Sdílet prostřednictvím

Migrace scénářů správy identit ze SAP IDM do Microsoft Entra

  • Článek

Kromě svých obchodních aplikací nabízí SAP celou řadu technologií správy identit a přístupu, včetně SAP Cloud Identity Services a SAP Identity Management (SAP IDM), které zákazníkům pomáhají udržovat identity v aplikacích SAP. SAP IDM, které organizace nasazují místně, historicky poskytnuté správy identit a přístupu pro nasazení SAP R/3 SAP ukončí údržbu pro správu identit SAP. Pro organizace, které používaly správu identit SAP, společnost Microsoft a SAP spolupracují na vývoji pokynů pro tyto organizace, aby migrovaly scénáře správy identit ze sap Identity Management do Microsoft Entra.

Modernizace identit je zásadní a zásadní krok k vylepšení stavu zabezpečení organizace a ochraně uživatelů a prostředků před hrozbami identity. Jedná se o strategickou investici, která může přinést značné výhody nad rámec silnějšího stavu zabezpečení, jako je zlepšení uživatelského prostředí a optimalizace provozní efektivity. Správci v mnoha organizacích vyjádřili zájem o přesun centra scénářů správy identit a přístupu zcela do cloudu. Některé organizace už nebudou mít místní prostředí, zatímco jiné integrují správu identit hostovaných v cloudu se zbývajícími místními aplikacemi, adresáři a databázemi. Další informace o transformaci cloudu pro služby identit najdete v tématu Stav transformace cloudu a přechod na cloud.

Microsoft Entra nabízí univerzální platformu identit hostované v cloudu, která vašim lidem, partnerům a zákazníkům poskytuje jedinou identitu pro přístup ke cloudovým a místním aplikacím a spolupráci z libovolné platformy a zařízení. Tento dokument obsahuje pokyny k možnostem migrace a přístupům pro přesun scénářů správy identit a přístupu (IAM) ze sap Identity Management do služeb hostovaných v cloudu Microsoft Entra a budou aktualizovány, jakmile budou k dispozici nové scénáře pro migraci.

Přehled integrací produktů SAP a Microsoft Entra

Microsoft Entra je řada produktů, včetně Microsoft Entra ID (dříve Azure Active Directory) a zásad správného řízení MICROSOFT Entra ID. Microsoft Entra ID je cloudová služba pro správu identit a přístupu, kterou můžou zaměstnanci a hosté používat pro přístup k prostředkům. Poskytuje silné ověřování a zabezpečený adaptivní přístup a integruje se s místními staršími aplikacemi i s tisíci aplikací typu software jako služba (SaaS) a poskytuje bezproblémové prostředí pro koncové uživatele. Zásady správného řízení Microsoft Entra ID nabízejí další možnosti pro automatické vytváření identit uživatelů v aplikacích, ke které uživatelé potřebují přístup, a aktualizaci a odebrání identit uživatelů při změně stavu úlohy nebo rolí.

Microsoft Entra poskytuje uživatelská rozhraní, včetně Centra pro správu Microsoft Entra, portálů myapps a myaccess a poskytuje rozhraní REST API pro operace správy identit a delegované samoobslužné služby pro koncové uživatele. Microsoft Entra ID zahrnuje integrace pro SuccessFactors, SAP ERP Central Component (SAP ECC) a prostřednictvím služeb SAP Cloud Identity Services může poskytovat zřizování a jednotné přihlašování k S/4HANA a mnoha dalším aplikacím SAP. Další informace o těchto integracích najdete v tématu Správa přístupu k aplikacím SAP. Microsoft Entra také implementuje standardní protokoly, jako je SAML, SCIM, SOAP a OpenID Connect, a umožňuje přímou integraci s mnoha dalšími aplikacemi pro jednotné přihlašování a zřizování. Microsoft Entra má také agenty, včetně synchronizace cloudu Microsoft Entra Connect a zřizovacího agenta pro propojení cloudových služeb Microsoft Entra s místními aplikacemi, adresáři a databázemi organizace.

Následující diagram znázorňuje příklad topologie zřizování uživatelů a jednotného přihlašování. V této topologii jsou pracovní procesy reprezentovány v SuccessFactors a potřebují mít účty v doméně Služby Active Directory windows Serveru, v cloudových aplikacích Microsoft Entra, SAP ECC a SAP. Tento příklad znázorňuje organizaci, která má doménu ad systému Windows Server; Windows Server AD se ale nevyžaduje.

Diagram znázorňující ucelenou řadu relevantních technologií Microsoftu a SAP a jejich integrací

Plánování migrace scénářů správy identit do Microsoft Entra

Od zavedení SAP IDM se prostředí správy identit a přístupu vyvinulo s novými aplikacemi a novými obchodními prioritami, takže přístupy doporučené pro řešení případů použití IAM se v mnoha případech liší od těch, které byly dříve implementované pro SAP IDM. Organizace by proto měly naplánovat fázovaný přístup pro migraci scénářů. Jedna organizace může například určit prioritu migrace scénáře samoobslužného resetování hesla koncového uživatele jako jeden krok a po dokončení přesunu scénáře zřizování. Jiná organizace se například může rozhodnout, že nejprve nasadí funkce Microsoft Entra v samostatném přípravném tenantovi, který bude fungovat paralelně se stávajícím systémem správy identit a produkčním tenantem, a pak přinese konfigurace pro scénáře 1 po druhém z přípravného tenanta do produkčního tenanta a vyřadit tento scénář z existujícího systému správy identit. Pořadí, ve kterém se organizace rozhodne přesunout své scénáře, bude záviset na jejich celkových prioritách IT a dopadu na ostatní zúčastněné strany, například na koncové uživatele, kteří potřebují aktualizaci školení, nebo na vlastníky aplikací. Organizace můžou také strukturovat migraci scénářů IAM společně s dalšími modernizacemi IT, jako je přesun jiných scénářů mimo správu identit z místní technologie SAP na SuccessFactors, S/4HANA nebo jiné cloudové služby. Tuto příležitost můžete také chtít využít k vyčištění a odebrání zastaralých integrací, přístupových práv nebo rolí a konsolidaci v případě potřeby.

