitlichen Ansicht der Zugriffssteuerungen. Sie können dann Überprüfungen der Aufgabentrennung für ihre Finanzanwendungen und für andere unternehmenskritische Anwendungen sowie für in Microsoft Entra integrierte Anwendungen erzwingen.
Durch Integrationen mit Pathlock und anderen Partnerprodukten können Kunden und Kundinnen differenzierte Überprüfungen der Aufgabentrennung mit Zugriffspaketen in Microsoft Entra ID Governance nutzen.

Zusätzliche Anleitungen

Weitere Informationen zu SAP-Integrationen in Microsoft Entra ID finden Sie in der folgenden Dokumentation:

Share via