Administración del acceso a las aplicaciones de SAP
Artículo
Es probable que el software y los servicios de SAP ejecuten funciones críticas para su organización, como RR. HH. y ERP. Al mismo tiempo, su organización se basa en Microsoft para varios servicios de Azure, Microsoft 365 y Microsoft Entra ID Governance para administrar el acceso a las aplicaciones. En este artículo, se describe cómo puede usar Identity Governance para administrar identidades en las aplicaciones de SAP.
Incorporación de identidades de RR. HH. a Microsoft Entra ID
En el tutorial Planear la implementación de Microsoft Entra para el aprovisionamiento de usuarios con aplicaciones de origen y destino de SAP se muestra cómo conectar Microsoft Entra con orígenes autoritativos para la lista de trabajadores de una organización, como SAP SuccessFactors. También muestra cómo usar Microsoft Entra para configurar identidades para esos trabajadores. A continuación, aprenderá a usar Microsoft Entra para proporcionar a los trabajadores acceso para iniciar sesión en una o varias aplicaciones de SAP, como SAP ECC o SAP S/4HANA.
Contratación de nuevos empleados: cuando se agrega un nuevo empleado a SuccessFactors, se crea automáticamente una cuenta de usuario en Microsoft Entra ID y, de manera opcional, en Microsoft 365 y otras aplicaciones de software como servicio (SaaS) compatibles con Microsoft Entra ID. Este proceso incluye la escritura diferida de la dirección de correo electrónico en SuccessFactors.
Actualizaciones de atributos y perfiles de empleados: si se actualiza un registro de empleado en SuccessFactors (por ejemplo, el nombre, el cargo o el jefe), su cuenta de usuario se actualiza automáticamente en Microsoft Entra ID y, de manera opcional, en Microsoft 365 y en otras aplicaciones SaaS compatibles con Microsoft Entra ID.
Despidos de empleados: cuando se prescinde de un empleado en SuccessFactors, su cuenta de usuario se deshabilita automáticamente en Microsoft Entra ID y, de manera opcional, en Microsoft 365 y en otras aplicaciones SaaS compatibles con Microsoft Entra ID.
Recontrataciones de empleados: cuando se vuelve a contratar a un empleado en SuccessFactors, se puede reactivar o volver a aprovisionar automáticamente su cuenta antigua (en función de las preferencias) en Microsoft Entra y, de manera opcional, en Microsoft 365 y en otras aplicaciones SaaS compatibles con Microsoft Entra ID.
Los clientes que todavía usan SAP Human Capital Management (HCM) también pueden incorporar identidades a Microsoft Entra ID. Con SAP Integration Suite, puede sincronizar listas de trabajos entre SAP HCM y SAP SuccessFactors. Desde allí, puedes incorporar identidades directamente a Microsoft Entra ID o aprovisionarlas en Active Directory Domain Services, mediante las integraciones de aprovisionamiento nativas mencionadas anteriormente.
Proporcionar acceso a las aplicaciones SAP
Además de las integraciones de aprovisionamiento nativas que permiten administrar el acceso a las aplicaciones de SAP, Microsoft Entra ID admite un amplio conjunto de integraciones con dichas aplicaciones.
Para obtener más información sobre cómo configurar el inicio de sesión único desde Microsoft Entra ID, consulte la siguiente documentación y tutoriales:
Aprovisionamiento de identidades en aplicaciones SAP modernas
Una vez que los usuarios estén en Microsoft Entra ID, puede aprovisionar cuentas en las distintas aplicaciones SaaS y SAP locales a las que necesitan acceso. Tiene dos formas de lograrlo:
Utilice la aplicación empresarial SAP Cloud Identity Services en Microsoft Entra ID para aprovisionar identidades en SAP Cloud Identity Services. Después de incorporar todas las identidades a SAP Cloud Identity Services, puede utilizar SAP Cloud Identity Services: Identity Provisioning para aprovisionar las cuentas desde allí en sus aplicaciones cuando sea necesario.
Aprovisionamiento de identidades en sistemas SAP locales
Una vez que tenga usuarios en Microsoft Entra ID, puede aprovisionar esos usuarios de Microsoft Entra ID a SAP Cloud Identity Services o SAP ECC, para permitir que inicien sesión en las aplicaciones SAP. Si tiene SAP S/4HANA On-premise, aprovisione usuarios de Microsoft Entra ID en SAP Directorio de Identidad en la nube. A continuación, SAP Cloud Identity Services aprovisiona los usuarios que se originan en Microsoft Entra ID que se encuentran en SAP Cloud Identity Directory en las aplicaciones SAP de bajada a SAP S/4HANA Local a través del conector en la nube de SAP.
Los clientes que aún tienen que realizar la transición de aplicaciones como SAP R/3 y SAP ERP Central Component (SAP ECC) a SAP S/4HANA todavía pueden confiar en el servicio de aprovisionamiento de Microsoft Entra para aprovisionar cuentas de usuario. En SAP R/3 y SAP ECC, usted expone las interfaces de programación de aplicaciones empresariales (BAPI, por sus siglas en inglés) necesarias para crear, actualizar y eliminar usuarios. En Microsoft Entra ID tiene dos opciones:
En escenarios en los que necesita implementar una administración de roles y grupos más complejos, use Microsoft Identity Manager para administrar el acceso a las aplicaciones SAP heredadas.
También puede usar Microsoft Entra ID para aprovisionar trabajadores en Active Directory, así como otros sistemas locales que SAP Cloud Identity Services no admite para el aprovisionamiento.
Con las comprobaciones de separación de tareas de la administración de derechos de Microsoft Entra, los clientes ahora pueden asegurarse de que los usuarios no adquieren derechos de acceso excesivos:
Los administradores y los administradores de acceso pueden impedir que los usuarios soliciten paquetes de acceso adicionales si ya están asignados a otros paquetes de acceso o son miembros de otros grupos que no son compatibles con el acceso solicitado.
Las empresas con requisitos regulatorias críticos para las aplicaciones de SAP tienen una vista única y consistente de los controles de acceso. Después, pueden aplicar comprobaciones de separación de tareas en sus aplicaciones financieras y otras aplicaciones críticas para la empresa, junto con las aplicaciones integradas en Microsoft Entra.
Con las integraciones de Microsoft Entra para Gobierno de acceso SAP, para Pathlock y para otros productos asociados, los clientes pueden aprovechar los riesgos adicionales y las comprobaciones de separación de tareas específicas que se aplican en esos productos, con paquetes de acceso en gobierno de Microsoft Entra ID.
Instrucciones adicionales
Para obtener más información sobre las integraciones de SAP con Microsoft Entra ID, consulte la siguiente documentación: