Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tutorial se describen los pasos que debe realizar en SAP Cloud Identity Services y Microsoft Entra ID para configurar el aprovisionamiento automático de usuarios. Una vez configurado, Microsoft Entra ID aprovisiona y desaprovisiona de forma automática a los usuarios de SAP BTP mediante el servicio de aprovisionamiento de Microsoft Entra y SAP Cloud Identity Services. Para obtener detalles importantes sobre lo que hace el aprovisionamiento de Microsoft Entra, cómo funciona y las preguntas más frecuentes, consulte Automatizar el aprovisionamiento y desaprovisionamiento de usuarios a aplicaciones SaaS con Microsoft Entra ID.
Funcionalidades admitidas
- Crear usuarios en SAP BTP para habilitar el inicio de sesión único(SSO) en SAP BTP
- Eliminación de usuarios de SAP BTP cuando ya no necesiten acceso
- Mantenimiento de la sincronización de los atributos de usuario entre Microsoft Entra ID y SAP BTP
También puede administrar el acceso a las aplicaciones de SAP BTP utilizando Microsoft Entra ID Governance para asociar grupos a roles en la colección de roles BTP de la aplicación. Para obtener más información, consulte Administración del acceso a SAP BTP.
Requisitos previos
En el escenario descrito en este tutorial se supone que ya cuenta con los requisitos previos siguientes:
- Un inquilino de Microsoft Entra
- Uno de los siguientes roles: Administrador de aplicaciones, Administrador de aplicaciones en la nube o Propietario de la aplicación.
- Una aplicación de SAP BTP (entorno ABAP de SAP BTP o SAP BTP XS Advanced UAA Cloud Foundry)
- Inquilino de SAP Cloud Identity Services
- Una cuenta de usuario en la consola de administración de aprovisionamiento de identidades de SAP con permisos de administrador. Asegúrese de que tiene acceso a los sistemas proxy en la consola de administración de aprovisionamiento de identidades. Si no ve el icono Proxy Systems (Sistemas proxy), cree un incidente para el componente BC-IAM-IPS para solicitar acceso a este icono.
Paso 1: Planeación de la implementación de aprovisionamiento
Microsoft Entra dispone de conectores a SAP ECC, SAP Cloud Identity Services y SAP SuccessFactors. El aprovisionamiento en SAP BTP u otras aplicaciones requiere que los usuarios estén presentes primero en Microsoft Entra ID. Una vez que tengas usuarios en Microsoft Entra ID, puedes aprovisionar esos usuarios de Microsoft Entra ID a SAP Cloud Identity Services. A continuación, SAP Cloud Identity Services aprovisiona los usuarios procedentes de Microsoft Entra ID que se encuentran en SAP Cloud Identity Directory en las aplicaciones SAP de nivel inferior, incluidos SAP BTP ABAP environmentSAP BTP XS Advanced UAA (Cloud Foundry) y otros.
Paso 2: Asegúrese de que tiene los usuarios adecuados en Microsoft Entra ID
Puede usar la entrada de HR desde orígenes como SuccessFactors para mantener actualizada la lista de usuarios en Microsoft Entra ID a medida que los empleados se unen, se mueven y salen. Si planea usar grupos o asignaciones de roles de aplicación para definir el ámbito de quién puede acceder a SAP 'SAP BTP o qué roles tendrán, y el inquilino tiene una licencia de gobernanza de Microsoft Entra ID, también puede automatizar los cambios en las asignaciones de roles de aplicación en Microsoft Entra ID para aplicaciones que representan SAP Cloud Identity Services o SAP BTP. Para obtener más información sobre cómo realizar la separación de tareas y otras comprobaciones de cumplimiento antes del aprovisionamiento, consulte Migrar escenarios de administración del ciclo de vida de acceso.
Para obtener instrucciones paso a paso sobre el ciclo de vida de la identidad con las aplicaciones SAP como destino, consulte Planificar la implementación de Microsoft Entra para el aprovisionamiento de usuarios con aplicaciones de origen y destino SAP.
Paso 3: Configurar el aprovisionamiento de Microsoft Entra ID a SAP Cloud Identity Services
Para preparar el aprovisionamiento de usuarios en SAP BTP u otras aplicaciones SAP integradas con SAP Cloud Identity Services, confirme que SAP Cloud Identity Services tiene las asignaciones de esquema necesarias para esas aplicaciones. A continuación, configure Microsoft Entra ID para aprovisionar usuarios en SAP Cloud Identity Services. SAP Cloud Identity Services aprovisionará posteriormente a los usuarios en las aplicaciones SAP de nivel inferior según sea necesario.
Hay dos maneras de aprovisionar usuarios de Microsoft Entra en SAP Cloud Identity Services.
Si va a usar grupos de Microsoft Entra ID, como asignar usuarios a roles en la nube de SAP BTP, use el aprovisionamiento de SAP Cloud Identity Services. En primer lugar, cree grupos de Microsoft Entra para los roles empresariales de SAP usados en SAP Analytics Cloud. A continuación, en el aprovisionamiento de SAP Cloud Identity Services, configure Microsoft Entra ID como origen para traer usuarios y grupos de Microsoft Entra ID a SAP Cloud Identity Services y asignar los grupos creados a los roles empresariales de SAP. Para obtener más información, consulte la documentación de SAP sobre el aprovisionamiento de usuarios de Microsoft Azure AD a SAP Cloud Identity Services - Identity Authentication.
Como alternativa, si no necesita usar grupos en Microsoft Entra ID, puede usar el servicio de aprovisionamiento de Microsoft Entra. En este escenario, cree una aplicación que represente SAP BTP y asigne usuarios que necesiten acceso a SAP BTP a esa aplicación. A continuación, configure el aprovisionamiento automático de usuarios con Microsoft Entra ID a SAP Cloud Identity Services. Espere a que esos usuarios se aprovisionen en SAP Cloud Identity Services y compruebe que tienen los atributos necesarios para el destino de SAP BTP.
Nota:
Empiece por algo pequeño. Pruebe con un pequeño conjunto de usuarios y grupos antes de implementarlo en todos. Compruebe que los usuarios tienen el acceso correcto en los destinos de nivel inferior de SAP y que, cuando inician sesión, tienen los roles correctos.
Paso 4: Configurar el aprovisionamiento de SAP Cloud Identity Services a SAP BTP
En este paso, use el aprovisionamiento de identidades de SAP Cloud Identity Services para configurar SAP BTP como sistema de destino, donde puede aprovisionar usuarios y miembros del grupo. Para el entorno ABAP de SAP BTP, consulte la documentación de SAP sobre el aprovisionamiento en el entorno ABAP de SAP BTP. Para SAP BTP XS Advanced UAA (Cloud Foundry), consulte la documentación de SAP sobre el aprovisionamiento en SAP BTP XS Advanced UAA (Cloud Foundry).
Paso 5: Configurar el inicio de sesión único
Después de configurar el aprovisionamiento para los usuarios en las aplicaciones SAP, debe habilitar el inicio de sesión único para ellos. Microsoft Entra ID se puede servir como proveedor de identidad y entidad de autenticación para sus aplicaciones SAP, y puede proporcionar membresías de grupo en las declaraciones. Si aún no lo ha hecho, configure la integración del inicio de sesión único (SSO) de Microsoft Entra con SAP Cloud Identity Services.
Para obtener más información sobre cómo configurar el inicio de sesión único en SAP SaaS y aplicaciones modernas, consulte Habilitar inicio de sesión único.