Freigeben über


Konfigurieren von Microsoft Entra ID und SAP Cloud Identity Services für die automatische Benutzerbereitstellung in SAP S/4HANA

In diesem Artikel werden die Schritte beschrieben, die Sie in SAP Cloud Identity Services und Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Bei Konfiguration stellt Microsoft Entra ID mithilfe des Microsoft Entra-Bereitstellungsdiensts und SAP Cloud Identity Services automatisch Benutzer für SAP S/4HANA bereit bzw. hebt die Bereitstellung auf. Wichtige Details zum Zweck und zur Funktionsweise der Microsoft Entra-Bereitstellung sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.

Unterstützte Funktionen

  • Erstellen von Benutzern in SAP S/4HANA, um Single Sign-On bei SAP S/4HANA zu aktivieren
  • Entfernen von Benutzern in SAP S/4HANA, wenn sie keinen Zugriff mehr benötigen
  • Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und SAP S/4HANA

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • SAP S/4HANA Cloud, private Edition, SAP S/4HANA Cloud, öffentliche Edition oder SAP S/4HANA lokal
  • SAP Cloud Identity Services-Mandant
  • Ein Benutzerkonto in der Verwaltungskonsole für die SAP-Identitätsbereitstellung mit Administratorberechtigungen. Stellen Sie sicher, dass Sie Zugriff auf die Proxysysteme in der Verwaltungskonsole für die Identitätsbereitstellung haben. Wenn die Kachel Proxysysteme nicht angezeigt wird, erstellen Sie einen Incident für die Komponente BC-IAM-IPS, um Zugriff auf diese Kachel anzufordern.

Schritt 1: Planen der Bereitstellung

Microsoft Entra verfügt über Connectors zu SAP ECC, SAP Cloud Identity Services und SAP SuccessFactors. Die Bereitstellung in SAP S/4HANA oder anderen Anwendungen erfordert, dass die Benutzer zuerst in der Microsoft Entra-ID vorhanden sind. Sobald Sie Benutzer in der Microsoft Entra-ID haben, können Sie diese Benutzer aus Microsoft Entra-ID für SAP Cloud Identity Services bereitstellen. SAP Cloud Identity Services stellt dann die aus Microsoft Entra ID stammenden Benutzer, die sich in SAP Cloud Identity Directory befinden, in SAP-Downstreamanwendungen wie SAP S/4HANA Cloud, SAP S/4HANA On-Premise über SAP Cloud Connector und andere bereit.

Diagramm mit Microsoft- und SAP-Technologien, die für die Bereitstellung von Identitäten von Microsoft Entra ID relevant sind.

Schritt 2: Sicherstellen, dass Sie über die richtigen Benutzer in der Microsoft Entra ID verfügen

Sie können HR-Inbound aus Quellen wie SuccessFactors verwenden, um die Liste der Benutzer in der Microsoft Entra ID auf dem neuesten Stand zu halten, wenn Mitarbeiter dazukommen, Rollen ändern oder gehen. Wenn Sie planen, Gruppen oder Anwendungsrollenzuweisungen zu verwenden, um festzulegen, wer auf SAP S/4HANA zugreifen kann oder welche Rollen diese haben werden, und Ihr Mandant über eine Lizenz für Microsoft Entra ID Governance verfügt, können Sie auch Änderungen an den Anwendungsrollenzuweisungen in Microsoft Entra ID für Anwendungen automatisieren, die SAP Cloud Identity Services oder SAP S/4HANA darstellen. Weitere Informationen zum Ausführen der Trennung von Aufgaben und anderen Complianceprüfungen vor der Bereitstellung finden Sie unter Migrieren von Szenarien zur Verwaltung des Zugriffslebenszyklus.

Eine schrittweise Anleitung zum Identitätslebenszyklus mit SAP-Anwendungen als Ziel finden Sie unter Planen der Bereitstellung von Microsoft Entra für die Benutzerbereitstellung mit SAP-Quell- und Zielanwendungen.

