Mengelola akses ke aplikasi SAP Anda
Perangkat lunak dan layanan SAP kemungkinan menjalankan fungsi penting, seperti HR dan ERP, untuk organisasi Anda. Pada saat yang sama, organisasi Anda bergantung pada Microsoft untuk berbagai layanan Azure, Microsoft 365, dan Tata Kelola ID Microsoft Entra untuk mengelola akses ke aplikasi. Artikel ini menjelaskan bagaimana Anda dapat menggunakan Identity Governance untuk mengelola identitas di seluruh aplikasi SAP Anda.
Migrasi dari Manajemen Identitas SAP
Jika Anda telah menggunakan SAP Identity Management (IDM), maka Anda dapat memigrasikan skenario manajemen identitas dari SAP IDM ke Microsoft Entra. Untuk informasi selengkapnya, lihat Memigrasikan skenario manajemen identitas dari SAP IDM ke Microsoft Entra.
Membawa identitas dari HR ke ID Microsoft Entra
Rencana tutorial menyebarkan Microsoft Entra untuk provisi pengguna dengan aplikasi sumber dan target SAP menggambarkan cara menghubungkan Microsoft Entra dengan sumber otoritatif untuk daftar pekerja di organisasi, seperti SAP SuccessFactors. Ini juga menunjukkan kepada Anda cara menggunakan Microsoft Entra untuk menyiapkan identitas untuk pekerja tersebut. Kemudian Anda mempelajari cara menggunakan Microsoft Entra untuk memberi pekerja akses untuk masuk ke satu atau beberapa aplikasi SAP, seperti SAP ECC atau SAP S/4HANA.
SuccessFactors
Pelanggan yang menggunakan SAP SuccessFactors dapat dengan mudah membawa identitas dari SuccessFactors ke MICROSOFT Entra ID atau dari SuccessFactors ke Active Directory lokal dengan menggunakan konektor asli. Konektor mendukung skenario berikut:
- Mempekerjakan karyawan baru: Saat karyawan baru ditambahkan ke SuccessFactors, akun pengguna secara otomatis dibuat di ID Microsoft Entra dan secara opsional Microsoft 365 dan aplikasi perangkat lunak sebagai layanan (SaaS) lainnya yang didukung ID Microsoft Entra. Proses ini mencakup write-back alamat email ke SuccessFactors.
- Pembaruan atribut dan profil karyawan: Saat catatan karyawan diperbarui di SuccessFactors (seperti nama, judul, atau manajer), akun pengguna karyawan secara otomatis diperbarui di ID Microsoft Entra dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung MICROSOFT Entra ID.
- Penghentian karyawan: Saat karyawan dihentikan di SuccessFactors, akun pengguna karyawan secara otomatis dinonaktifkan di ID Microsoft Entra dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung MICROSOFT Entra ID.
- Daur ulang karyawan: Ketika karyawan di-rehired di SuccessFactors, akun lama karyawan dapat diaktifkan kembali atau diprovisikan ulang secara otomatis (tergantung pada preferensi Anda) ke ID Microsoft Entra dan secara opsional Microsoft 365 dan aplikasi SaaS lainnya yang didukung ID Microsoft Entra.
Anda juga dapat menulis kembali dari ID Microsoft Entra ke SAP SuccessFactors.
SAP HCM
Pelanggan yang masih menggunakan SAP Human Capital Management (HCM) juga dapat membawa identitas ke dalam ID Microsoft Entra. Dengan menggunakan SAP Integration Suite, Anda dapat menyinkronkan daftar pekerja antara SAP HCM dan SAP SuccessFactors. Dari sana, Anda dapat membawa identitas langsung ke MICROSOFT Entra ID atau memprovisikannya ke Active Directory Domain Services dengan menggunakan integrasi provisi asli yang disebutkan sebelumnya.
Menyediakan akses ke aplikasi SAP
Selain integrasi provisi asli yang memungkinkan Anda mengelola akses ke aplikasi SAP Anda, MICROSOFT Entra ID mendukung serangkaian integrasi yang kaya dengan aplikasi tersebut.
Mengaktifkan SSO
Seiring dengan menyiapkan provisi untuk aplikasi SAP Anda, Anda dapat mengaktifkan SSO untuk aplikasi tersebut. ID Microsoft Entra dapat berfungsi sebagai penyedia identitas dan berfungsi sebagai otoritas autentikasi untuk aplikasi SAP Anda. MICROSOFT Entra ID dapat diintegrasikan dengan SAP NetWeaver menggunakan SAML atau OAuth. Untuk SAP SaaS dan aplikasi modern, pelajari cara mengonfigurasi ID Microsoft Entra sebagai penyedia identitas perusahaan untuk aplikasi SAP Anda melalui SAP Cloud Identity Services.
Untuk informasi selengkapnya tentang cara mengonfigurasi akses menyeluruh dari ID Microsoft Entra, lihat dokumentasi dan tutorial berikut:
- SAP Cloud Identity Services
- SAP SuccessFactors
- SAP Analytics Cloud
- SAP Fiori
- SAP Ariba
- Perjalanan dan Pengeluaran SAP Concur
- Platform Teknologi Bisnis SAP
- SAP Business ByDesign
- SAP HANA
- SAP Cloud for Customer
- SAP Fieldglass
Lihat juga sumber daya SAP berikut:
- Penyiapan Azure Application Gateway Akses Menyeluruh SAML untuk URL SAP Publik dan Internal
- Akses menyeluruh menggunakan Microsoft Entra Domain Services dan Kerberos
Memprovisikan identitas ke dalam aplikasi SAP modern
Setelah pengguna Anda berada di ID Microsoft Entra, Anda dapat memprovisikan akun ke dalam berbagai aplikasi SaaS dan SAP lokal yang perlu mereka akses. Anda memiliki dua cara untuk mencapai hal ini:
- Gunakan aplikasi perusahaan SAP Cloud Identity Services di MICROSOFT Entra ID untuk memprovisikan identitas ke dalam SAP Cloud Identity Services. Setelah Membawa semua identitas ke SAP Cloud Identity Services, Anda dapat menggunakan SAP Cloud Identity Services - Penyediaan Identitas untuk memprovisikan akun dari sana ke dalam aplikasi Anda jika diperlukan.
- Gunakan SAP Cloud Identity Services - Integrasi Provisi Identitas untuk mengekspor identitas secara langsung dari ID Microsoft Entra ke dalam aplikasi terintegrasi SAP Cloud Identity Services. Saat Anda menggunakan SAP Cloud Identity Services - Penyediaan Identitas untuk membawa pengguna ke dalam aplikasi tersebut, semua konfigurasi provisi untuk aplikasi tersebut dikelola di SAP secara langsung. Anda masih dapat menggunakan aplikasi perusahaan di MICROSOFT Entra ID untuk mengelola SSO dan menggunakan ID Microsoft Entra sebagai penyedia identitas perusahaan.
Memprovisikan identitas ke dalam sistem SAP lokal
Setelah Anda memiliki pengguna di ID Microsoft Entra, Anda dapat memprovisikan pengguna tersebut dari ID Microsoft Entra ke SAP Cloud Identity Services atau SAP ECC, untuk memungkinkan mereka masuk ke aplikasi SAP. Jika Anda memiliki SAP S/4HANA On-premise, maka provisikan pengguna dari ID Microsoft Entra ke SAP Cloud Identity Directory. SAP Cloud Identity Services kemudian memprovisikan pengguna yang berasal dari ID Microsoft Entra yang berada di Direktori Identitas Cloud SAP ke dalam aplikasi SAP hilir ke SAP S/4HANA Lokal melalui konektor cloud SAP.
Pelanggan yang belum beralih dari aplikasi seperti SAP R/3 dan Komponen Pusat SAP ERP (SAP ECC) ke SAP S/4HANA masih dapat mengandalkan layanan provisi Microsoft Entra untuk memprovisikan akun pengguna. Dalam SAP R/3 dan SAP ECC, Anda mengekspos Antarmuka Pemrograman Aplikasi Bisnis (BAPI) yang diperlukan untuk membuat, memperbarui, dan menghapus pengguna. Dalam ID Microsoft Entra, Anda memiliki dua opsi:
- Gunakan agen provisi Microsoft Entra ringan dan konektor layanan web untuk memprovisikan pengguna ke dalam aplikasi seperti SAP ECC.
- Dalam skenario di mana Anda perlu melakukan manajemen grup dan peran yang lebih kompleks, gunakan Microsoft Identity Manager untuk mengelola akses ke aplikasi SAP warisan Anda.
Anda juga dapat menggunakan ID Microsoft Entra untuk memprovisikan pekerja ke Direktori Aktif, serta sistem lokal lainnya yang tidak didukung SAP Cloud Identity Services untuk provisi.
Memicu alur kerja kustom
Saat karyawan baru dipekerjakan di organisasi Anda, Anda mungkin perlu memicu alur kerja dalam sistem lokal SAP Anda untuk tugas tambahan di luar provisi pengguna. Dengan menggunakan ekstensibilitas Logic Apps alur kerja siklus hidup Microsoft Entra, atau ekstensibilitas Logic Apps pengelolaan pemberian izin Microsoft Entra dengan konektor SAP di Azure Logic Apps, Anda dapat memicu tindakan kustom di SAP setelah mempekerjakan karyawan baru.
Periksa pemisahan tugas
Dengan pemeriksaan pemisahan tugas dalam pengelolaan pemberian hak Microsoft Entra, pelanggan dapat memastikan bahwa pengguna tidak mengambil hak akses yang berlebihan:
- Admin dan manajer akses dapat mencegah pengguna meminta paket akses tambahan jika mereka sudah ditetapkan ke paket akses lain atau merupakan anggota grup lain yang tidak kompatibel dengan akses yang diminta.
- Perusahaan dengan persyaratan peraturan penting untuk aplikasi SAP memiliki satu tampilan kontrol akses yang konsisten. Mereka kemudian dapat memberlakukan pemeriksaan pemisahan tugas di seluruh aplikasi keuangan dan bisnis penting lainnya, bersama dengan aplikasi terintegrasi Microsoft Entra.
- Dengan integrasi dengan Pathlock dan produk mitra lainnya, pelanggan dapat memanfaatkan pemeriksaan pemisahan tugas yang terperinci dengan paket akses di Tata Kelola ID Microsoft Entra.
Panduan tambahan
Untuk informasi selengkapnya tentang integrasi SAP dengan MICROSOFT Entra ID, lihat dokumentasi berikut ini:
- Akses aman dengan SAP Cloud Identity Services dan ID Microsoft Entra
- Keamanan beban kerja SAP - Microsoft Azure Well-Architected Framework
- Mitra layanan dan integrasi untuk menyebarkan Microsoft Entra dengan aplikasi SAP
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk