Tutorial: Configuración de Microsoft Entra ID y SAP Cloud Identity Services para el aprovisionamiento automático de usuarios a SAP Concur
En este tutorial se describen los pasos que debe realizar en SAP Cloud Identity Services y Microsoft Entra ID para configurar el aprovisionamiento automático de usuarios. Una vez configurado, Microsoft Entra ID aprovisiona y desaprovisiona de forma automática a los usuarios de SAP Concur mediante el servicio de aprovisionamiento de Microsoft Entra y SAP Cloud Identity Services. Para obtener detalles importantes sobre lo que hace el aprovisionamiento de Microsoft Entra, cómo funciona y las preguntas más frecuentes, consulte Automatizar el aprovisionamiento y desaprovisionamiento de usuarios a aplicaciones SaaS con Microsoft Entra ID.
Funcionalidades admitidas
- Creación de usuarios en SAP Concur para habilitar el inicio de sesión único en SAP Concur
- Quitar usuarios de SAP Concur cuando ya no necesiten acceso
- Mantenimiento de la sincronización de los atributos de usuario entre Microsoft Entra ID y SAP Concur
Requisitos previos
En el escenario descrito en este tutorial se supone que ya cuenta con los requisitos previos siguientes:
- Un inquilino de Microsoft Entra
- Uno de los siguientes roles: Administrador de aplicaciones, Administrador de aplicaciones en la nube o Propietario de la aplicación.
- SAP Concur
- Inquilino de SAP Cloud Identity Services
- Una cuenta de usuario en la consola de administración de aprovisionamiento de identidades de SAP con permisos de administrador. Asegúrese de que tiene acceso a los sistemas proxy en la consola de administración de aprovisionamiento de identidades. Si no ve el icono Proxy Systems (Sistemas proxy), cree un incidente para el componente BC-IAM-IPS para solicitar acceso a este icono.
Paso 1: Planeación de la implementación de aprovisionamiento
Microsoft Entra dispone de conectores a SAP ECC, SAP Cloud Identity Services y SAP SuccessFactors. El aprovisionamiento en SAP Concur u otras aplicaciones requiere que los usuarios estén presentes primero en Microsoft Entra ID. Una vez que tengas usuarios en Microsoft Entra ID, puedes aprovisionar esos usuarios de Microsoft Entra ID a SAP Cloud Identity Services. A continuación, SAP Cloud Identity Services aprovisiona los usuarios procedentes de Microsoft Entra ID que se encuentran en SAP Cloud Identity Directory en las aplicaciones SAP de nivel inferior, incluidos SAP Concur y otros.
Paso 2: Asegúrese de que tiene los usuarios adecuados en Microsoft Entra ID
Puede usar la entrada de HR desde orígenes como SuccessFactors para mantener actualizada la lista de usuarios en Microsoft Entra ID a medida que los empleados se unen, se mueven y salen. Si planea usar grupos o asignaciones de roles de aplicación para definir el ámbito de quién puede acceder a SAP Concur o qué roles tendrán, y el inquilino tiene una licencia de gobernanza de Microsoft Entra ID, también puede automatizar los cambios en las asignaciones de roles de aplicación en Microsoft Entra ID para aplicaciones que representan SAP Cloud Identity Services o SAP Concur. Para obtener más información sobre cómo realizar la separación de tareas y otras comprobaciones de cumplimiento antes del aprovisionamiento, consulte Migrar escenarios de administración del ciclo de vida de acceso.
Para obtener instrucciones paso a paso sobre el ciclo de vida de la identidad con las aplicaciones SAP como destino, consulte Planificar la implementación de Microsoft Entra para el aprovisionamiento de usuarios con aplicaciones de origen y destino SAP.
Paso 3: Configurar el aprovisionamiento de Microsoft Entra ID a SAP Cloud Identity Services
Para preparar el aprovisionamiento de usuarios en SAP Concur u otras aplicaciones SAP integradas con SAP Cloud Identity Services, confirme que SAP Cloud Identity Services tiene las asignaciones de esquema necesarias para esas aplicaciones. A continuación, configure Microsoft Entra ID para aprovisionar usuarios en SAP Cloud Identity Services. SAP Cloud Identity Services aprovisionará posteriormente a los usuarios en las aplicaciones SAP de nivel inferior según sea necesario.
Hay dos maneras de aprovisionar usuarios de Microsoft Entra en SAP Cloud Identity Services.
Si va a usar grupos de Microsoft Entra ID, como asignar usuarios a roles en la nube de SAP Concur, use el aprovisionamiento de SAP Cloud Identity Services. En primer lugar, cree grupos de Microsoft Entra para los roles empresariales de SAP usados en SAP Analytics Cloud. A continuación, en el aprovisionamiento de SAP Cloud Identity Services, configure Microsoft Entra ID como origen para traer usuarios y grupos de Microsoft Entra ID a SAP Cloud Identity Services y asignar los grupos creados a los roles empresariales de SAP. Para obtener más información, consulte la documentación de SAP sobre el aprovisionamiento de usuarios de Microsoft Azure AD a SAP Cloud Identity Services - Identity Authentication.
Como alternativa, si no necesita usar grupos en Microsoft Entra ID, puede usar el servicio de aprovisionamiento de Microsoft Entra. En este escenario, cree una aplicación que represente SAP Concur y asigne usuarios que necesiten acceso a SAP Concur a esa aplicación. A continuación, configure el aprovisionamiento automático de usuarios con Microsoft Entra ID a SAP Cloud Identity Services. Espere a que esos usuarios se aprovisionen en SAP Cloud Identity Services y compruebe que tienen los atributos necesarios para el destino de SAP Concur.
Nota:
Empieza por algo pequeño. Pruebe con un pequeño conjunto de usuarios y grupos antes de implementarlo en todos. Compruebe que los usuarios tienen el acceso correcto en los destinos de nivel inferior de SAP y que, cuando inician sesión, tienen los roles correctos.
Paso 4: Configurar el aprovisionamiento de SAP Cloud Identity Services a SAP Concur
En este paso, use el aprovisionamiento de identidades de SAP Cloud Identity Services para configurar SAP Concur como sistema de destino, donde puede aprovisionar usuarios y miembros del grupo. Para SAP Concur, consulte la documentación de SAP sobre el aprovisionamiento en SAP Concur.
Paso 5: Configurar el inicio de sesión único
Después de configurar el aprovisionamiento para los usuarios en las aplicaciones SAP, debe habilitar el inicio de sesión único para ellos. Microsoft Entra ID puede actuar como proveedor de identidades y entidad de autenticación para las aplicaciones SAP. Si aún no lo ha hecho, configure la integración del inicio de sesión único (SSO) de Microsoft Entra con SAP Cloud Identity Services.
Para obtener más información sobre cómo configurar el inicio de sesión único en SAP SaaS y aplicaciones modernas, consulte Habilitar inicio de sesión único.