Les logiciels et services SAP exécutent probablement des fonctions critiques, telles que RH et ERP, pour votre organisation. Dans le même temps, votre organisation s’appuie sur Microsoft pour différents services Azure, Microsoft 365 et Gouvernance Microsoft Entra ID pour la gestion de l’accès aux applications. Cet article explique comment utiliser Identity Governance pour gérer les identités entre vos applications SAP.
Intégrer les identités des ressources humaines dans Microsoft Entra ID
Le tutoriel Plan de déploiement Microsoft Entra pour l’approvisionnement d’utilisateurs avec des applications source et cible SAP montre comment connecter Microsoft Entra avec des sources faisant autorité pour la liste des travailleurs d’une organisation, comme SAP SuccessFactors. Il vous montre également comment utiliser Microsoft Entra pour configurer des identités pour ces travailleurs. Ensuite, vous allez apprendre à utiliser Microsoft Entra pour fournir aux travailleurs l’accès à une ou plusieurs applications SAP, telles que SAP ECC ou SAP S/4HANA.
Embauche de nouveaux employés : lorsqu’un nouvel employé est ajouté à SuccessFactors, un compte d’utilisateur est automatiquement créé dans Microsoft Entra ID et éventuellement dans Microsoft 365 et d’autres applications SaaS (software as a service) que Microsoft Entra ID prend en charge. Ce processus inclut l’écriture différée de l’adresse e-mail dans SuccessFactors.
Mises à jour du profil et des attributs de l’employé : quand le dossier d’un employé est mis à jour dans SuccessFactors (par exemple, le nom, la fonction ou le responsable), le compte d’utilisateur de l’employé est mis à jour automatiquement dans Microsoft Entra ID et éventuellement dans Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID.
Résiliations de contrats d’employés : quand le contrat d’un employé est résilié dans SuccessFactors, son compte d’utilisateur est désactivé automatiquement dans Microsoft Entra ID, et éventuellement dans Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID.
Réembauches d’employés : quand un employé est réembauché dans SuccessFactors, son ancien compte peut être automatiquement réactivé ou réapprovisionné (en fonction de ce que vous préférez) dans Microsoft Entra ID et éventuellement dans Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID.
Les clients qui utilisent toujours SAP Human Capital Management (HCM) peuvent également intégrer des identités dans Microsoft Entra ID. À l’aide de SAP Integration Suite, vous pouvez synchroniser des listes de rôles de travail entre SAP HCM et SAP SuccessFactors. À partir de là, vous pouvez intégrer des identités directement dans Microsoft Entra ID ou les approvisionner dans Active Directory Domain Services, à l’aide des intégrations d’approvisionnement natives mentionnées précédemment.
Fournir l’accès aux applications SAP
En plus des intégrations d’approvisionnement natives qui vous permettent de gérer l’accès à vos applications SAP, Microsoft Entra ID prend en charge un ensemble complet d’intégrations avec ces applications.
Pour plus d’informations sur la configuration de l’authentification unique à partir de Microsoft Entra ID, consultez la documentation et les tutoriels suivants :
Provisionnez des identités dans des applications SAP modernes
Une fois que vos utilisateurs se trouvent dans Microsoft Entra ID, vous pouvez approvisionner des comptes dans les différentes applications SaaS et SAP locales auxquelles ils ont besoin d’accéder. Vous disposez de deux façons d’y parvenir :
Utilisez l’application d’entreprise SAP Cloud Identity Services dans Microsoft Entra ID pour provisionner des identités dans SAP Cloud Identity Services. Une fois que vous avez importé toutes les identités dans SAP Cloud Identity Services, vous pouvez utiliser SAP Cloud Identity Services - Identity Provisioning pour provisionner les comptes qui s’y trouvent dans vos applications, selon les besoins.
Provisionner des identités dans des systèmes SAP locaux
Une fois que vous avez des utilisateurs dans Microsoft Entra ID, vous pouvez approvisionner ces utilisateurs de Microsoft Entra ID vers SAP Cloud Identity Services ou SAP ECC pour les permettre de se connecter aux applications SAP. Si vous avez SAP S/4HANA On-premise, approvisionnez les utilisateurs depuis Microsoft Entra ID vers SAP Cloud Identity Directory. SAP Cloud Identity Services approvisionne ensuite les utilisateurs provenant de Microsoft Entra ID qui se trouvent dans SAP Cloud Identity Directory dans les applications SAP en aval vers SAP S/4HANA sur site via le connecteur cloud SAP.
Les clients qui n’ont pas encore fait la transition depuis des applications comme SAP R/3 et SAP ERP Central Component (SAP ECC) vers SAP S/4HANA peuvent toujours s’appuyer sur le service d’approvisionnement Microsoft Entra pour approvisionner des comptes d’utilisateur. Dans SAP R/3 et SAP ECC, vous exposez les interfaces de programmation d’applications métier (BAPI) nécessaires pour créer, mettre à jour et supprimer des utilisateurs. Dans Microsoft Entra ID, vous avez deux options :
Dans les scénarios où vous devez effectuer une gestion plus complexe des groupes et des rôles, utilisez la Microsoft Identity Manager pour gérer l’accès à vos applications SAP héritées.
Vous pouvez également utiliser Microsoft Entra ID pour provisionner des workers dans Active Directory, ainsi que d’autres systèmes locaux que SAP Cloud Identity Services ne prend pas en charge pour l’approvisionnement.
Avec les vérifications de séparation des tâches dans la gestion des droits d’utilisation Microsoft Entra, les clients peuvent désormais s’assurer que les utilisateurs n’ont pas de droits d’accès excessifs :
Les administrateurs et les gestionnaires d’accès peuvent empêcher les utilisateurs de demander des packages d’accès supplémentaires s’ils sont déjà affectés à d’autres packages d’accès ou s’ils sont membres d’autres groupes incompatibles avec l’accès demandé.
Les entreprises ayant des exigences réglementaires critiques pour les applications SAP disposent d’une vue unique et cohérente des contrôles d’accès. Ils peuvent ensuite appliquer des contrôles de séparation des tâches sur leurs applications financières et d’autres applications vitales pour l’entreprise, ainsi que les applications intégrées à Microsoft Entra.
Avec les intégrations de Microsoft Entra à SAP Access Governance, à Pathlock et à d’autres produits partenaires, les clients peuvent tirer parti des vérifications affinées de séparation des tâches et de risques supplémentaires appliquées dans ces produits, avec des packages d’accès dans la Gouvernance Microsoft Entra ID.
Conseils supplémentaires
Pour plus d’informations sur les intégrations SAP à Microsoft Entra ID, consultez la documentation suivante :
Faites la démonstration de la planification, la migration et l’exploitation d’une solution SAP sur Microsoft Azure, tout en tirant parti des ressources Azure.