Pokud chcete začít plánovat migraci,

  • Identifikujte aktuální a plánované případy použití IAM ve vaší strategii modernizace IAM.
  • Analyzujte požadavky těchto případů použití a shodujte tyto požadavky s možnostmi služeb Microsoft Entra.
  • Určete časové rámce a zúčastněné strany pro implementaci nových funkcí Microsoft Entra pro podporu migrace.
  • Určete proces přímé migrace pro vaše aplikace, abyste přesunuli řízení životního cyklu jednotného přihlašování, životního cyklu identit a přístupu do Microsoft Entra.

Vzhledem k tomu, že migrace SAP IDM bude pravděpodobně zahrnovat integraci se stávajícími aplikacemi SAP, projděte si pokyny ke zjištění posloupnosti onboardingu aplikací a způsobu integrace aplikací s Microsoft Entra.

Služby a integrační partneři pro nasazení Microsoft Entra s aplikacemi SAP

Partneři můžou také vaší organizaci pomoct s plánováním a nasazením Microsoft Entra s aplikacemi SAP, jako je SAP S/4HANA. Zákazníci můžou zapojit partnery uvedené ve vyhledávači partnerů řešení Microsoftu nebo si můžou vybrat z těchto služeb a integračních partnerů uvedených v následující tabulce. Popisy a propojené stránky poskytují sami partneři. Popis můžete použít k identifikaci partnera pro nasazení Microsoft Entra s aplikacemi SAP, které můžete chtít kontaktovat a dozvědět se více.

Název Popis
Accenture a Avanade "Accenture a Avanade jsou globálními vedoucími pracovníky služeb Microsoft Security a SAP. S naší jedinečnou kombinací dovedností Microsoftu a SAP vám můžeme pomoct pochopit a úspěšně naplánovat migraci ze SAP IdM na Microsoft Entra ID. Prostřednictvím našich prostředků a odborných znalostí o dodávkách vám Avanade a Accenture můžou pomoct urychlit projekt migrace, abyste dosáhli svých cílů s menším rizikem. Accenture je jedinečně umístěný tak, aby pomohl velkým globálním podnikům, doplněné hlubokými zkušenostmi společnosti Avanade s podporou obou velkých podniků na cestě k migraci. Naše rozsáhlé znalosti a zkušenosti vám můžou pomoct urychlit cestu k nahrazení SAP IdM a současně maximalizovat investice do Microsoft Entra ID."
Campana &Schott "Campana & Schott je mezinárodní management a technologické poradenství s více než 600 zaměstnanci v Evropě a USA. Kombinujeme více než 30 let zkušeností s řízením projektů a transformací s podrobnými znalostmi technologií Microsoftu, strategie IT a IT organizace. Jako partner řešení Microsoftu pro Microsoft Cloud poskytujeme moderní zabezpečení pro Microsoft 365, aplikace SaaS a starší místní aplikace.
Technologie DXC "DxC Technology pomáhá globálním společnostem provozovat své klíčové systémy a provoz při modernizaci IT, optimalizaci datových architektur a zajištění zabezpečení a škálovatelnosti napříč veřejnými, privátními a hybridními cloudy. Díky 30 letům globálního strategického partnerství s Microsoftem a SAP má DXC bohaté zkušenosti s implementacemi SAP IDM napříč odvětvími."
Edgile, společnost Wipro "Edgile, společnost Wipro, využívá 25 let zkušeností se sapem i Microsoftem 365 k bezproblémové migraci správy identit a přístupu (IDM) pro naše hodnotné zákazníky. Jako partner Microsoft Entra Launch Partner a partner globálních strategických služeb SAP (GSSP) vynikneme v oblasti modernizace a správy změn IAM. Náš tým odborníků na Edgile a Wipro má jedinečný přístup, který zajišťuje úspěšnou cloudovou identitu a transformace zabezpečení pro naše klienty."
IB – řešení "IBsolution je jedním z nejzkušenějších konzultačních služeb SAP Identity Management po celém světě se záznamem o více než 20 letech. Se strategickým přístupem a předem zabalenými řešeními společnost doprovází zákazníky při přechodu od SAP IdM k nejporučovanějšímu následníkovi IdM Společnosti Microsoft Entra ID.
IBM Consulting "IBM Consulting je globálním vůdcem služeb Microsoft Security and SAP Transformation Services. Jsme dobře připraveni podporovat migraci SAP IDM našich klientů na Microsoft Entra ID. Naše znalosti a zkušenosti s podporou rozsáhlých podnikových klientů v kombinaci s hlubokými znalostmi kybernetické bezpečnosti, umělé inteligence a služeb SAP pomáhá zajistit bezproblémovou přechodovou cestu s minimálním přerušením důležitých obchodních služeb a funkcí."
KPMG "KPMG a Microsoft dále posílily svoji aliance tím, že poskytují komplexní návrh zásad správného řízení identit. Díky nefunkčnosti zásad správného řízení identit pomáhá kombinace pokročilých nástrojů Microsoft Entra s KPMG Powered Enterprise řídit funkční transformaci. Tato součinnost může podporovat akcelerované digitální schopnosti, zvýšit provozní efektivitu, posílit zabezpečení a zajistit dodržování předpisů."
ObjektKultur "Jako dlouhodobý partner Microsoftu objektblok digitalizuje obchodní procesy prostřednictvím poradenství, vývoje a provozu inovativních IT řešení. S hlubokými zkušenostmi při implementaci řešení pro správu identit a přístupu v rámci technologií Microsoftu a integraci aplikací bez problémů provádíme zákazníky ze systému SAP IDM fáze až po robustní Microsoft Entra, který zaručuje bezpečnou, řízenou a zjednodušenou správu identit a přístupu v cloudu.
Patecco "PATECCO je německá it konzultační společnost specializující se na vývoj, podporu a implementaci řešení pro správu identit a přístupu založenou na nejnovějších technologiích. Díky vysoké odbornosti v IAM a partnerství s vedoucími pracovníky průmyslu nabízí přizpůsobené služby zákazníkům z různých odvětví, včetně bankovnictví, pojištění, energetiky, chemie a utility."
Protiviti "Jako partner cloudových řešení Microsoft AI a partner SAP Gold není v oboru od společnosti Protiviti zkušenosti s řešeními Microsoftu a SAP. Spojení našich výkonných partnerství poskytne našim zákazníkům sadu komplexních řešení pro centralizovanou správu identit a zásady správného řízení rolí.
PwC "Služby správy identit a přístupu pwC můžou pomoct napříč všemi fázemi schopností, od pomoci vyhodnotit stávající možnosti nasazené v SAP IDM a strategii a naplánovat váš cílový budoucí stav a vizi pomocí zásad správného řízení Microsoft Entra ID. PwC může také podporovat a provozovat prostředí jako spravovanou službu po zahájení provozu."
SAP "S rozsáhlými zkušenostmi s návrhem a implementací SAP IDM nabízí náš tým SAP Consulting komplexní odborné znalosti při migraci ze SAP IDM do Microsoft Entra. Se silnými a přímými připojeními k vývoji SAP můžeme řídit požadavky zákazníků a implementovat inovativní nápady. Naše zkušenosti s integrací s Microsoft Entra nám umožňují poskytovat přizpůsobená řešení. Kromě toho máme osvědčené postupy pro zpracování služeb SAP Cloud Identity Services a integraci SAP s jinými cloudovými produkty než SAP. Důvěřujte našim odborným znalostem a nechte náš tým SAP Consulting podporovat vás při migraci na Microsoft Entra ID."
SEDÍ "SITS, přední poskytovatel kybernetické bezpečnosti v oblasti DACH, podporuje zákazníky s špičkovými konzultačními, technickými, cloudovými technologiemi a spravovanými službami. Jako partner řešení Microsoftu pro zabezpečení, moderní práci a infrastrukturu Azure nabízíme zákazníkům konzultace, implementaci, podporu a spravované služby týkající se zabezpečení, dodržování předpisů, identit a ochrany osobních údajů."
Traxion "Traxion, součást skupiny SITS, působí v regionu BeNeLux. Traxion je it bezpečnostní společnost se 160 zaměstnanci a více než 24 let odborných znalostí, specializujeme se na řešení správy identit. Jako partner Microsoftu poskytujeme služby pro poradenství, implementaci a podporu IAM nejvyšší úrovně, které zajišťují silné a dlouhodobé vztahy klientů."

Pokyny k migraci pro každý scénář SAP IDM

Následující části obsahují odkazy na pokyny k migraci jednotlivých scénářů SAP IDM na Microsoft Entra. Ne všechny oddíly můžou být relevantní pro každou organizaci v závislosti na scénářích SAP IDM, které organizace nasadila.

Nezapomeňte sledovat tento článek, dokumentaci k produktům Microsoft Entra a odpovídající dokumentaci k produktům SAP, protože možnosti obou produktů se nadále vyvíjejí, aby se odblokují další migrace a nové scénáře, včetně integrace Microsoft Entra se SAP Access Control (SAP AC) a sap Cloud Identity Access Governance (SAP IAG).

Scénář SAP IDM Pokyny pro Microsoft Entra
SAP IDM Identity Store Migrace úložiště identit do tenanta Microsoft Entra ID a migrace existujících dat IAM do tenanta Microsoft Entra ID
Správa uživatelů v SAP IDM Migrace scénářů správy uživatelů
SAP SuccessFactors a další zdroje lidských zdrojů Integrace se zdroji LIDSKÝCH zdrojů SAP
Zřizování identit pro jednotné přihlašování v aplikacích Zřizování systémů SAP, zřizování pro systémy, které nejsou systémy SAP, a migrace ověřování a jednotného přihlašování
Samoobslužná služba koncového uživatele Migrace samoobslužné služby koncového uživatele
Přiřazení role a přiřazení přístupu Scénáře správy životního cyklu přístupu
Sestavy Použití nástroje Microsoft Entra pro vytváření sestav
Federace identit Migrace informací o identitě napříč hranicemi organizace
Adresářový server Migrace aplikací vyžadujících adresářové služby
Rozšíření Rozšíření Microsoft Entra prostřednictvím integračních rozhraní

Migrace úložiště identit do tenanta Microsoft Entra ID

V SAP IDM je úložiště identit úložištěm informací o identitě, včetně uživatelů, skupin a jejich záznamu auditu. V Microsoft Entra je tenant instancí ID Microsoft Entra, ve kterém se informace o jedné organizaci nacházejí, včetně objektů organizace, jako jsou uživatelé, skupiny a zařízení. Tenant také obsahuje zásady přístupu a dodržování předpisů pro prostředky, jako jsou aplikace zaregistrované v adresáři. Mezi primární funkce obsluhované tenantem patří ověřování identit a správa přístupu k prostředkům. Tenanti obsahují privilegovaná data organizace a jsou bezpečně izolovaní od jiných tenantů. Kromě toho je možné tenanty nakonfigurovat tak, aby data organizace uchovávala a zpracovávala v konkrétní oblasti nebo cloudu, což organizacím umožňuje používat tenanty jako mechanismus pro splnění požadavků na rezidenci dat a zpracování požadavků na dodržování předpisů.

Organizace, které mají Microsoft 365, Microsoft Azure nebo jiné online služby Microsoftu, už budou mít tenanta Microsoft Entra ID, který tyto služby tvoří. Kromě toho může mít organizace další tenanty, například tenanta, který má konkrétní aplikace a který je nakonfigurovaný tak, aby splňoval standardy , jako je PCI-DSS , které platí pro tyto aplikace. Další informace o určení, jestli je existující tenant vhodný, najdete v tématu Izolace prostředků s více tenanty. Pokud vaše organizace ještě tenanta nemá, projděte si plány nasazení Microsoft Entra.

Před migrací scénářů do tenanta Microsoft Entra byste si měli projít podrobné pokyny pro:

Migrace existujících dat IAM do tenanta Microsoft Entra ID

V SAP IDM představuje úložiště identit data identity prostřednictvím vstupních typů, jako MX_PERSONje , MX_ROLEnebo MX_PRIVILEGE.

Migrace scénářů správy uživatelů

Prostřednictvím Centra pro správu Microsoft Entra, rozhraní Microsoft Graph API a PowerShellu můžou správci snadno provádět každodenní aktivity správy identit, včetně vytvoření uživatele, blokování přihlášení uživatele, přidání uživatele do skupiny nebo odstranění uživatele.

Aby bylo možné povolit operace ve velkém, Microsoft Entra umožňuje organizacím automatizovat procesy životního cyklu identit.

Diagram vztahu Microsoft Entra při zřizování s jinými zdroji a cíli

V Microsoft Entra ID a Zásady správného řízení Microsoft Entra ID můžete automatizovat procesy životního cyklu identit pomocí:

  • Příchozí zřizování ze zdrojů lidských zdrojů vaší organizace načte pracovní informace z Workday a SuccessFactors, aby se automaticky udržovaly identity uživatelů ve službě Active Directory i v Microsoft Entra ID.
  • Uživatelé, kteří již existují ve službě Active Directory, je možné automaticky vytvořit a udržovat v Microsoft Entra ID pomocí zřizování mezi adresáři.
  • Pracovní postupy životního cyklu zásad správného řízení Microsoft Entra ID automatizují úlohy pracovního postupu, které se spouštějí na určitých klíčových událostech, například před naplánováným zahájením práce nového zaměstnance v organizaci, protože mění stav během jejich času v organizaci a při opuštění organizace. Pracovní postup je například možné nakonfigurovat tak, aby v prvním dni poslal e-mail s dočasným přístupem vedoucímu nového uživatele nebo uvítací e-mail pro uživatele.
  • Zásady automatického přiřazení při správě nároků umožňují přidat a odebrat dynamickou skupinu členství uživatele, role aplikací a role sharepointového webu na základě změn atributů uživatele. Uživatelé můžou být také na vyžádání přiřazeni ke skupinám, Teams, rolím Microsoft Entra, rolím prostředků Azure a webům SharePointu Online pomocí správy nároků a Privileged Identity Management, jak je znázorněno v části správa životního cyklu přístupu.
  • Jakmile jsou uživatelé v Microsoft Entra ID se správnou dynamickou skupinou členství a přiřazením rolí aplikace, může zřizování uživatelů vytvářet, aktualizovat a odebírat uživatelské účty v jiných aplikacích s konektory pro stovky cloudových a místních aplikací prostřednictvím SCIM, LDAP a SQL.
  • V případě životního cyklu hosta můžete určit správu nároků v jiných organizacích, jejichž uživatelé mají povoleno žádat o přístup k prostředkům vaší organizace. Když je žádost některého z těchto uživatelů schválená, správa nároků je automaticky přidá jako hostA B2B do adresáře vaší organizace a přiřadí odpovídající přístup. Správa nároků automaticky odebere uživatele typu host B2B z adresáře vaší organizace, když jejich přístupová práva vyprší nebo se odvolají.
  • Kontroly přístupu automatizují opakované kontroly stávajících hostů, kteří už jsou v adresáři vaší organizace, a odebere uživatele z adresáře vaší organizace, když už nepotřebují přístup.

Při migraci z jiného produktu IAM mějte na paměti, že implementace konceptů IAM v Microsoft Entra se můžou lišit od implementace těchto konceptů v jiných produktech IAM. Organizace můžou například vyjádřit obchodní proces pro události životního cyklu, jako je například onboarding nových zaměstnanců, a některé produkty IAM implementované prostřednictvím pracovního postupu v základu pracovního postupu. Naproti tomu Microsoft Entra má řadu integrovaných procedur automatizace a nevyžaduje definování pracovních postupů pro většinu aktivit automatizace správy identit. Microsoft Entra lze například nakonfigurovat tak, že když se nový pracovník zjistí v systému hr záznamu, jako je successFactors, Microsoft Entra automaticky vytvoří uživatelské účty pro tento nový pracovní proces ve Windows Serveru AD, Microsoft Entra ID, zřídí je do aplikací, přidá je do skupin a přiřadí jim příslušné licence. Podobně zpracování žádostí o přístup nevyžaduje definování pracovního postupu. Pracovní postupy v Microsoft Entra jsou vyžadovány pouze v následujících situacích:

  • Pracovní postupy se dají použít v procesu připojení, přesunutí nebo opuštění pracovního procesu pro pracovníka, který je k dispozici u předdefinovaných úloh životního cyklu Microsoft Entra. Správce může například definovat pracovní postup s úkolem pro odeslání e-mailu s dočasným přístupovým passem pro nového pracovního procesu. Správce může také přidávat popisky z pracovních postupů životního cyklu do Azure Logic Apps během pracovních postupů připojení, přesunutí a opuštění.
  • Pracovní postupy lze použít k přidání kroků v žádosti o přístup a procesu přiřazení přístupu. Kroky pro vícefázové schvalování, oddělení kontrol povinností a vypršení platnosti jsou již implementovány ve správě nároků Microsoft Entra. Správce může definovat popisky ze správy nároků během zpracování žádosti o přiřazení přístupového balíčku, udělení přiřazení a odebrání přiřazení k pracovním postupům Azure Logic Apps.

