SAP 애플리케이션에 대한 액세스 관리

  • 아티클

SAP는 조직에서 HR 및 ERP와 같은 중요한 기능을 실행할 가능성이 높습니다. 동시에 조직은 다양한 Azure 서비스, Microsoft 365 및 Microsoft Entra ID 거버넌스를 사용하여 애플리케이션에 대한 액세스를 관리합니다. 이 문서에서는 ID 거버넌스를 사용하여 SAP 애플리케이션 전반에서 ID를 관리하는 방법을 설명합니다.

SAP 통합 다이어그램.

HR의 ID를 Microsoft Entra ID로 가져오기

SuccessFactors

SAP SuccessFactors를 사용하는 고객은 네이티브 커넥터를 사용하여 SuccessFactors의 ID를 Microsoft Entra ID 또는 SuccessFactors에서 온-프레미스 Active Directory 쉽게 가져올 수 있습니다. 커넥터는 다음 시나리오를 지원합니다.

  • 신규 직원 채용: SuccessFactors에 신규 직원이 추가되면 사용자 계정은 Microsoft Entra ID와 선택적으로 Microsoft 365 및 Microsoft Entra ID가 지원하는 기타 SaaS(서비스 제공 소프트웨어) 애플리케이션에서 자동으로 만들어집니다. 이 프로세스에는 SuccessFactors에 대한 이메일 주소 쓰기 저장이 포함됩니다.
  • 직원 특성 및 프로필 업데이트: SuccessFactors(예: 이름, 직위 또는 관리자)에서 직원 기록이 업데이트되면 직원의 사용자 계정은 Microsoft Entra ID와 선택적으로 Microsoft 365 및 Microsoft Entra ID가 지원하는 기타 SaaS 애플리케이션에서 자동으로 업데이트됩니다.
  • 직원 해고: 직원이 SuccessFactors에서 퇴사하면 직원의 사용자 계정은 Microsoft Entra ID에서 자동으로 사용하지 않도록 설정되며 선택적으로 Microsoft 365 및 Microsoft Entra ID가 지원하는 기타 SaaS 애플리케이션도 사용하지 않도록 설정됩니다.
  • 직원 재입원: SuccessFactors에서 직원을 다시 고용하면 직원의 이전 계정을 Microsoft Entra ID 및 선택적으로 Microsoft Entra ID에서 지원하는 Microsoft 365 및 기타 SaaS 애플리케이션으로 자동으로 다시 활성화하거나 다시 프로비전할 수 있습니다(기본 설정에 따라).

Microsoft Entra ID에서 SAP SuccessFactors로 다시 쓸 수도 있습니다.

SAP HCM

여전히 SAP HCM(Human Capital Management)을 사용하는 고객은 ID를 Microsoft Entra ID로 가져올 수도 있습니다. SAP Integration Suite를 사용하면 SAP HCM과 SAP SuccessFactors 간에 작업자 목록을 동기화할 수 있습니다. 여기에서 ID를 Microsoft Entra ID로 직접 가져오거나 앞서 언급한 네이티브 프로비전 통합을 사용하여 Active Directory Domain Services에 프로비전할 수 있습니다.

SAP HR 통합 다이어그램.

SAP 애플리케이션에 대한 액세스 제공

SAP 애플리케이션에 대한 액세스를 관리할 수 있는 네이티브 프로비전 통합 외에도 Microsoft Entra ID는 해당 애플리케이션과의 다양한 통합 집합을 지원합니다.

SSO 사용

SAP 애플리케이션에 대한 프로비저닝 설정과 함께 SSO를 사용하도록 설정할 수 있습니다. Microsoft Entra ID는 ID 공급자 역할을 하며 SAP 애플리케이션에 대한 인증 기관 역할을 할 수 있습니다. Microsoft Entra ID는 SAML 또는 OAuth를 사용하여 SAP NetWeaver와 통합할 수 있습니다. SAP SaaS 및 최신 앱 의 경우 SAP Cloud Identity Services를 통해 SAP 애플리케이션에 대한 회사 ID 공급자로 Microsoft Entra ID를 구성하는 방법을 알아봅니다.

Microsoft Entra ID에서 Single Sign-On을 구성하는 방법에 대한 자세한 내용은 다음 설명서 및 자습서를 참조하세요.

