Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan langkah-langkah yang perlu Anda lakukan di SAP Cloud Identity Services dan ID Microsoft Entra untuk mengonfigurasi provisi pengguna otomatis. Saat dikonfigurasi, MICROSOFT Entra ID secara otomatis memprovisi dan mendeprovisi pengguna ke SAP BTP menggunakan layanan provisi Microsoft Entra dan SAP Cloud Identity Services. Untuk detail penting tentang apa yang dilakukan oleh provisi Microsoft Entra, cara kerjanya, dan pertanyaan yang sering diajukan, lihat Otomatisasi provisi dan deprovisi pengguna ke aplikasi SaaS dengan Microsoft Entra ID.
Kemampuan yang didukung
- Membuat pengguna di SAP BTP untuk mengaktifkan akses menyeluruh ke SAP BTP
- Menghapus pengguna di SAP BTP saat mereka tidak memerlukan akses lagi
- Menjaga atribut pengguna tetap sinkron antara MICROSOFT Entra ID dan SAP BTP
Anda juga dapat mengelola akses ke aplikasi SAP BTP dan menggunakan Microsoft Entra ID Governance untuk mengisi grup yang terkait dengan peran dalam koleksi peran aplikasi BTP. Untuk informasi selengkapnya, lihat Mengelola akses ke SAP BTP.
Prasyarat
Skenario yang diuraikan dalam artikel ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:
- Akun pengguna Microsoft Entra dengan langganan aktif. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
- Salah satu peran berikut:
- Administrator Aplikasi
- Administrator Aplikasi Cloud
- Pemilik Aplikasi .
- Aplikasi SAP BTP (lingkungan SAP BTP ABAP atau SAP BTP XS Advanced UAA Cloud Foundry)
- Tenant Layanan Identitas Cloud SAP
- Akun pengguna di konsol admin Provisi Identitas SAP dengan izin Admin. Pastikan Anda memiliki akses ke sistem proksi di konsol admin Provisi Identitas. Jika Anda tidak melihat petak peta Sistem Proksi, buat insiden untuk komponen BC-IAM-IPS untuk meminta akses ke petak peta ini.
Langkah 1: Merencanakan penyebaran provisi Anda
Microsoft Entra memiliki konektor ke SAP ECC, SAP Cloud Identity Services, dan SAP SuccessFactors. Provisi ke SAP BTP atau aplikasi lain mengharuskan pengguna untuk terlebih dahulu hadir di ID Microsoft Entra. Setelah Anda memiliki pengguna di ID Microsoft Entra, Anda dapat memprovisikan pengguna tersebut dari ID Microsoft Entra ke SAP Cloud Identity Services. SAP Cloud Identity Services kemudian memprovisikan pengguna yang berasal dari ID Microsoft Entra yang berada di Direktori Identitas Cloud SAP ke dalam aplikasi SAP hilir, termasuk SAP BTP ABAP environment, ' SAP BTP XS Advanced UAA (Cloud Foundry)', dan lainnya.
Langkah 2: Pastikan Anda memiliki pengguna yang tepat di ID Microsoft Entra
Anda dapat menggunakan pemasukan data SDM dari sumber seperti SuccessFactors untuk menjaga daftar pengguna di Microsoft Entra ID tetap diperbarui saat karyawan bergabung, pindah, dan pergi. Jika berencana menggunakan grup atau penetapan peran aplikasi untuk cakupan siapa yang dapat mengakses SAP BTP atau peran apa yang akan mereka miliki, dan penyewa Anda memiliki lisensi untuk Tata Kelola ID Microsoft Entra, Anda juga dapat mengotomatiskan perubahan pada penetapan peran aplikasi di ID Microsoft Entra untuk aplikasi yang mewakili SAP Cloud Identity Services atau SAP BTP. Untuk informasi selengkapnya tentang melakukan pemisahan tugas dan pemeriksaan kepatuhan lainnya sebelum provisi, lihat bagian tentang memigrasikan skenario manajemen siklus hidup akses.
Untuk panduan langkah demi langkah tentang siklus hidup identitas dengan aplikasi SAP sebagai target, lihat Merencanakan penyebaran Microsoft Entra untuk provisi pengguna dengan aplikasi sumber dan target SAP.
Langkah 3: Mengonfigurasi provisi dari ID Microsoft Entra ke SAP Cloud Identity Services
Untuk mempersiapkan provisi pengguna ke dalam SAP BTP atau aplikasi SAP lainnya yang terintegrasi dengan Layanan Identitas Cloud SAP, pastikan Layanan Identitas Cloud SAP memiliki pemetaan skema yang diperlukan untuk aplikasi tersebut. Kemudian, konfigurasikan provisi pengguna dari ID Microsoft Entra ke SAP Cloud Identity Services. SAP Cloud Identity Services kemudian akan memprovisikan pengguna ke dalam aplikasi SAP hilir seperlunya.
Ada dua cara untuk memprovisikan pengguna dari Microsoft Entra ke SAP Cloud Identity Services.
Jika Anda menggunakan grup dari ID Microsoft Entra, seperti untuk menetapkan pengguna ke peran di cloud SAP BTP, maka gunakan provisi SAP Cloud Identity Services. Pertama, buat grup Microsoft Entra untuk peran bisnis SAP Anda yang digunakan di SAP Analytics Cloud. Kemudian, dalam provisi SAP Cloud Identity Services, konfigurasikan ID Microsoft Entra sebagai sumber untuk membawa pengguna dan grup dari ID Microsoft Entra ke SAP Cloud Identity Services dan petakan grup yang dibuat ke peran bisnis SAP Anda. Untuk informasi selengkapnya, lihat dokumentasi SAP tentang cara memprovisikan pengguna dari Microsoft Azure AD ke SAP Cloud Identity Services - Autentikasi Identitas.
Atau, jika Anda tidak perlu menggunakan grup di ID Microsoft Entra, Maka Anda dapat menggunakan layanan provisi Microsoft Entra. Dalam skenario ini, buat aplikasi yang mewakili SAP BTP, dan tetapkan pengguna yang memerlukan akses ke SAP BTP ke aplikasi tersebut. Kemudian, konfigurasikan provisi pengguna otomatis dengan Microsoft Entra ID ke SAP Cloud Identity Services untuk. Tunggu hingga pengguna tersebut diprovisikan ke SAP Cloud Identity Services, dan verifikasi bahwa mereka memiliki atribut yang diperlukan untuk target SAP BTP Anda.
Catatan
Mulai dari yang kecil. Lakukan pengujian pada set kecil pengguna dan grup sebelum meluncurkan ke semua orang. Periksa pengguna memiliki akses yang tepat di target hilir SAP dan ketika mereka masuk, mereka memiliki peran yang tepat.
Langkah 4: Mengonfigurasi provisi dari SAP Cloud Identity Services ke SAP BTP
Pada langkah ini, gunakan Provisi Identitas SAP Cloud Identity Services untuk mengonfigurasi SAP BTP sebagai sistem target, tempat Anda dapat memprovisikan pengguna dan anggota grup. Untuk lingkungan SAP BTP ABAP, lihat dokumentasi SAP tentang penyediaan ke lingkungan SAP BTP ABAP. Untuk SAP BTP XS Advanced UAA (Cloud Foundry), lihat dokumentasi SAP tentang provisi ke SAP BTP XS Advanced UAA (Cloud Foundry)'.
Langkah 5: Mengonfigurasi masuk sekali
Setelah Anda mengonfigurasi provisi untuk pengguna ke aplikasi SAP, Anda harus mengaktifkan Single sign-on untuk mereka. ID Microsoft Entra dapat berfungsi sebagai penyedia identitas dan otoritas autentikasi untuk aplikasi SAP Anda, dan dapat memberikan keanggotaan grup dalam klaim. Jika Anda belum melakukannya, konfigurasikan integrasi akses menyeluruh (SSO) Microsoft Entra dengan SAP Cloud Identity Services.
Langkah 6: Mengelola akses melalui menetapkan grup ke kumpulan peran SAP BTP
Anda dapat mengelola akses ke aplikasi SAP BTP menggunakan Microsoft Entra ID Governance untuk mengisi grup yang terkait dengan peran dalam kumpulan peran BTP aplikasi. Untuk informasi selengkapnya, lihat Mengelola akses ke SAP BTP.