Integrace se zdroji LIDSKÝCH zdrojů SAP

Organizace, které mají SAP SuccessFactors, můžou pomocí SAP IDM přenést data zaměstnanců ze sap SUccessFactors. Tyto organizace se SAP SuccessFactors můžou snadno migrovat a přenést identity zaměstnanců z SuccessFactors do Microsoft Entra ID nebo SuccessFactors do místní Active Directory pomocí konektorů Microsoft Entra ID. Konektory podporují následující scénáře:

  • Nábor nových zaměstnanců: Když se do SuccessFactors přidá nový zaměstnanec, automaticky se vytvoří uživatelský účet v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS (software jako služba), které Microsoft Entra ID podporuje.
  • Aktualizace atributu a profilu zaměstnance: Když se záznam zaměstnance aktualizuje v SuccessFactors (například jméno, titul nebo manažer), uživatelský účet zaměstnance se automaticky aktualizuje v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS, které Podporuje Microsoft Entra ID.
  • Ukončení zaměstnance: Když je zaměstnanec ukončen v SuccessFactors, uživatelský účet zaměstnance se automaticky zakáže v Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS, které Microsoft Entra ID podporuje.
  • Zaměstnanec se znovu najímá: Když se zaměstnanec znovu načte v SuccessFactors, může se starý účet zaměstnance automaticky znovu aktivovat nebo znovu vytvořit (v závislosti na vašich preferencích) na Microsoft Entra ID a volitelně Microsoft 365 a další aplikace SaaS, které Microsoft Entra ID podporuje.

Do vlastností SAP SuccessFactors, jako je e-mailová adresa, můžete také zapisovat z Microsoft Entra ID.

Diagram znázorňující technologie Microsoftu a SAP, které jsou relevantní k přenesení dat o pracovních procesů do Microsoft Entra ID

Podrobné pokyny k životnímu cyklu identit pomocí SAP SuccessFactors jako zdroje, včetně nastavení nových uživatelů s odpovídajícími přihlašovacími údaji ve službě Windows Server AD nebo Microsoft Entra ID, najdete v tématu Plánování nasazení Microsoft Entra pro zřizování uživatelů pomocí zdrojových a cílových aplikací SAP.

Některé organizace také použily SAP IDM ke čtení ze sap Human Capital Management (HCM). Organizace, které používají SAP SuccessFactors i SAP Human Capital Management (HCM), můžou také přenést identity do Microsoft Entra ID. Pomocí sady SAP Integration Suite můžete synchronizovat seznamy pracovních procesů mezi SAP HCM a SAP SuccessFactors. Odtud můžete přenést identity přímo do Microsoft Entra ID nebo je zřídit do služby Doména služby Active Directory Services pomocí nativních integrací zřizování zmíněných dříve.

Diagram integrací PERSONÁLNÍho oddělení SAP

Pokud máte jiné systémy zdrojů záznamů než SuccessFactors nebo SAP HCM, můžete pomocí rozhraní API pro příchozí zřizování Microsoft Entra přenést pracovní procesy z tohoto systému záznamů jako uživatele v systému Windows Server nebo Microsoft Entra ID.

Diagram znázorňující scénáře pracovních postupů rozhraní API

Zřizování pro systémy SAP

Většina organizací se SAP IDM ji použije ke zřizování uživatelů do SAP ECC, SAP IAS, SAP S/4HANA nebo jiných aplikací SAP. Microsoft Entra má konektory pro SAP ECC, SAP Cloud Identity Services a SAP SuccessFactors. Zřizování v SAP S/4HANA nebo jiných aplikacích vyžaduje, aby uživatelé byli v Microsoft Entra ID. Jakmile budete mít uživatele v Microsoft Entra ID, můžete tyto uživatele zřídit z Microsoft Entra ID pro SAP Cloud Identity Services nebo SAP ECC, aby se mohli přihlásit k aplikacím SAP. Sap Cloud Identity Services pak zřídí uživatele pocházející z Microsoft Entra ID, které jsou v adresáři SAP Cloud Identity Directory, do podřízených aplikací SAP, včetně SAP S/4HANA Cloud, SAP S/4HANA On-premise prostřednictvím cloudového konektoru SAP, AS ABAP a dalších.

Diagram znázorňující technologie Microsoftu a SAP relevantní pro zřizování identit z Microsoft Entra ID

Podrobné pokyny k životnímu cyklu identit s aplikacemi SAP jako cíle najdete v tématu Plánování nasazení Microsoft Entra pro zřizování uživatelů pomocí zdrojové a cílové aplikace SAP.

  • Pokud se chcete připravit na zřizování uživatelů do aplikací SAP integrovaných se službou SAP Cloud Identity Services, ověřte, že služba SAP Cloud Identity Services má pro tyto aplikace potřebná mapování schématu, a zřiďte uživatele z Microsoft Entra ID pro SAP Cloud Identity Services. SAP Cloud Identity Services následně podle potřeby zřídí uživatele do podřízených aplikací SAP. Pak můžete pomocí hr příchozích dat z SuccessFactors udržovat seznam uživatelů v Microsoft Entra ID aktuální, když se zaměstnanci připojují, přesouvají a odcházejí. Pokud má váš tenant licenci pro zásady správného řízení MICROSOFT Entra ID, můžete také automatizovat změny přiřazení rolí aplikace v Microsoft Entra ID pro SAP Cloud Identity Services. Další informace o oddělení povinností a dalších kontrol dodržování předpisů před zřizováním najdete v tématu Scénáře správy životního cyklu přístupu migrace.