다음 SAP 리소스도 참조하세요.

최신 SAP 애플리케이션에 ID 프로비전

사용자가 Microsoft Entra ID를 사용하면 액세스해야 하는 다양한 SaaS 및 온-프레미스 SAP 애플리케이션에 계정을 프로비전할 수 있습니다. 이 작업을 수행하는 방법에는 두 가지가 있습니다.

  • Microsoft Entra ID의 SAP Cloud Identity Services 엔터프라이즈 애플리케이션을 사용하여 SAP Cloud Identity Services에 ID를 프로비전합니다. 모든 ID를 SAP Cloud Identity Services로 가져온 후에는 SAP Cloud Identity Services - Identity Provisioning을 사용하여 필요할 때 해당 위치에서 애플리케이션으로 계정을 프로비전할 수 있습니다.
  • SAP Cloud Identity Services - ID 프로비전 통합을 사용하여 Microsoft Entra ID에서 SAP Cloud Identity Services 통합 애플리케이션으로 ID를 직접 내보냅니다. SAP Cloud Identity Services - ID 프로비저닝을 사용하여 사용자를 해당 애플리케이션으로 가져오는 경우 해당 애플리케이션에 대한 모든 프로비전 구성은 SAP에서 직접 관리됩니다. Microsoft Entra ID의 엔터프라이즈 애플리케이션을 사용하여 SSO를 관리하고 Microsoft Entra ID를 엔터프라이즈 ID 공급자로 사용할 수 있습니다.

온-프레미스 SAP 시스템에 ID 프로비전

SAP R/3 및 SAP ECC(SAP ERP Central Component)와 같은 애플리케이션에서 SAP S/4HANA로 아직 전환하지 않은 고객은 여전히 Microsoft Entra 프로비전 서비스를 사용하여 사용자 계정을 프로비전할 수 있습니다. SAP R/3 및 SAP ECC 내에서 사용자 만들기, 업데이트 및 삭제에 필요한 BAPI(비즈니스 애플리케이션 프로그래밍 인터페이스)를 노출합니다. Microsoft Entra ID에는 다음 두 가지 옵션이 있습니다.

Microsoft Entra ID를 사용하여 SAP Cloud Identity Services에서 프로비저닝을 지원하지 않는 다른 온-프레미스 시스템뿐만 아니라 Active Directory에 작업자를 프로비전할 수도 있습니다.

사용자 지정 워크플로 트리거

조직에서 새 직원을 고용하는 경우 사용자 프로비저닝 이외의 추가 작업을 위해 SAP 온-프레미스 시스템 내에서 워크플로를 트리거해야 할 수 있습니다. Microsoft Entra 수명 주기 워크플로 Logic Apps 확장성 또는 Azure Logic Apps의 SAP 커넥터를 사용하여 Microsoft Entra 권한 관리 Logic Apps 확장성을 사용하면 새 직원을 고용할 때 SAP에서 사용자 지정 작업을 트리거할 수 있습니다.

업무 분할 검사

Microsoft Entra 권한 관리에서 업무 분리 검사 통해 고객은 사용자가 과도한 액세스 권한을 사용하지 않도록 할 수 있습니다.

  • 관리 및 액세스 관리자는 사용자가 이미 다른 액세스 패키지에 할당되어 있거나 요청된 액세스와 호환되지 않는 다른 그룹의 구성원인 경우 추가 액세스 패키지를 요청하지 못하게 할 수 있습니다.
  • SAP 앱에 대한 중요한 규정 요구 사항이 있는 기업은 액세스 제어에 대한 일관된 단일 보기를 제공합니다. 그런 다음 Microsoft Entra 통합 애플리케이션과 함께 재무 및 기타 업무상 중요한 애플리케이션 전반에 걸쳐 업무 분리 검사를 적용할 수 있습니다.
  • Pathlock 및 기타 파트너 제품과의 통합을 통해 고객은 Microsoft Entra ID 거버넌스의 액세스 패키지와 함께 세분화된 업무 분리 검사 활용할 수 있습니다.

추가 지침

Microsoft Entra ID와 SAP 통합에 대한 자세한 내용은 다음 설명서를 참조하세요.

다음 단계