Freigeben über


Tutorial: Konfigurieren von Microsoft Entra ID und SAP Cloud Identity Services für die automatische Benutzerbereitstellung für SAP BTP

In diesem Tutorial werden die Schritte beschrieben, die Sie in SAP Cloud Identity Services und Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Bei Konfiguration stellt Microsoft Entra ID mithilfe des Microsoft Entra-Bereitstellungsdiensts und SAP Cloud Identity Services automatisch Benutzer für SAP BTP bereit bzw. hebt die Bereitstellung auf. Wichtige Details zum Zweck und zur Funktionsweise der Microsoft Entra-Bereitstellung sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.

Unterstützte Funktionen

  • Erstellen von Benutzern in SAP BTP, um Single Sign-On bei SAP BTP zu aktivieren
  • Entfernen von Benutzern in SAP BTP, wenn diese keinen Zugriff mehr benötigen
  • Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und SAP BTP

Voraussetzungen

Das diesem Tutorial zu Grunde liegende Szenario setzt voraus, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • Ein Microsoft Entra-Mandant
  • Eine der folgenden Rollen: Anwendungsadministrator, Cloudanwendungsadministrator oder Anwendungsbesitzer.
  • Eine SAP BTP- App (SAP BTP ABAP-Umgebung oder SAP BTP XS Advanced UAA Cloud Foundry)
  • SAP Cloud Identity Services-Mandant
  • Ein Benutzerkonto in der Verwaltungskonsole für die SAP-Identitätsbereitstellung mit Administratorberechtigungen. Stellen Sie sicher, dass Sie Zugriff auf die Proxysysteme in der Verwaltungskonsole für die Identitätsbereitstellung haben. Wenn die Kachel Proxysysteme nicht angezeigt wird, erstellen Sie einen Incident für die Komponente BC-IAM-IPS, um Zugriff auf diese Kachel anzufordern.

Schritt 1: Planen der Bereitstellung

Microsoft Entra verfügt über Connectors zu SAP ECC, SAP Cloud Identity Services und SAP SuccessFactors. Die Bereitstellung in SAP BTP oder anderen Anwendungen erfordert, dass die Benutzer zuerst in der Microsoft Entra-ID vorhanden sind. Sobald Sie Benutzer in der Microsoft Entra-ID haben, können Sie diese Benutzer aus Microsoft Entra-ID für SAP Cloud Identity Services bereitstellen. SAP Cloud Identity Services stellt dann die Benutzer aus Microsoft Entra ID bereit, die sich im SAP Cloud Identity Directory befinden, in den nachgelagerten SAP-Anwendungen bereit, einschließlich SAP BTP ABAP environment, „SAP BTP XS Advanced UAA (Cloud Foundry)“ und anderen.

Diagramm mit Microsoft- und SAP-Technologien, die für die Bereitstellung von Identitäten von Microsoft Entra ID relevant sind.

Schritt 2: Sicherstellen, dass Sie über die richtigen Benutzer in der Microsoft Entra ID verfügen

Sie können HR-Inbound aus Quellen wie SuccessFactors verwenden, um die Liste der Benutzer in der Microsoft Entra ID auf dem neuesten Stand zu halten, wenn Mitarbeiter dazukommen, Rollen ändern oder gehen. Wenn Sie planen, Gruppen oder Anwendungsrollenzuweisungen zu verwenden, um festzulegen, wer auf SAP BTP zugreifen kann oder welche Rollen diese haben werden, und Ihr Mandant über eine Lizenz für Microsoft Entra ID Governance verfügt, können Sie auch Änderungen an den Anwendungsrollenzuweisungen in Microsoft Entra ID für Anwendungen automatisieren, die SAP Cloud Identity Services oder SAP BTP darstellen. Weitere Informationen zum Ausführen der Trennung von Aufgaben und anderen Complianceprüfungen vor der Bereitstellung finden Sie unter Migrieren von Szenarien zur Verwaltung des Zugriffslebenszyklus.

Eine schrittweise Anleitung zum Identitätslebenszyklus mit SAP-Anwendungen als Ziel finden Sie unter Planen der Bereitstellung von Microsoft Entra für die Benutzerbereitstellung mit SAP-Quell- und Zielanwendungen.

Schritt 3: Konfigurieren der Bereitstellung von Microsoft Entra ID in SAP Cloud Identity Services

Um die Bereitstellung von Benutzern für SAP BTP oder andere SAP-Anwendungen, die in SAP Cloud Identity Services integriert sind, vorzubereiten, stellen Sie sicher, dass die SAP Cloud Identity Services die erforderlichen Schemazuordnungen für diese Anwendungen haben. Dann konfigurieren Sie die Bereitstellung von Benutzern von Microsoft Entra ID zu SAP Cloud Identity Services. SAP Cloud Identity Services stellt anschließend Benutzer bei Bedarf in den nachgeschalteten SAP-Anwendungen bereit.

Es gibt zwei Möglichkeiten, Benutzer von Microsoft Entra in SAP Cloud Identity Services bereitzustellen.

  • Wenn Sie Gruppen aus der Microsoft Entra ID verwenden, z. B. um Benutzern Rollen in SAP BTP Cloud zuzuweisen, verwenden Sie die SAP Cloud Identity Services-Bereitstellung. Erstellen Sie zunächst Microsoft Entra-Gruppen für Ihre SAP-Geschäftsrollen, die in SAP Analytics Cloud verwendet werden. Konfigurieren Sie dann in der Bereitstellung von SAP Cloud Identity Services die Microsoft Entra ID als Quelle, um Benutzer und Gruppen aus Microsoft Entra ID zu SAP Cloud Identity Services zu bringen und die erstellten Gruppen Ihren SAP-Geschäftsrollen zuzuordnen. Weitere Informationen finden Sie in der SAP-Dokumentation zur Bereitstellung von Benutzern von Microsoft Azure AD zu SAP Cloud Identity Services – Identity Authentication.

  • Alternativ können Sie den Microsoft Entra-Bereitstellungsdienst verwenden, wenn Sie keine Gruppen in der Microsoft Entra ID verwenden müssen. Erstellen Sie in diesem Szenario eine Anwendung, die SAP BTP darstellt und weisen Sie Benutzern, die Zugriff auf SAP BTP benötigen, dieser Anwendung zu. Dann konfigurieren Sie die automatische Benutzerbereitstellung mit Microsoft Entra ID für SAP Cloud Identity Services. Warten Sie, bis diese Benutzer in SAP Cloud Identity Services bereitgestellt werden und überprüfen Sie, ob sie über die für Ihr SAP BTP-Ziel erforderlichen Attribute verfügen.

Hinweis

Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Überprüfen Sie, ob die Benutzer*innen über den richtigen Zugriff in SAP-Downstreamzielen verfügen, und stellen Sie sicher, dass sie nach der Anmeldung die richtigen Rollen aufweisen.

Schritt 4: Konfigurieren der Bereitstellung von SAP Cloud Identity Services in SAP BTP

Verwenden Sie in diesem Schritt die SAP Cloud Identity Services Identity Provisioning, um SAP BTP als Zielsystem zu konfigurieren, in dem Sie Benutzer und Gruppenmitglieder bereitstellen können. Für die SAP-BTP-ABAP-Umgebung siehe die SAP-Dokumentation zur Bereitstellung in der SAP BTP ABAP-Umgebung“. Informationen zu SAP BTP XS Advanced UAA (Cloud Foundry) finden Sie in der SAP-Dokumentation zur Bereitstellung für SAP BTP XS Advanced UAA (Cloud Foundry).

Schritt 5: Konfigurieren von Single Sign-On

Nachdem Sie die Bereitstellung für Benutzer in Ihren SAP-Anwendungen konfiguriert haben, sollten Sie einmaliges Anmelden für sie aktivieren. Microsoft Entra ID kann als Identitätsanbieter sowie als Authentifizierungsstelle für Ihre SAP-Anwendungen fungieren. Falls noch nicht geschehen, konfigurieren Sie die Microsoft Entra Single Sign-On(SSO)-Integration in SAP Cloud Identity Services.

Weitere Informationen zum Konfigurieren des einmaligen Anmeldens bei SAP SaaS und modernen Apps finden Sie unter Aktivieren von SSO.

Nächste Schritte