  • Pokyny k tomu, jak zřídit uživatele do SAP ECC, ověřte, že potřebná obchodní rozhraní API (BAPI) pro SAP ECC jsou připravená pro Microsoft Entra používat ke správě identit a pak zřizovat uživatele z Microsoft Entra ID pro SAP ECC.

  • Pokyny k aktualizaci záznamu pracovního procesu SAP SuccessFactor najdete v tématu Zpětný zápis z ID Microsoft Entra do SAP SuccessFactors.

  • Pokud jako zdroj dat používáte SAP NetWeaver AS pro Javu se službou Windows Server Active Directory, můžete příchozí služby Microsoft Entra SuccessFactors použít k automatickému vytváření a aktualizaci uživatelů ve Službě Windows Server AD.

  • Pokud jako zdroj dat používáte SAP NetWeaver AS pro Javu s jiným adresářem LDAP, můžete nakonfigurovat Id Microsoft Entra tak, aby zřizovat uživatele do adresářů LDAP.

Po konfiguraci zřizování pro uživatele v aplikacích SAP byste pro ně měli povolit jednotné přihlašování. Microsoft Entra ID může sloužit jako zprostředkovatel identity a ověřovací autorita pro vaše aplikace SAP. Microsoft Entra ID může integrovat se SAP NetWeaver pomocí SAML nebo OAuth. Další informace o tom, jak nakonfigurovat jednotné přihlašování k SAP SaaS a moderním aplikacím, najdete v tématu povolení jednotného přihlašování.

Zřizování pro systémy, které nejsou systémy SAP

Organizace můžou také pomocí SAP IDM zřizovat uživatele pro systémy, které nejsou systémy SAP, včetně Windows Serveru AD a dalších databází, adresářů a aplikací. Tyto scénáře můžete migrovat do Microsoft Entra ID, aby microsoft Entra ID zřídil jeho kopii těchto uživatelů do těchto úložišť.

  • Pro organizace se službou Windows Server AD mohla organizace používat Windows Server AD jako zdroj pro uživatele a skupiny pro SAP IDM, aby se mohla přenést do SAP R/3. Microsoft Entra Connect Sync nebo Microsoft Entra Cloud Sync můžete použít k přenesení uživatelů a skupin ze služby Windows Server AD do Microsoft Entra ID. Kromě toho lze příchozí služby Microsoft Entra SuccessFactors použít k automatickému vytváření a aktualizaci uživatelů ve službě Windows Server AD a můžete spravovat členství ve skupinách v AD používaných aplikacemi založenými na AD. Poštovní schránky Exchange Online se dají vytvářet automaticky pro uživatele prostřednictvím přiřazení licence pomocí licencování na základě skupin.

  • Pro organizace s aplikacemi, které spoléhají na jiné adresáře, můžete nakonfigurovat Microsoft Entra ID tak, aby zřizovat uživatele do adresářů LDAP, včetně OpenLDAP, Microsoft Active Directory Lightweight Directory Services, 389 Directory Server, Apache Directory Server, IBM Tivoli DS, Isode Directory, NetIQ eDirectory, Novell eDirectory, Open DJ, Open DS, Oracle (dříve Sun ONE) Directory Server edice Enterprisea RadiantOne Virtual Directory Server (VDS). Atributy uživatelů v Microsoft Entra ID můžete mapovat na atributy uživatele v těchto adresářích a v případě potřeby nastavit počáteční heslo.

  • Pro organizace, které se spoléhají na databázi SQL, můžete nakonfigurovat ID Microsoft Entra tak, aby zřizovat uživatele do databáze SQL prostřednictvím ovladače ODBC databáze. Mezi podporované databáze patří Microsoft SQL Server, Azure SQL, IBM DB2 9.x, IBM DB2 10.x, IBM DB2 11.5, Oracle 10g a 11g, Oracle 12c a 18c, MySQL 5.x, MySQL 8.x a Postgres. Atributy uživatelů v Microsoft Entra ID můžete mapovat na sloupce tabulky nebo parametry uložené procedury pro tyto databáze. Informace o SAP HANA najdete v tématu SAP Cloud Identity Services SAP HANA Database Connector (beta verze).

  • Pokud existují uživatelé v adresáři nebo databázi jiné než AD, které byly zřízeny pomocí SAP IDM a nejsou v Microsoft Entra ID a nemůžou být korelovány s pracovníkem v SAP SuccessFactors nebo jiným zdrojem lidských zdrojů, přečtěte si téma řízení stávajících uživatelů aplikace, kde najdete pokyny k tomu, jak tyto uživatele přenést do Microsoft Entra ID.

  • Microsoft Entra má integrované integrace zřizování se stovkami aplikací SaaS; úplný seznam aplikací, které podporují zřizování, naleznete v tématu Integrace zásad správného řízení Microsoft Entra ID. Partneři Microsoftu také poskytují integrace řízené partnery s dalšími specializovanými aplikacemi .

  • U jiných interních vyvinutých aplikací může Microsoft Entra zřizovat cloudové aplikace prostřednictvím SCIM a místních aplikací prostřednictvím SCIM, SOAP nebo REST, PowerShellu nebo konektorů dodaných partnerem, které implementují rozhraní ECMA API. Pokud jste dříve k zřizování ze SAP IDM používali SPML, doporučujeme aktualizovat aplikace tak, aby podporovaly novější protokol SCIM.

  • U aplikací bez zřizovacího rozhraní zvažte použití funkce zásad správného řízení Microsoft Entra ID k automatizaci vytváření lístků ServiceNow a přiřazování lístku vlastníkovi aplikace při přiřazení uživatele nebo ztrátě přístupu k přístupovém balíčku.

Migrace ověřování a jednotného přihlašování

Microsoft Entra ID funguje jako služba tokenů zabezpečení, která uživatelům umožňuje ověřování u ID Microsoft Entra s vícefaktorovým ověřováním a bez hesla a pak mají jednotné přihlašování ke všem svým aplikacím. Jednotné přihlašování Microsoft Entra ID používá standardní protokoly, včetně SAML, OpenID Connect a Kerberos. Další informace o jednotném přihlašování ke cloudovým aplikacím SAP najdete v tématu Integrace jednotného přihlašování Microsoft Entra se službou SAP Cloud Identity Services.

Organizace, které mají existujícího zprostředkovatele identity, jako je Windows Server AD, můžou pro své uživatele nakonfigurovat hybridní ověřování identit, aby id Microsoft Entra spoléhalo na existujícího zprostředkovatele identity. Další informace o vzorech integrace najdete v tématu Volba správné metody ověřování pro vaše řešení hybridní identity Microsoft Entra.

Pokud máte místní systémy SAP, můžete modernizovat způsob, jakým se uživatelé vaší organizace připojují k těmto systémům pomocí globálního klienta zabezpečeného přístupu Microsoft Entra Soukromý přístup. Vzdálení pracovníci nemusí pro přístup k těmto prostředkům používat síť VPN, pokud mají nainstalovaného klienta pro globální bezpečný přístup. Klient je tiše a bezproblémově připojí k potřebným prostředkům. Další informace najdete v tématu Microsoft Entra Soukromý přístup.

Migrace samoobslužné služby koncového uživatele

Organizace mohly použít nápovědu k přihlášení POMOCÍ SAP IDM k tomu, aby koncoví uživatelé mohli resetovat heslo služby Windows Server AD.

Samoobslužné resetování hesla (SSPR) společnosti Microsoft Entra umožňuje uživatelům měnit nebo resetovat heslo bez nutnosti zapojení správce nebo helpdesku. Jakmile nakonfigurujete Microsoft Entra SSPR, můžete vyžadovat, aby se uživatelé při přihlášení zaregistrovali. Pokud je účet uživatele uzamčený nebo zapomene heslo, může postupovat podle pokynů, které odblokují a vrátí se do práce. Když uživatelé změní nebo resetují svá hesla pomocí SSPR v cloudu, aktualizovaná hesla se také dají zapsat zpět do místního prostředí SLUŽBY AD DS. Další informace o tom, jak samoobslužné resetování hesla funguje, najdete v tématu Microsoft Entra samoobslužné resetování hesla. Pokud potřebujete kromě Microsoft Entra ID a Windows Serveru AD odesílat změny hesla do jiných místních systémů, můžete to udělat pomocí nástroje, jako je služba PCNS (Password Change Notification Service) s Microsoft Identity Managerem (MIM). Informace o tomto scénáři najdete v článku Nasazení služby MIM Password Change Notification Service.

Microsoft Entra také podporuje samoobslužné služby koncových uživatelů pro správu skupin a žádosti o samoobslužný přístup, schválení a revize. Další informace o samoobslužné správě přístupu prostřednictvím zásad správného řízení Microsoft Entra ID najdete v následující části správy životního cyklu přístupu.

Scénáře správy životního cyklu přístupu

Organizace můžou integrovat SAP IDM se SAP AC, dříve SAP GRC nebo SAP IAG pro schvalování přístupu, posouzení rizik, oddělení kontrol povinností a dalších operací.

Microsoft Entra zahrnuje několik technologií správy životního cyklu přístupu, které organizacím umožňují přenést scénáře správy identit a přístupu do cloudu. Volba technologií závisí na požadavcích vaší organizace na aplikace a licencích Microsoft Entra.

  • Správa přístupu prostřednictvím správy skupin zabezpečení Microsoft Entra ID Tradiční aplikace založené na AD windows Serveru závisely na kontrole členství skupin zabezpečení pro autorizaci. Microsoft Entra zpřístupňuje dynamickou skupinu členství pro aplikace prostřednictvím deklarací identity SAML, zřizování nebo zápisem skupin do služby Windows Server AD. SAP Cloud Identity Services může číst skupiny z MICROSOFT Entra ID prostřednictvím Graphu a zřizovat tyto skupiny pro jiné aplikace SAP.

    V Microsoft Entra můžou správci spravovat dynamické skupiny členství, vytvářet kontroly přístupu dynamické skupiny členství a povolit samoobslužnou správu skupin. Díky samoobslužné službě můžou vlastníci skupiny schvalovat nebo odepřít žádosti o členství a delegovat kontrolu nad dynamickými skupinami členství. Můžete také použít Privileged Identity Management (PIM) pro skupiny ke správě členství za běhu ve skupině nebo vlastnictví skupiny za běhu.

  • Správa přístupu prostřednictvím přístupových balíčků pro správu nároků. Správa nároků je funkce zásad správného řízení identit, která organizacím umožňuje spravovat životní cyklus identit a přístupu ve velkém měřítku prostřednictvím automatizace pracovních postupů žádostí o přístup a schválení, přiřazení přístupu, kontrol a vypršení platnosti. Správu nároků je možné použít k jemně odstupňovaným přiřazením přístupu k aplikacím, které používají skupiny, přiřazení rolí aplikací nebo které mají konektory pro Azure Logic Apps.

    Správa nároků umožňuje organizacím implementovat své postupy pro přiřazování přístupu uživatelů napříč více prostředky pomocí standardizované kolekce přístupových práv označovaných jako přístupové balíčky. Každý přístupový balíček uděluje členství skupinám, přiřazení rolím aplikace nebo členství na webech SharePointu Online. Přístupové balíčky lze použít k reprezentaci obchodních rolí, které zahrnují technické role nebo oprávnění v jedné nebo více aplikacích. Správu nároků můžete nakonfigurovat tak, aby uživatelé dostávali přiřazení přístupového balíčku automaticky na základě vlastností uživatelů, jako je jejich oddělení nebo nákladové středisko. Pracovní postupy životního cyklu můžete také nakonfigurovat tak, aby přidávaly nebo odebíraly přiřazení, když se lidé připojí a odejdou. Správci mohou také požádat, aby uživatelé měli přiřazení pro přístup k balíčkům a uživatelé si také mohou vyžádat, aby měli přístupový balíček sami. Přístupové balíčky, které má uživatel k dispozici, jsou určeny skupinou dynamického členství zabezpečení uživatele. Uživatelé můžou požádat o přístup, který potřebují okamžitě nebo požádat o přístup v budoucnu, můžou zadat časový limit hodin nebo dnů a můžou obsahovat odpovědi na otázky nebo zadat hodnoty pro další atributy. Žádost lze nakonfigurovat pro automatické schválení nebo projít několika fázemi schválení manažerem, vlastníkem role nebo jinými schvalovateli, pokud schvalovatelé eskalace nejsou k dispozici nebo neodpoví. Po schválení budou žadateli upozorněni, že mají přiřazený přístup. Přiřazení k přístupovém balíčku můžou být časově omezená a můžete nakonfigurovat opakované kontroly přístupu tak, aby správce, vlastník prostředku nebo jiní schvalovatelé pravidelně znovu certifikovali nebo znovu otestovali potřebu uživatele pro pokračování přístupu. Další informace o tom, jak migrovat zásady autorizace reprezentované v modelu role na správu nároků, najdete v tématu Migrace modelu role organizace. K automatizaci procesu migrace můžete k vytvoření přístupových balíčků použít PowerShell.

    Diagram přehledu správy nároků

  • Správa přístupu prostřednictvím správy nároků a externího produktu GRC Díky integraci zásad správného řízení Microsoft Entra ID do Pathlock a dalších partnerských produktů můžou zákazníci využívat jemně odstupňované kontroly povinností v těchto produktech s přístupovými balíčky v zásadách správného řízení Microsoft Entra ID.

Použití nástroje Microsoft Entra pro vytváření sestav

Microsoft Entra obsahuje integrované sestavy a také sešity, které se v Azure Monitoru zřizují na základě dat protokolů auditu, přihlašování a zřizování. Mezi možnosti vytváření sestav, které jsou k dispozici v Microsoft Entra, patří:

Migrace informací o identitě napříč hranicemi organizace

Některé organizace můžou k výměně informací o identitě uživatelů napříč hranicemi společnosti používat federaci identit SAP IDM.

Microsoft Entra zahrnuje funkce pro víceklientských organizací, které více než jeden tenant Microsoft Entra ID umožňuje spojit uživatele z jednoho tenanta pro přístup k aplikacím nebo spolupráci v jiném tenantovi. Následující diagram ukazuje, jak můžete pomocí funkce synchronizace mezi tenanty ve víceklientských organizacích automaticky povolit uživatelům z jednoho tenanta přístup k aplikacím v jiném tenantovi ve vaší organizaci.

Diagram znázorňující synchronizaci uživatelů pro více tenantů

Microsoft Entra Externí ID zahrnuje Možnosti spolupráce B2B, které vašim pracovníkům umožňují bezpečně pracovat s obchodními partnerskými organizacemi a hosty a sdílet s nimi aplikace vaší společnosti. Uživatelé typu host používají při přihlášení k vašim aplikacím a službám vlastní pracovní, školní nebo sociální identitu. Pro organizace obchodních partnerů, kteří mají vlastního tenanta Microsoft Entra ID, kde se uživatelé ověřují, můžete nakonfigurovat nastavení přístupu mezi tenanty. A pro ty firemní partnerské organizace, které nemají tenanta Microsoft Entra, ale mají vlastní zprostředkovatele identity, můžete nakonfigurovat federaci se zprostředkovateli identity SAML/WS-Fed pro uživatele typu host. Správa nároků Microsoft Entra umožňuje řídit životní cyklus identit a přístupu těchto externích uživatelů tak, že nakonfigurujete přístupový balíček se schválením, než bude možné hosta převést do tenanta, a automatické odebrání hostů, když budou při kontrole přístupu odepřeni.

Diagram znázorňující životní cyklus externích uživatelů

Migrace aplikací vyžadujících adresářové služby

Některé organizace můžou jako adresářovou službu používat SAP IDM, aby aplikace volaly ke čtení a zápisu identit. Microsoft Entra ID poskytuje adresářovou službu pro moderní aplikace a umožňuje aplikacím volat prostřednictvím rozhraní Microsoft Graph API za účelem dotazování a aktualizace uživatelů, skupin a dalších informací o identitě.

Pro aplikace, které stále vyžadují rozhraní LDAP pro čtení uživatelů nebo skupin, poskytuje Microsoft Entra několik možností:

Rozšíření Microsoft Entra prostřednictvím integračních rozhraní

Microsoft Entra zahrnuje více rozhraní pro integraci a rozšíření napříč svými službami, včetně:

  • Aplikace můžou volat Microsoft Entra prostřednictvím rozhraní Microsoft Graph API k dotazování a aktualizaci informací o identitě, konfiguraci a zásadách a načítání protokolů, stavu a sestav.
  • Správci můžou nakonfigurovat zřizování pro aplikace prostřednictvím SCIM, SOAP nebo REST a rozhraní ECMA API.
  • Správci můžou pomocí rozhraní API pro příchozí zřizování přenést záznamy pracovních procesů z jiného systému zdrojů záznamů k poskytování aktualizací uživatelů do služby Windows Server AD a Microsoft Entra ID.
  • Správci v tenantovi se zásadami správného řízení Microsoft Entra ID můžou také nakonfigurovat volání vlastních aplikací Azure Logic Apps z pracovních postupů správy nároků a životního cyklu. To umožňuje přizpůsobení procesu onboardingu, odpojení uživatele a žádosti o přístup a přiřazení.

Další kroky