Partager via


Gérer l’accès à vos applications SAP

Les logiciels et services SAP exécutent probablement des fonctions critiques, telles que RH et ERP, pour votre organisation. Dans le même temps, votre organisation s’appuie sur Microsoft pour différents services Azure, Microsoft 365 et Gouvernance Microsoft Entra ID pour la gestion de l’accès aux applications. Cet article explique comment utiliser Identity Governance pour gérer les identités entre vos applications SAP.

Diagramme des intégrations SAP.

Migrer à partir de SAP Identity Management

Si vous utilisez SAP Identity Management (IDM), vous pouvez migrer les scénarios de gestion des identités de SAP IDM vers Microsoft Entra. Pour plus d’informations, consultez Migrer des scénarios de gestion des identités de SAP IDM vers Microsoft Entra.

Intégrer les identités des ressources humaines dans Microsoft Entra ID

Le tutoriel Plan de déploiement Microsoft Entra pour l’approvisionnement d’utilisateurs avec des applications source et cible SAP montre comment connecter Microsoft Entra avec des sources faisant autorité pour la liste des travailleurs d’une organisation, comme SAP SuccessFactors. Il vous montre également comment utiliser Microsoft Entra pour configurer des identités pour ces travailleurs. Ensuite, vous allez apprendre à utiliser Microsoft Entra pour fournir aux travailleurs l’accès à une ou plusieurs applications SAP, telles que SAP ECC ou SAP S/4HANA.

SuccessFactors

Les clients qui utilisent SAP SuccessFactors peuvent facilement apporter des identités de SuccessFactors dans Microsoft Entra ID ou de SuccessFactors dans Active Directory local à l’aide de connecteurs natifs. Nous prenons en charge les scénarios de mise à jour corrective suivants :

  • Embauche de nouveaux employés : lorsqu’un nouvel employé est ajouté à SuccessFactors, un compte d’utilisateur est automatiquement créé dans Microsoft Entra ID et éventuellement dans Microsoft 365 et d’autres applications SaaS (software as a service) que Microsoft Entra ID prend en charge. Ce processus inclut l’écriture différée de l’adresse e-mail dans SuccessFactors.
  • Mises à jour du profil et des attributs de l’employé : quand le dossier d’un employé est mis à jour dans SuccessFactors (par exemple, le nom, la fonction ou le responsable), le compte d’utilisateur de l’employé est mis à jour automatiquement dans Microsoft Entra ID et éventuellement dans Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID.
  • Résiliations de contrats d’employés : quand le contrat d’un employé est résilié dans SuccessFactors, son compte d’utilisateur est désactivé automatiquement dans Microsoft Entra ID, et éventuellement dans Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID.
  • Réembauches d’employés : quand un employé est réembauché dans SuccessFactors, son ancien compte peut être automatiquement réactivé ou réapprovisionné (en fonction de ce que vous préférez) dans Microsoft Entra ID et éventuellement dans Microsoft 365 et d’autres applications SaaS prises en charge par Microsoft Entra ID.

Vous pouvez également mettre à jour à partir de Microsoft Entra ID dans SAP SuccessFactors.

SAP HCM

Les clients qui utilisent toujours SAP Human Capital Management (HCM) peuvent également intégrer des identités dans Microsoft Entra ID. À l’aide de SAP Integration Suite, vous pouvez synchroniser des listes de rôles de travail entre SAP HCM et SAP SuccessFactors. À partir de là, vous pouvez intégrer des identités directement dans Microsoft Entra ID ou les approvisionner dans Active Directory Domain Services, à l’aide des intégrations d’approvisionnement natives mentionnées précédemment.

Diagramme des intégrations RH SAP.

Fournir l’accès aux applications SAP

En plus des intégrations d’approvisionnement natives qui vous permettent de gérer l’accès à vos applications SAP, Microsoft Entra ID prend en charge un ensemble complet d’intégrations avec ces applications.

Activer l’authentification unique

En plus de la configuration de l’approvisionnement pour vos applications SAP, vous pouvez activer l’authentification unique pour celles-ci. Microsoft Entra ID peut servir de fournisseur d’identité et d’autorité d’authentification pour vos applications SAP. Microsoft Entra ID peut s’intégrer à SAP NetWeaver en utilisant SAML ou OAuth. Pour les applications SAP SaaS et modernes, découvrez comment configurer Microsoft Entra ID en tant que fournisseur d’identité d’entreprise pour vos applications SAP via SAP Cloud Identity Services.

