Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i passaggi da eseguire in SAP Cloud Identity Services e Microsoft Entra ID per configurare il provisioning automatico degli utenti. Se configurato, Microsoft Entra ID esegue automaticamente il provisioning e il deprovisioning degli utenti su SAP BTP utilizzando il servizio di provisioning di Microsoft Entra e SAP Cloud Identity Services. Per informazioni dettagliate sulle caratteristiche e sul funzionamento del provisioning di Microsoft Entra e per le domande frequenti, consultare la sezione Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.
Capacità supportate
- Creare utenti in SAP BTP per abilitare l'accesso Single Sign-On a SAP BTP
- Rimuovere gli utenti in SAP BTP quando non richiedono più l'accesso
- Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e SAP BTP
È anche possibile gestire l'accesso alle applicazioni SAP BTP, usando Microsoft Entra ID Governance per popolare i gruppi associati ai ruoli nella raccolta di ruoli BTP dell'applicazione. Per altre informazioni, vedere Gestione dell'accesso a SAP BTP.
Prerequisiti
Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:
- Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non è già disponibile, è possibile Creare un account gratuitamente.
- Uno dei ruoli seguenti:
- Un'app BTP di SAP (ambiente ABAP di SAP BTP o SAP BTP XS Advanced UAA Cloud Foundry)
- Tenant di SAP Cloud Identity Services
- Un account utente nella console di amministrazione SAP Identity Provisioning con autorizzazioni di amministratore. Assicurarsi di avere accesso ai sistemi proxy nella console di amministrazione Identity Provisioning. Se il riquadro Proxy Systems (Sistemi proxy) non viene visualizzato, creare un evento imprevisto per il componente BC-IAM-IPS per richiedere l'accesso a tale riquadro.
Passaggio 1: Pianificare la distribuzione del provisioning
Microsoft Entra include connettori per SAP ECC, SAP Cloud Identity Services e SAP SuccessFactors. L'approvvigionamento in SAP BTP o in altre applicazioni richiede che gli utenti siano prima presenti in Microsoft Entra ID. Dopo aver creato gli utenti in Microsoft Entra ID, è possibile effettuare il provisioning di tali utenti da Microsoft Entra ID a SAP Cloud Identity Services. SAP Cloud Identity Services effettua quindi il provisioning degli utenti provenienti da Microsoft Entra ID che si trovano in SAP Cloud Identity Directory nelle applicazioni SAP downstream, tra cui SAP BTP ABAP environment, "SAP BTP XS Advanced UAA (Cloud Foundry)" e altre.
Passaggio 2: assicurarsi di avere gli utenti corretti in Microsoft Entra ID
È possibile usare le risorse umane in ingresso da origini come SuccessFactors per mantenere aggiornato l'elenco degli utenti in Microsoft Entra ID man mano che i dipendenti si uniscono, si spostano e se ne vanno. Se si prevede di usare gruppi o assegnazioni di ruolo dell'applicazione per definire l'ambito di chi può accedere a SAP BTP o quali ruoli avranno e il tenant dispone di una licenza per la governance degli ID di Microsoft Entra, è anche possibile automatizzare le modifiche alle assegnazioni di ruolo dell'applicazione in Microsoft Entra ID per le applicazioni che rappresentano SAP Cloud Identity Services o SAP BTP. Per ulteriori informazioni sull'esecuzione della separazione dei compiti e di altri controlli di conformità prima del provisioning, vedere migrate access lifecycle management scenarios.
Per indicazioni dettagliate sul ciclo di vita delle identità con le applicazioni SAP come obiettivo, vedere Pianificare la distribuzione di Microsoft Entra per il provisioning degli utenti con applicazioni SAP sia di origine che di destinazione.
Passaggio 3: configurare il provisioning da Microsoft Entra ID a SAP Cloud Identity Services
Per prepararsi per il provisioning degli utenti in SAP BTP o in altre applicazioni SAP integrate con SAP Cloud Identity Services, verificare che SAP Cloud Identity Services disponga dei mapping dello schema necessari per tali applicazioni. Quindi, configurare il provisioning degli utenti da Microsoft Entra ID a SAP Cloud Identity Services. SAP Cloud Identity Services eseguirà successivamente il provisioning degli utenti nelle applicazioni SAP downstream in base alle esigenze.
Esistono due modi per gestire l'approvvigionamento degli utenti da Microsoft Entra nei servizi di identità cloud di SAP.
Se usate gruppi di Microsoft Entra ID, ad esempio per assegnare utenti ai ruoli nel cloud SAP BTP, utilizzare il servizio di provisioning di SAP Cloud Identity Services. Prima di tutto, creare gruppi di Microsoft Entra per i ruoli aziendali SAP usati in SAP Analytics Cloud. Quindi, nel provisioning di SAP Cloud Identity Services, configura Microsoft Entra ID come origine per portare utenti e gruppi da Microsoft Entra ID a SAP Cloud Identity Services e associare i gruppi creati ai ruoli aziendali SAP. Per altre informazioni, vedere la documentazione SAP su come effettuare il provisioning degli utenti da Microsoft Azure AD a SAP Cloud Identity Services - Identity Authentication.
In alternativa, se non è necessario usare i gruppi in Microsoft Entra ID, è possibile usare il servizio di provisioning Microsoft Entra. In questo scenario creare un'applicazione che rappresenti SAP BTP e assegnare gli utenti che devono accedere a SAP BTP a tale applicazione. Configura quindi il provisioning automatico degli utenti da Microsoft Entra ID a SAP Cloud Identity Services. Attendere che quegli utenti siano provvisti in SAP Cloud Identity Services e verificare che abbiano gli attributi necessari per il tuo obiettivo SAP BTP.
Nota
Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Controllare che gli utenti abbiano l'accesso corretto nelle destinazioni downstream SAP e che, al momento dell'accesso, abbiano i ruoli appropriati.
Passaggio 4: configurare il provisioning da SAP Cloud Identity Services a SAP BTP
In questo passaggio, usare SAP Cloud Identity Services Identity Provisioning per configurare SAP BTP come sistema di destinazione, in cui è possibile effettuare il provisioning di utenti e membri del gruppo. Per l'ambiente SAP BTP ABAP, consultare la documentazione SAP sul provisioning nell'ambiente SAP BTP ABAP. Per SAP BTP XS Advanced UAA (Cloud Foundry), consultare la documentazione SAP sul provisioning in SAP BTP XS Advanced UAA (Cloud Foundry).
Passaggio 5: configurare Single Sign-On
Dopo aver configurato il provisioning per gli utenti nelle applicazioni SAP, è necessario abilitare Single Sign-On per tali utenti. Microsoft Entra ID può fungere da identity provider e autorità di autenticazione per le applicazioni SAP e può fornire appartenenze ai gruppi nei claims. Se non è già stato fatto, configurare l'integrazione dell'accesso Single Sign-On (SSO) di Microsoft Entra con SAP Cloud Identity Services.
Passaggio 6: Gestire l'accesso tramite l'assegnazione di gruppi alla raccolta di ruoli SAP BTP
È possibile gestire l'accesso alle applicazioni SAP BTP usando Microsoft Entra ID Governance per popolare i gruppi associati ai ruoli nella raccolta di ruoli BTP dell'applicazione. Per altre informazioni, vedere Gestione dell'accesso a SAP BTP.