Schritt 3: Konfigurieren der Bereitstellung von Microsoft Entra ID in SAP Cloud Identity Services

Um die Bereitstellung von Benutzern für SAP S/4HANA oder andere SAP-Anwendungen, die in SAP Cloud Identity Services integriert sind, vorzubereiten, stellen Sie sicher, dass die SAP Cloud Identity Services die erforderlichen Schemazuordnungen für diese Anwendungen haben. Dann konfigurieren Sie die Bereitstellung von Benutzern von Microsoft Entra ID zu SAP Cloud Identity Services. SAP Cloud Identity Services stellt anschließend Benutzer bei Bedarf in den nachgeschalteten SAP-Anwendungen bereit.

Es gibt zwei Möglichkeiten, Benutzer von Microsoft Entra in SAP Cloud Identity Services bereitzustellen.

  • Wenn Sie Gruppen aus der Microsoft Entra-ID verwenden, z. B. um Benutzern Rollen in der SAP S/4HANA-Cloud zuzuweisen, verwenden Sie die SAP Cloud Identity Services-Bereitstellung. Erstellen Sie zunächst Microsoft Entra-Gruppen für Ihre SAP-Geschäftsrollen, die in SAP Analytics Cloud verwendet werden. Konfigurieren Sie dann in der Bereitstellung von SAP Cloud Identity Services die Microsoft Entra ID als Quelle, um Benutzer und Gruppen aus Microsoft Entra ID zu SAP Cloud Identity Services zu bringen und die erstellten Gruppen Ihren SAP-Geschäftsrollen zuzuordnen. Weitere Informationen finden Sie in der SAP-Dokumentation zur Bereitstellung von Benutzern von Microsoft Azure AD zu SAP Cloud Identity Services – Identity Authentication.

  • Alternativ können Sie den Microsoft Entra-Bereitstellungsdienst verwenden, wenn Sie keine Gruppen in der Microsoft Entra-ID verwenden müssen. Erstellen Sie in diesem Szenario eine Anwendung, die SAP S/4HANA darstellt und weisen Sie Benutzern, die Zugriff auf SAP S/4HANA benötigen, dieser Anwendung zu. Dann konfigurieren Sie die automatische Benutzerbereitstellung mit Microsoft Entra ID für SAP Cloud Identity Services. Warten Sie, bis diese Benutzer in SAP Cloud Identity Services bereitgestellt werden und überprüfen Sie, ob sie über die für Ihr SAP S/4HANA-Ziel erforderlichen Attribute verfügen.

Hinweis

Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Überprüfen Sie, ob die Benutzer*innen über den richtigen Zugriff in SAP-Downstreamzielen verfügen, und stellen Sie sicher, dass sie nach der Anmeldung die richtigen Rollen aufweisen.

Schritt 4: Konfigurieren der Bereitstellung von SAP Cloud Identity Services in SAP S/4HANA

Verwenden Sie in diesem Schritt die SAP Cloud Identity Services Identity Provisioning, um SAP S/4HANA als Zielsystem zu konfigurieren, in dem Sie Benutzer und Gruppenmitglieder bereitstellen können. Die SAP S/4HANA Cloud finden Sie in der SAP-Dokumentation zur Bereitstellung in der SAP S/4HANA Cloud. Für SAP S/4HANA lokal und SAP S/4HANA Cloud, private Edition, siehe SAP S/4HANA lokal.

Schritt 5: Konfigurieren von Single Sign-On

Nachdem Sie die Bereitstellung für Benutzer in Ihren SAP-Anwendungen konfiguriert haben, sollten Sie einmaliges Anmelden für sie aktivieren. Microsoft Entra ID kann als Identitätsanbieter sowie als Authentifizierungsstelle für Ihre SAP-Anwendungen fungieren. Falls noch nicht geschehen, konfigurieren Sie die Microsoft Entra Single Sign-On(SSO)-Integration in SAP Cloud Identity Services.

Weitere Informationen zum Konfigurieren des einmaligen Anmeldens bei SAP SaaS und modernen Apps finden Sie unter Aktivieren von SSO.