Pour plus d’informations sur la configuration de l’authentification unique à partir de Microsoft Entra ID, consultez la documentation et les tutoriels suivants :

Consultez également les ressources SAP suivantes :

Provisionnez des identités dans des applications SAP modernes

Une fois que vos utilisateurs se trouvent dans Microsoft Entra ID, vous pouvez approvisionner des comptes dans les différentes applications SaaS et SAP locales auxquelles ils ont besoin d’accéder. Vous disposez de deux façons d’y parvenir :

  • Utilisez l’application d’entreprise SAP Cloud Identity Services dans Microsoft Entra ID pour provisionner des identités dans SAP Cloud Identity Services. Une fois que vous avez importé toutes les identités dans SAP Cloud Identity Services, vous pouvez utiliser SAP Cloud Identity Services - Identity Provisioning pour provisionner les comptes qui s’y trouvent dans vos applications, selon les besoins.
  • Utilisez l’intégration SAP Cloud Identity Services – Identity Provisioning pour exporter directement des identités Microsoft Entra ID vers applications intégrées SAP Cloud Identity Services. Lorsque vous utilisez SAP Cloud Identity Services – Identity Provisioning pour intégrer les utilisateurs à ces applications, toutes les configurations d’approvisionnement de ces applications sont gérées directement dans SAP. Vous pouvez toujours utiliser l’application d’entreprise dans Microsoft Entra ID pour gérer l’authentification unique et utiliser Microsoft Entra ID comme fournisseur d’identité d’entreprise.

Provisionner des identités dans des systèmes SAP locaux

Une fois que vous avez des utilisateurs dans Microsoft Entra ID, vous pouvez approvisionner ces utilisateurs de Microsoft Entra ID vers SAP Cloud Identity Services ou SAP ECC pour les permettre de se connecter aux applications SAP. Si vous avez SAP S/4HANA On-premise, approvisionnez les utilisateurs depuis Microsoft Entra ID vers SAP Cloud Identity Directory. SAP Cloud Identity Services approvisionne ensuite les utilisateurs provenant de Microsoft Entra ID qui se trouvent dans SAP Cloud Identity Directory dans les applications SAP en aval vers SAP S/4HANA sur site via le connecteur cloud SAP.

Les clients qui n’ont pas encore fait la transition depuis des applications comme SAP R/3 et SAP ERP Central Component (SAP ECC) vers SAP S/4HANA peuvent toujours s’appuyer sur le service d’approvisionnement Microsoft Entra pour approvisionner des comptes d’utilisateur. Dans SAP R/3 et SAP ECC, vous exposez les interfaces de programmation d’applications métier (BAPI) nécessaires pour créer, mettre à jour et supprimer des utilisateurs. Dans Microsoft Entra ID, vous avez deux options :

Vous pouvez également utiliser Microsoft Entra ID pour provisionner des workers dans Active Directory, ainsi que d’autres systèmes locaux que SAP Cloud Identity Services ne prend pas en charge pour l’approvisionnement.

Déclencher des flux de travail personnalisés

Quand un nouvel employé est embauché dans votre organisation, vous devrez peut-être déclencher un flux de travail au sein de vos systèmes locaux SAP pour des tâches supplémentaires au-delà de l’approvisionnement d’utilisateurs. En utilisant l’extensibilité des workflows de cycle de vie Microsoft Entra Logic Apps, ou l’extensibilité de la gestion des droits d’utilisation Microsoft Entra Logic Apps avec le connecteur SAP dans Azure Logic Apps, vous pouvez déclencher des actions personnalisées dans SAP lors de l’embauche d’un nouvel employé.

Vérifier la séparation des tâches

Avec les vérifications de séparation des tâches dans la gestion des droits d’utilisation Microsoft Entra, les clients peuvent désormais s’assurer que les utilisateurs n’ont pas de droits d’accès excessifs :

  • Les administrateurs et les gestionnaires d’accès peuvent empêcher les utilisateurs de demander des packages d’accès supplémentaires s’ils sont déjà affectés à d’autres packages d’accès ou s’ils sont membres d’autres groupes incompatibles avec l’accès demandé.
  • Les entreprises ayant des exigences réglementaires critiques pour les applications SAP disposent d’une vue unique et cohérente des contrôles d’accès. Ils peuvent ensuite appliquer des contrôles de séparation des tâches sur leurs applications financières et d’autres applications vitales pour l’entreprise, ainsi que les applications intégrées à Microsoft Entra.
  • Avec l’intégration à Pathlock et aux autres produits partenaire, les clients peuvent tirer parti des vérifications de séparation des tâches affinées avec des packages d’accès dans Gouvernance Microsoft Entra ID.

Conseils supplémentaires

Pour plus d’informations sur les intégrations SAP à Microsoft Entra ID, consultez la documentation suivante :

Étapes suivantes