Tutorial: Mengonfigurasi MICROSOFT Entra ID dan SAP Cloud Identity Services untuk provisi pengguna otomatis ke SAP BTP
Tutorial ini menjelaskan langkah-langkah yang perlu Anda lakukan di SAP Cloud Identity Services dan ID Microsoft Entra untuk mengonfigurasi provisi pengguna otomatis. Saat dikonfigurasi, MICROSOFT Entra ID secara otomatis memprovisi dan mendeprovisi pengguna ke SAP BTP menggunakan layanan provisi Microsoft Entra dan SAP Cloud Identity Services. Untuk detail penting tentang apa yang dilakukan provisi Microsoft Entra, cara kerjanya, dan tanya jawab umum, lihat Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan ID Microsoft Entra.
Kemampuan yang didukung
- Membuat pengguna di SAP BTP untuk mengaktifkan akses menyeluruh ke SAP BTP
- Menghapus pengguna di SAP BTP saat mereka tidak memerlukan akses lagi
- Menjaga atribut pengguna tetap sinkron antara MICROSOFT Entra ID dan SAP BTP
Prasyarat
Skenario yang diuraikan dalam tutorial ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:
- Penyewa Microsoft Entra
- Salah satu peran berikut: Administrator Aplikasi, Administrator Aplikasi Cloud, atau Pemilik Aplikasi.
- Aplikasi SAP BTP (lingkungan SAP BTP ABAP atau SAP BTP XS Advanced UAA Cloud Foundry)
- Penyewa SAP Cloud Identity Services
- Akun pengguna di konsol admin Provisi Identitas SAP dengan izin Admin. Pastikan Anda memiliki akses ke sistem proksi di konsol admin Provisi Identitas. Jika Anda tidak melihat petak peta Sistem Proksi, buat insiden untuk komponen BC-IAM-IPS untuk meminta akses ke petak peta ini.
Langkah 1: Merencanakan penyebaran provisi Anda
Microsoft Entra memiliki konektor ke SAP ECC, SAP Cloud Identity Services, dan SAP SuccessFactors. Provisi ke SAP BTP atau aplikasi lain mengharuskan pengguna untuk terlebih dahulu hadir di ID Microsoft Entra. Setelah Anda memiliki pengguna di ID Microsoft Entra, Anda dapat memprovisikan pengguna tersebut dari ID Microsoft Entra ke SAP Cloud Identity Services. SAP Cloud Identity Services kemudian memprovisikan pengguna yang berasal dari ID Microsoft Entra yang berada di Direktori Identitas Cloud SAP ke dalam aplikasi SAP hilir, termasuk SAP BTP ABAP environment
, ' SAP BTP XS Advanced UAA (Cloud Foundry)', dan lainnya.
Langkah 2: Pastikan Anda memiliki pengguna yang tepat di ID Microsoft Entra
Anda dapat menggunakan SDM masuk dari sumber seperti SuccessFactors untuk menjaga daftar pengguna di ID Microsoft Entra diperbarui saat karyawan bergabung, pindah, dan pergi. Jika berencana menggunakan grup atau penetapan peran aplikasi untuk cakupan siapa yang dapat mengakses SAP BTP atau peran apa yang akan mereka miliki, dan penyewa Anda memiliki lisensi untuk Tata Kelola ID Microsoft Entra, Anda juga dapat mengotomatiskan perubahan pada penetapan peran aplikasi di ID Microsoft Entra untuk aplikasi yang mewakili SAP Cloud Identity Services atau SAP BTP. Untuk informasi selengkapnya tentang melakukan pemisahan tugas dan pemeriksaan kepatuhan lainnya sebelum provisi, lihat memigrasikan skenario manajemen siklus hidup akses.
Untuk panduan langkah demi langkah tentang siklus hidup identitas dengan aplikasi SAP sebagai target, lihat Merencanakan penyebaran Microsoft Entra untuk provisi pengguna dengan aplikasi sumber dan target SAP.
Langkah 3: Mengonfigurasi provisi dari ID Microsoft Entra ke SAP Cloud Identity Services
Untuk mempersiapkan provisi pengguna ke dalam SAP BTP atau aplikasi SAP lainnya yang terintegrasi dengan SAP Cloud Identity Services, konfirmasikan SAP Cloud Identity Services memiliki pemetaan skema yang diperlukan untuk aplikasi tersebut. Kemudian, konfigurasikan provisi pengguna dari ID Microsoft Entra ke SAP Cloud Identity Services. SAP Cloud Identity Services kemudian akan memprovisikan pengguna ke dalam aplikasi SAP hilir seperlunya.
Ada dua cara untuk memprovisikan pengguna dari Microsoft Entra ke SAP Cloud Identity Services.
Jika Anda akan menggunakan grup dari ID Microsoft Entra, seperti menetapkan pengguna ke peran di cloud SAP BTP, maka gunakan provisi SAP Cloud Identity Services. Pertama, buat grup Microsoft Entra untuk peran bisnis SAP Anda yang digunakan di SAP Analytics Cloud. Kemudian, dalam provisi SAP Cloud Identity Services, konfigurasikan ID Microsoft Entra sebagai sumber untuk membawa pengguna dan grup dari ID Microsoft Entra ke SAP Cloud Identity Services dan petakan grup yang dibuat ke peran bisnis SAP Anda. Untuk informasi selengkapnya, lihat dokumentasi SAP tentang cara memprovisikan pengguna dari Microsoft Azure AD ke SAP Cloud Identity Services - Autentikasi Identitas.
Atau, jika Anda tidak perlu menggunakan grup di ID Microsoft Entra, maka Anda dapat menggunakan layanan provisi Microsoft Entra. Dalam skenario ini, buat aplikasi yang mewakili SAP BTP, dan tetapkan pengguna yang memerlukan akses ke SAP BTP ke aplikasi tersebut. Kemudian, konfigurasikan provisi pengguna otomatis dengan MICROSOFT Entra ID ke SAP Cloud Identity Services untuk. Tunggu hingga pengguna tersebut diprovisikan ke SAP Cloud Identity Services, dan verifikasi bahwa mereka memiliki atribut yang diperlukan untuk target SAP BTP Anda.
Catatan
Mulai dari yang kecil. Lakukan pengujian pada set kecil pengguna dan grup sebelum meluncurkan ke semua orang. Periksa pengguna memiliki akses yang tepat di target hilir SAP dan ketika mereka masuk, mereka memiliki peran yang tepat.
Langkah 4: Mengonfigurasi provisi dari SAP Cloud Identity Services ke SAP BTP
Pada langkah ini, gunakan Provisi Identitas SAP Cloud Identity Services untuk mengonfigurasi SAP BTP sebagai sistem target, tempat Anda dapat memprovisikan pengguna dan anggota grup. Untuk lingkungan SAP BTP ABAP, lihat dokumentasi SAP tentang provisi ke lingkungan SAP BTP ABAP'. Untuk SAP BTP XS Advanced UAA (Cloud Foundry), lihat dokumentasi SAP tentang provisi ke SAP BTP XS Advanced UAA (Cloud Foundry)'.
Langkah 5: Mengonfigurasi akses menyeluruh
Setelah mengonfigurasi provisi untuk pengguna ke aplikasi SAP, Anda harus mengaktifkan Akses menyeluruh untuk mereka. ID Microsoft Entra dapat berfungsi sebagai penyedia identitas dan otoritas autentikasi untuk aplikasi SAP Anda. Jika Anda belum melakukannya, konfigurasikan integrasi akses menyeluruh (SSO) Microsoft Entra dengan SAP Cloud Identity Services.
Untuk informasi selengkapnya tentang cara mengonfigurasi akses menyeluruh ke SAP SaaS dan aplikasi modern, lihat mengaktifkan SSO.