SAP-alkalmazásokhoz való hozzáférés kezelése
Az SAP valószínűleg kritikus funkciókat futtat, például a HR-t és az ERP-t a szervezet számára. A szervezet ugyanakkor a Microsoftra támaszkodik a különböző Azure-szolgáltatásokhoz, a Microsoft 365-höz és Microsoft Entra ID-kezelés az alkalmazásokhoz való hozzáférés kezeléséhez. Ez a cikk azt ismerteti, hogyan kezelheti az identitásokat az SAP-alkalmazásokban az Identity Governance használatával.
Identitások használata HR-ből a Microsoft Entra-azonosítóba
SuccessFactors
Az SAP SuccessFactorst használó ügyfelek natív összekötők használatával egyszerűen hozhatják be a SuccessFactors-identitásokat a Microsoft Entra-azonosítóba vagy a SuccessFactorsból a helyi Active Directory. Az összekötők a következő forgatókönyveket támogatják:
- Új alkalmazottak felvétele: Amikor új alkalmazottat ad hozzá a SuccessFactorshoz, a rendszer automatikusan létrehoz egy felhasználói fiókot a Microsoft Entra ID-ban, és opcionálisan a Microsoft Entra ID által támogatott Microsoft 365-ös és egyéb szolgáltatásként (SaaS-) alkalmazásokban. Ez a folyamat magában foglalja a SuccessFactors e-mail-címének visszaírását.
- Alkalmazotti attribútumok és profilfrissítések: Ha egy alkalmazotti rekord frissül a SuccessFactorsban (például név, cím vagy vezető), az alkalmazott felhasználói fiókja automatikusan frissül a Microsoft Entra-azonosítóban, és opcionálisan a Microsoft 365 és a Microsoft Entra ID által támogatott egyéb SaaS-alkalmazásokban.
- Alkalmazotti felmondások: Ha egy alkalmazott a SuccessFactors szolgáltatásban megszűnik, az alkalmazott felhasználói fiókja automatikusan le van tiltva a Microsoft Entra-azonosítóban, és opcionálisan a Microsoft Entra ID által támogatott Microsoft 365- és egyéb SaaS-alkalmazásokban.
- Alkalmazotti rehires: Ha egy alkalmazottat újrakérnek a SuccessFactorsban, az alkalmazott régi fiókja automatikusan újraaktiválható vagy újra kiépíthető (az Ön igényeitől függően) a Microsoft Entra-azonosítóra, és opcionálisan a Microsoft 365-re és más SaaS-alkalmazásokra, amelyeket a Microsoft Entra ID támogat.
A Microsoft Entra-azonosítóból az SAP SuccessFactors szolgáltatásba is írhat.
SAP HCM
Az SAP Human Capital Managementet (HCM) továbbra is használó ügyfelek identitásokat is bevihetnek a Microsoft Entra-azonosítóba. Az SAP Integration Suite használatával szinkronizálhatja a dolgozók listáját az SAP HCM és az SAP SuccessFactors között. Innen közvetlenül a Microsoft Entra-azonosítóba helyezheti az identitásokat, vagy kiépítheti őket Active Directory tartományi szolgáltatások a korábban említett natív kiépítési integrációk használatával.
Hozzáférés biztosítása AZ SAP-alkalmazásokhoz
Azon natív kiépítési integrációk mellett, amelyek lehetővé teszik az SAP-alkalmazásokhoz való hozzáférés kezelését, a Microsoft Entra ID számos integrációt támogat ezekkel az alkalmazásokkal.
Egyszeri bejelentkezés engedélyezése
Az SAP-alkalmazások kiépítésének beállításával együtt engedélyezheti az egyszeri bejelentkezést is. A Microsoft Entra ID identitásszolgáltatóként és az SAP-alkalmazások hitelesítésszolgáltatójaként is szolgálhat. A Microsoft Entra ID saml vagy OAuth használatával integrálható az SAP NetWeaverrel. Az SAP SaaS és a modern alkalmazások esetében megtudhatja, hogyan konfigurálhatja a Microsoft Entra ID-t vállalati identitásszolgáltatóként az SAP-alkalmazásokhoz az SAP Cloud Identity Services használatával.
Az egyszeri bejelentkezés Microsoft Entra-azonosítóból való konfigurálásáról az alábbi dokumentációban és oktatóanyagokban talál további információt:
- SAP Cloud Identity Services
- SAP SuccessFactors
- SAP Analytics Cloud
- SAP Fiori
- SAP Qualtrics
- SAP Ariba
- SAP Egyidejű utazás és költség
- SAP Business Technology Platform
- SAP Business ByDesign
- SAP HANA
- SAP Cloud for Customer
- SAP Fieldglass
Tekintse meg a következő SAP-erőforrásokat is:
- Azure-alkalmazás SAML-Egyszeri bejelentkezés átjáróbeállítása nyilvános és belső SAP URL-címekhez
- Egyszeri bejelentkezés a Microsoft Entra Domain Services és a Kerberos használatával
Identitások kiépítése modern SAP-alkalmazásokba
Miután a felhasználók a Microsoft Entra-azonosítóban vannak, fiókokat építhet ki a különböző SaaS- és helyszíni SAP-alkalmazásokba, amelyekhez hozzáférésre van szükségük. Ezt kétféleképpen hajthatja végre:
- A Microsoft Entra ID-ban az SAP Cloud Identity Services nagyvállalati alkalmazásával identitásokat építhet ki az SAP Cloud Identity Servicesbe. Miután behozta az összes identitást az SAP Cloud Identity Servicesbe, az SAP Cloud Identity Services – Identity Provisioning használatával szükség esetén kiépítheti a fiókokat az alkalmazásokba.
- Az SAP Cloud Identity Services – Identity Provisioning integrációval közvetlenül exportálhat identitásokat a Microsoft Entra ID-ból az SAP Cloud Identity Services integrált alkalmazásaiba. Ha az SAP Cloud Identity Services – Identity Provisioning szolgáltatást használja a felhasználók alkalmazásba való bevonásához, az alkalmazások összes kiépítési konfigurációja közvetlenül az SAP-ban lesz kezelve. Továbbra is használhatja a vállalati alkalmazást a Microsoft Entra-azonosítóban az egyszeri bejelentkezés kezeléséhez, és a Microsoft Entra ID-t vállalati identitásszolgáltatóként.
Identitások kiépítése helyszíni SAP-rendszerekbe
Azok az ügyfelek, akik még nem váltanak át az olyan alkalmazásokról, mint az SAP R/3 és az SAP ERP Central Component (SAP ECC) az SAP S/4HANA-ra, továbbra is támaszkodhatnak a Microsoft Entra kiépítési szolgáltatásra a felhasználói fiókok kiépítéséhez. Az SAP R/3-on és az SAP ECC-n belül elérhetővé teheti a szükséges üzletialkalmazás-programozási felületeket (BAPI-kat) a felhasználók létrehozásához, frissítéséhez és törléséhez. A Microsoft Entra-azonosítón belül két lehetősége van:
- Az egyszerűsített Microsoft Entra kiépítési ügynökkel és webszolgáltatások összekötőjével felhasználókat építhet ki olyan alkalmazásokba, mint az SAP ECC.
- Olyan helyzetekben, ahol összetettebb csoport- és szerepkör-kezelést kell végeznie, a Microsoft Identity Managerrel kezelheti a régi SAP-alkalmazásokhoz való hozzáférést.
A Microsoft Entra ID-t is használhatja a feldolgozók Active Directoryba való kiépítéséhez, valamint más helyszíni rendszerekhez, amelyeket az SAP Cloud Identity Services nem támogat a kiépítéshez.
Egyéni munkafolyamatok aktiválása
Ha új alkalmazottat alkalmaz a szervezetében, előfordulhat, hogy a felhasználói kiépítésen túl további feladatokhoz is létre kell hoznia egy munkafolyamatot az SAP helyszíni rendszereiben. A Microsoft Entra életciklus-munkafolyamatainak Logic Apps-bővíthetőségével vagy a Microsoft Entra jogosultságkezelési Logic Apps bővíthetőségével az Azure Logic Apps SAP-összekötőjével egyéni műveleteket indíthat el az SAP-ban egy új alkalmazott felvételekor.
A vámok elkülönítésének ellenőrzése
A Feladatok elkülönítése ellenőrzések a Microsoft Entra jogosultságkezelésében az ügyfelek gondoskodhatnak arról, hogy a felhasználók ne vállalják a túlzott hozzáférési jogosultságokat:
- A Rendszergazda és a hozzáférés-kezelők megakadályozhatják, hogy a felhasználók további hozzáférési csomagokat kérjenek, ha már más hozzáférési csomagokhoz vannak rendelve, vagy más csoportok tagjai, amelyek nem kompatibilisek a kért hozzáféréssel.
- Az SAP-alkalmazásokra vonatkozó kritikus szabályozási követelményekkel rendelkező vállalatok egységes hozzáférés-vezérlési nézettel rendelkeznek. Ezt követően a pénzügyi és egyéb üzleti szempontból kritikus alkalmazásokban, valamint a Microsoft Entra integrált alkalmazásaiban is érvényesíthetik a vámelválasztási ellenőrzéseket.
- A Pathlocktal és más partnertermékekkel való integrációval az ügyfelek kihasználhatják az Microsoft Entra ID-kezelés hozzáférési csomagokkal végzett részletes vámelválasztási ellenőrzések előnyeit.
További útmutatás
A Microsoft Entra ID-val való SAP-integrációval kapcsolatos további információkért tekintse meg a következő dokumentációt:
- Biztonságos hozzáférés az SAP Cloud Identity Services és a Microsoft Entra ID használatával
- SAP számítási feladatok biztonsága – Microsoft Azure Well-Architected Framework