Administración del acceso a las aplicaciones de SAP
Probablemente, SAP ejecute funciones críticas para su organización, como RR. HH. y ERP. Al mismo tiempo, su organización se basa en Microsoft para varios servicios de Azure, Microsoft 365 y Microsoft Entra ID Governance para administrar el acceso a las aplicaciones. En este artículo, se describe cómo puede usar Identity Governance para administrar identidades en las aplicaciones de SAP.
Incorporación de identidades de RR. HH. a Microsoft Entra ID
SuccessFactors
Los clientes que usan SAP SuccessFactors pueden incorporar fácilmente identidades de SuccessFactors a Microsoft Entra ID o de SuccessFactors a Active Directory local mediante conectores nativos. Los conectores admiten los siguientes escenarios:
- Contratación de nuevos empleados: cuando se agrega un nuevo empleado a SuccessFactors, se crea automáticamente una cuenta de usuario en Microsoft Entra ID y, de manera opcional, en Microsoft 365 y otras aplicaciones de software como servicio (SaaS) compatibles con Microsoft Entra ID. Este proceso incluye la escritura diferida de la dirección de correo electrónico en SuccessFactors.
- Actualizaciones de atributos y perfiles de empleados: si se actualiza un registro de empleado en SuccessFactors (por ejemplo, el nombre, el cargo o el jefe), su cuenta de usuario se actualiza automáticamente en Microsoft Entra ID y, de manera opcional, en Microsoft 365 y en otras aplicaciones SaaS compatibles con Microsoft Entra ID.
- Despidos de empleados: cuando se prescinde de un empleado en SuccessFactors, su cuenta de usuario se deshabilita automáticamente en Microsoft Entra ID y, de manera opcional, en Microsoft 365 y en otras aplicaciones SaaS compatibles con Microsoft Entra ID.
- Recontrataciones de empleados: cuando se vuelve a contratar a un empleado en SuccessFactors, se puede reactivar o volver a aprovisionar automáticamente su cuenta antigua (en función de las preferencias) en Microsoft Entra y, de manera opcional, en Microsoft 365 y en otras aplicaciones SaaS compatibles con Microsoft Entra ID.
También puede reescribir de Microsoft Entra ID a SAP SuccessFactors.
SAP HCM
Los clientes que todavía usan SAP Human Capital Management (HCM) también pueden incorporar identidades a Microsoft Entra ID. Con SAP Integration Suite, puede sincronizar listas de trabajos entre SAP HCM y SAP SuccessFactors. Desde allí, puede incorporar identidades directamente a Microsoft Entra ID o aprovisionarlas en Active Directory Domain Services, mediante las integraciones de aprovisionamiento nativas mencionadas anteriormente.
Proporcionar acceso a las aplicaciones SAP
Además de las integraciones de aprovisionamiento nativas que permiten administrar el acceso a las aplicaciones de SAP, Microsoft Entra ID admite un amplio conjunto de integraciones con dichas aplicaciones.
Habilitación de SSO
Al mismo tiempo que configura el aprovisionamiento para las aplicaciones SAP, puede habilitar el inicio de sesión único para ellas. Microsoft Entra ID puede actuar como proveedor de identidades y servir como la entidad de autenticación para las aplicaciones de SAP. Microsoft Entra ID se puede integrar con SAP NetWeaver mediante SAML o OAuth. En el caso de las aplicaciones SaaS modernas, Aprenda a configurar Microsoft Entra ID como proveedor de identidades corporativas para las aplicaciones de SAP.
Para obtener más información sobre cómo configurar el inicio de sesión único desde Microsoft Entra ID, consulte la siguiente documentación y tutoriales:
- SAP Cloud Identity Services
- SAP SuccessFactors
- SAP Analytics Cloud
- SAP Fiori
- SAP Qualtrics
- SAP Ariba
- SAP Concur Travel and Expense
- SAP Business Technology Platform
- SAP Business ByDesign
- SAP HANA
- SAP Cloud for Customer
- SAP Fieldglass
Vea también los recursos siguientes de SAP:
- Configuración de Azure Application Gateway del inicio de sesión único de SAML para direcciones URL de SAP públicas e internas
- Inicio de sesión único con Microsoft Entra Domain Services y Kerberos
Aprovisionamiento de identidades en aplicaciones SAP modernas
Una vez que los usuarios estén en Microsoft Entra ID, puede aprovisionar cuentas en las distintas aplicaciones SaaS y SAP locales a las que necesitan acceso. Tiene dos formas de lograrlo:
- Utilice la aplicación empresarial SAP Cloud Identity Services en Microsoft Entra ID para aprovisionar identidades en SAP Cloud Identity Services. Después de incorporar todas las identidades a SAP Cloud Identity Services, puede utilizar SAP Cloud Identity Services: Identity Provisioning para aprovisionar las cuentas desde allí en sus aplicaciones cuando sea necesario.
- Use la integración de SAP Cloud Identity Services - Identity Provisioning para exportar directamente identidades de Microsoft Entra ID a aplicaciones integradas de SAP Cloud Identity Services. Al usar SAP Cloud Identity Services: Identity Provisioning para incorporar usuarios en esas aplicaciones, toda la configuración de aprovisionamiento se administra directamente en SAP. Todavía puede usar la aplicación empresarial en Microsoft Entra ID para administrar el SSO y usar Microsoft Entra ID como proveedor de identidades corporativas.
Aprovisionamiento de identidades en sistemas SAP locales
Los clientes que aún tienen que realizar la transición de aplicaciones como SAP R/3 y SAP ERP Central Component (SAP ECC) a SAP S/4HANA todavía pueden confiar en el servicio de aprovisionamiento de Microsoft Entra para aprovisionar cuentas de usuario. En SAP R/3 y SAP ECC, usted expone las interfaces de programación de aplicaciones empresariales (BAPI, por sus siglas en inglés) necesarias para crear, actualizar y eliminar usuarios. En Microsoft Entra ID tiene dos opciones:
- Use el agente de aprovisionamiento ligero de Microsoft Entra y el conector de servicios web para aprovisionar usuarios en aplicaciones como SAP ECC.
- En escenarios en los que necesita implementar una administración de roles y grupos más complejos, use Microsoft Identity Manager para administrar el acceso a las aplicaciones SAP heredadas.
También puede usar Microsoft Entra ID para aprovisionar trabajadores en Active Directory, así como otros sistemas locales que SAP Cloud Identity Services no admite para el aprovisionamiento.
Desencadenar flujos de trabajo personalizados
Cuando se contrata a un nuevo empleado en su organización, es posible que tenga que desencadenar un flujo de trabajo dentro de los sistemas locales de SAP para tareas adicionales más allá del aprovisionamiento de usuarios. Mediante el uso de la extensibilidad de flujos de trabajo de ciclo de vida de Microsoft Entra Logic Apps, o la extensibilidad de administración de derechos de Microsoft Entra Logic Apps con el conector SAP en Azure Logic Apps, puede desencadenar acciones personalizadas en SAP al contratar a un nuevo empleado.
Compruebe la separación de las tareas
Con las comprobaciones de separación de tareas de la administración de derechos de Microsoft Entra, los clientes ahora pueden asegurarse de que los usuarios no adquieren derechos de acceso excesivos:
- Los administradores y los administradores de acceso pueden impedir que los usuarios soliciten paquetes de acceso adicionales si ya están asignados a otros paquetes de acceso o son miembros de otros grupos que no son compatibles con el acceso solicitado.
- Las empresas con requisitos regulatorias críticos para las aplicaciones de SAP tienen una vista única y consistente de los controles de acceso. Después, pueden aplicar comprobaciones de separación de tareas en sus aplicaciones financieras y otras aplicaciones críticas para la empresa, junto con las aplicaciones integradas en Microsoft Entra.
- Gracias a la integración con Pathlock y otros productos de asociados, los clientes pueden aprovechar las comprobaciones de separación de tareas específicas con paquetes de acceso en Gobierno de Microsoft Entra ID.
Instrucciones adicionales
Para obtener más información sobre las integraciones de SAP con Microsoft Entra ID, consulte la siguiente documentación:
- Protección del acceso con SAP Cloud Identity Services y Microsoft Entra ID
- Seguridad de cargas de trabajo de SAP: Marco de buena arquitectura de Microsoft Azure