Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Schritte beschrieben, die Sie in SAP Cloud Identity Services und Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Bei Konfiguration stellt Microsoft Entra ID mithilfe des Microsoft Entra-Bereitstellungsdiensts und SAP Cloud Identity Services automatisch Benutzer für SAP BTP bereit bzw. hebt die Bereitstellung auf. Wichtige Details zum Zweck und zur Funktionsweise der Microsoft Entra-Bereitstellung sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.
Unterstützte Funktionen
- Erstellen von Benutzern in SAP BTP, um Single Sign-On bei SAP BTP zu aktivieren
- Entfernen von Benutzern in SAP BTP, wenn sie keinen Zugriff mehr benötigen
- Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und SAP BTP
Sie können auch den Zugriff auf SAP BTP-Anwendungen verwalten, indem Sie Microsoft Entra ID Governance verwenden, um Gruppen aufzufüllen, die Rollen in der BTP-Rollensammlung der Anwendung zugeordnet sind. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf SAP BTP.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
- Eine der folgenden Rollen:
- Eine SAP BTP- App (SAP BTP ABAP-Umgebung oder SAP BTP XS Advanced UAA Cloud Foundry)
- SAP Cloud Identity Services-Mandant
- Ein Benutzerkonto in der Verwaltungskonsole für die SAP-Identitätsbereitstellung mit Administratorberechtigungen. Stellen Sie sicher, dass Sie Zugriff auf die Proxysysteme in der Verwaltungskonsole für die Identitätsbereitstellung haben. Wenn die Kachel Proxysysteme nicht angezeigt wird, erstellen Sie einen Incident für die Komponente BC-IAM-IPS, um Zugriff auf diese Kachel anzufordern.
Schritt 1: Planen der Bereitstellung
Microsoft Entra verfügt über Connectors zu SAP ECC, SAP Cloud Identity Services und SAP SuccessFactors. Die Bereitstellung in SAP BTP oder anderen Anwendungen erfordert, dass die Benutzer zuerst in der Microsoft Entra-ID vorhanden sind. Sobald Sie Benutzer in der Microsoft Entra-ID haben, können Sie diese Benutzer aus Microsoft Entra-ID für SAP Cloud Identity Services bereitstellen. SAP Cloud Identity Services stellt dann die Benutzer aus Microsoft Entra ID bereit, die sich im SAP Cloud Identity Directory befinden, in den nachgelagerten SAP-Anwendungen bereit, einschließlich SAP BTP ABAP environment, „SAP BTP XS Advanced UAA (Cloud Foundry)“ und anderen.
Schritt 2: Sicherstellen, dass Sie über die richtigen Benutzer in der Microsoft Entra ID verfügen
Sie können HR-Inbound aus Quellen wie SuccessFactors verwenden, um die Liste der Benutzer in der Microsoft Entra ID auf dem neuesten Stand zu halten, wenn Mitarbeiter dazukommen, Rollen ändern oder gehen. Wenn Sie planen, Gruppen oder Anwendungsrollenzuweisungen zu verwenden, um festzulegen, wer auf SAP BTP zugreifen kann oder welche Rollen diese haben werden, und Ihr Mandant über eine Lizenz für Microsoft Entra ID Governance verfügt, können Sie auch Änderungen an den Anwendungsrollenzuweisungen in Microsoft Entra ID für Anwendungen automatisieren, die SAP Cloud Identity Services oder SAP BTP darstellen. Weitere Informationen zum Ausführen der Trennung von Aufgaben und anderen Complianceprüfungen vor der Bereitstellung finden Sie unter Migrieren von Szenarien zur Verwaltung des Zugriffslebenszyklus.
Eine schrittweise Anleitung zum Identitätslebenszyklus mit SAP-Anwendungen als Ziel finden Sie unter Planen der Bereitstellung von Microsoft Entra für die Benutzerbereitstellung mit SAP-Quell- und Zielanwendungen.
