Condividi tramite


Esercitazione: configurare Microsoft Entra ID e SAP Cloud Identity Services per il provisioning automatico degli utenti in SAP BTP

Questa esercitazione descrive i passaggi da eseguire sia in SAP Cloud Identity Services che in Microsoft Entra ID per configurare il provisioning automatico degli utenti. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in SAP BTP usando il servizio di provisioning di Microsoft Entra e SAP Cloud Identity Services. Per informazioni dettagliate sulle caratteristiche e sul funzionamento del provisioning di Microsoft Entra e per le domande frequenti, consultare la sezione Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.

Capacità supportate

  • Creare utenti in SAP BTP per abilitare l'accesso Single Sign-On a SAP BTP
  • Rimuovere utenti da SAP BTP quando non richiedono più l'accesso
  • Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e SAP BTP

Prerequisiti

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga dei prerequisiti seguenti:

  • Un tenant di Microsoft Entra
  • Uno dei seguenti ruoli: Amministratore dell'applicazione, Amministratore dell'applicazione sul cloud o Proprietario dell'applicazione.
  • Un'app SAP BTP (ambiente ABAP SAP BTP o SAP BTP XS Advanced UAA Cloud Foundry)
  • Tenant di SAP Cloud Identity Services
  • Un account utente nella console di amministrazione SAP Identity Provisioning con autorizzazioni di amministratore. Assicurarsi di avere accesso ai sistemi proxy nella console di amministrazione Identity Provisioning. Se il riquadro Proxy Systems (Sistemi proxy) non viene visualizzato, creare un evento imprevisto per il componente BC-IAM-IPS per richiedere l'accesso a tale riquadro.

Passaggio 1: pianificare la distribuzione del provisioning

Microsoft Entra include connettori per SAP ECC, SAP Cloud Identity Services e SAP SuccessFactors. Il provisioning in SAP BTP o in altre applicazioni richiede che gli utenti siano prima presenti in Microsoft Entra ID. Dopo aver creato gli utenti in Microsoft Entra ID, è possibile effettuare il provisioning di tali utenti da Microsoft Entra ID a SAP Cloud Identity Services. SAP Cloud Identity Services effettua quindi il provisioning degli utenti provenienti da Microsoft Entra ID che si trovano in SAP Cloud Identity Directory nelle applicazioni SAP downstream, tra cui SAP BTP ABAP environment, "SAP BTP XS Advanced UAA (Cloud Foundry)" e altre.

Diagramma che mostra le tecnologie Microsoft e SAP rilevanti per effettuare il provisioning delle identità da Microsoft Entra ID.

Passaggio 2: assicurarsi di avere gli utenti corretti in Microsoft Entra ID

È possibile usare le risorse umane in ingresso da origini come SuccessFactors per mantenere aggiornato l'elenco degli utenti in Microsoft Entra ID man mano che i dipendenti si uniscono, si spostano e se ne vanno. Se si prevede di usare gruppi o assegnazioni di ruolo dell'applicazione per definire l'ambito di chi può accedere a SAP BTP o quali ruoli avranno e il tenant dispone di una licenza per la governance degli ID di Microsoft Entra, è anche possibile automatizzare le modifiche alle assegnazioni di ruolo dell'applicazione in Microsoft Entra ID per le applicazioni che rappresentano SAP Cloud Identity Services o SAP BTP. Per altre informazioni sull'esecuzione della separazione dei compiti e di altri controlli di conformità prima del provisioning, vedere Eseguire la migrazione degli scenari di gestione del ciclo di vita dell'accesso.

Per indicazioni dettagliate sul ciclo di vita delle identità con applicazioni SAP come destinazione, vedere Pianificare la distribuzione di Microsoft Entra per il provisioning utenti con applicazioni di origine e di destinazione SAP.

Passaggio 3: configurare il provisioning da Microsoft Entra ID a SAP Cloud Identity Services

Per prepararsi per il provisioning degli utenti in SAP BTP o in altre applicazioni SAP integrate con SAP Cloud Identity Services, verificare che SAP Cloud Identity Services disponga dei mapping dello schema necessari per tali applicazioni. Quindi, configurare il provisioning utenti da Microsoft Entra ID a SAP Cloud Identity Services. SAP Cloud Identity Services eseguirà successivamente il provisioning degli utenti nelle applicazioni SAP downstream in base alle esigenze.

Esistono due modi per effettuare il provisioning degli utenti da Microsoft Entra in SAP Cloud Identity Services.

Nota

Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Controllare che gli utenti abbiano l'accesso corretto nelle destinazioni downstream SAP e che, al momento dell'accesso, abbiano i ruoli appropriati.

Passaggio 4: configurare il provisioning da SAP Cloud Identity Services a SAP BTP

In questo passaggio, usare SAP Cloud Identity Services Identity Provisioning per configurare SAP BTP come sistema di destinazione, in cui è possibile effettuare il provisioning di utenti e membri del gruppo. Per l'ambiente SAP BTP ABAP, vedere la documentazione SAP sul provisioning nell'ambiente SAP BTP ABAP. Per SAP BTP XS Advanced UAA (Cloud Foundry), vedere la documentazione SAP sul provisioning in SAP BTP XS Advanced UAA (Cloud Foundry).

Passaggio 5: configurare Single Sign-On

Dopo aver configurato il provisioning per gli utenti nelle applicazioni SAP, è necessario abilitare Single Sign-On per tali utenti. Microsoft Entra ID può fungere da provider di identità e autorità di autenticazione per le applicazioni SAP. Se non è già stato fatto, configurare l'integrazione dell'accesso Single Sign-On (SSO) di Microsoft Entra con SAP Cloud Identity Services.

Per altre informazioni su come configurare l'accesso Single Sign-On per SAP SaaS e le app moderne, vedere abilitare SSO.

Passaggi successivi