Schritt 3: Konfigurieren der Bereitstellung von Microsoft Entra ID in SAP Cloud Identity Services
Um die Bereitstellung von Benutzern für SAP BTP oder andere SAP-Anwendungen, die in SAP Cloud Identity Services integriert sind, vorzubereiten, stellen Sie sicher, dass die SAP Cloud Identity Services die erforderlichen Schemazuordnungen für diese Anwendungen haben. Dann konfigurieren Sie die Bereitstellung von Benutzern von Microsoft Entra ID zu SAP Cloud Identity Services. SAP Cloud Identity Services stellt anschließend Benutzer bei Bedarf in den nachgeschalteten SAP-Anwendungen bereit.
Es gibt zwei Möglichkeiten, Benutzer von Microsoft Entra in SAP Cloud Identity Services bereitzustellen.
Wenn Sie Gruppen aus der Microsoft Entra-ID verwenden, z. B. um Benutzern Rollen in der SAP BTP-Cloud zuzuweisen, verwenden Sie die SAP Cloud Identity Services-Bereitstellung. Erstellen Sie zunächst Microsoft Entra-Gruppen für Ihre SAP-Geschäftsrollen, die in SAP Analytics Cloud verwendet werden. Konfigurieren Sie dann in der Bereitstellung von SAP Cloud Identity Services die Microsoft Entra ID als Quelle, um Benutzer und Gruppen aus Microsoft Entra ID zu SAP Cloud Identity Services zu bringen und die erstellten Gruppen Ihren SAP-Geschäftsrollen zuzuordnen. Weitere Informationen finden Sie in der SAP-Dokumentation zur Bereitstellung von Benutzern von Microsoft Azure AD zu SAP Cloud Identity Services – Identity Authentication.
Alternativ können Sie den Microsoft Entra-Bereitstellungsdienst verwenden, wenn Sie keine Gruppen in der Microsoft Entra-ID verwenden müssen. Erstellen Sie in diesem Szenario eine Anwendung, die SAP BTP darstellt und weisen Sie Benutzern, die Zugriff auf SAP BTP benötigen, dieser Anwendung zu. Dann konfigurieren Sie die automatische Benutzerbereitstellung mit Microsoft Entra ID für SAP Cloud Identity Services. Warten Sie, bis diese Benutzer in SAP Cloud Identity Services bereitgestellt werden und überprüfen Sie, ob sie über die für Ihr SAP BTP-Ziel erforderlichen Attribute verfügen.
Hinweis
Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Überprüfen Sie, ob die Benutzer*innen über den richtigen Zugriff in SAP-Downstreamzielen verfügen, und stellen Sie sicher, dass sie nach der Anmeldung die richtigen Rollen aufweisen.
Schritt 4: Konfigurieren der Bereitstellung von SAP Cloud Identity Services in SAP BTP
Verwenden Sie in diesem Schritt die SAP Cloud Identity Services Identity Provisioning, um SAP BTP als Zielsystem zu konfigurieren, in dem Sie Benutzer und Gruppenmitglieder bereitstellen können. Für die SAP-BTP-ABAP-Umgebung siehe die SAP-Dokumentation zur Bereitstellung in der SAP BTP ABAP-Umgebung“. Informationen zu SAP BTP XS Advanced UAA (Cloud Foundry) finden Sie in der SAP-Dokumentation zur Bereitstellung für SAP BTP XS Advanced UAA (Cloud Foundry).
Schritt 5: Konfigurieren von Single Sign-On
Nachdem Sie die Bereitstellung für Benutzer in Ihren SAP-Anwendungen konfiguriert haben, sollten Sie einmaliges Anmelden für sie aktivieren. Microsoft Entra-ID kann als Identitätsanbieter und Authentifizierungsstelle für Ihre SAP-Anwendungen dienen und Gruppenmitgliedschaften in Ansprüchen bereitstellen. Falls noch nicht geschehen, konfigurieren Sie die Microsoft Entra Single Sign-On(SSO)-Integration in SAP Cloud Identity Services.
Schritt 6: Verwalten des Zugriffs durch Zuweisen von Gruppen zur SAP BTP-Rollensammlung
Sie können den Zugriff auf SAP BTP-Anwendungen mithilfe von Microsoft Entra ID Governance verwalten, um Gruppen zu füllen, die Rollen in der BTP-Rollensammlung der Anwendung zugeordnet sind. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf SAP BTP.