SAP 애플리케이션에 대한 액세스 관리

SAP 소프트웨어 및 서비스는 HR, ERP 등 조직의 중요한 함수를 실행할 가능성이 높습니다. 동시에 조직에서는 다양한 Azure 서비스, Microsoft 365 및 Microsoft Entra ID Governance를 위해 Microsoft를 사용하여 애플리케이션에 대한 액세스를 관리합니다. 이 문서에서는 ID 거버넌스를 사용하여 SAP 애플리케이션 전반에서 ID를 관리하는 방법을 설명합니다.

SAP ID 관리에서 마이그레이션

SAP IDM(ID 관리)을 사용하고 있다면 SAP IDM에서 Microsoft Entra로 ID 관리 시나리오를 마이그레이션할 수 있습니다. 자세한 내용은 SAP IDM에서 Microsoft Entra로 ID 관리 시나리오 마이그레이션을 참조하세요.

HR의 ID를 Microsoft Entra ID로 가져오기

SAP 원본 및 대상 앱을 사용한 사용자 프로비전을 위한 Microsoft Entra 배포 계획 자습서에서는 SAP SuccessFactors와 같이 조직의 작업자 목록에 대한 신뢰할 수 있는 원본과 Microsoft Entra를 연결하는 방법을 보여 줍니다. 또한 Microsoft Entra를 사용하여 해당 작업자의 ID를 설정하는 방법도 보여 줍니다. 그런 다음 Microsoft Entra를 사용하여 작업자에게 SAP ECC 또는 SAP S/4HANA와 같은 하나 이상의 SAP 애플리케이션에 로그인할 수 있는 액세스 권한을 제공하는 방법을 알아봅니다.

SuccessFactors

SAP SuccessFactors를 사용하는 고객은 네이티브 커넥터를 사용하여 SuccessFactors에서 Microsoft Entra ID로 또는 SuccessFactors에서 온-프레미스 Active Directory로 ID를 쉽게 가져올 수 있습니다. 커넥터는 다음 시나리오를 지원합니다.

• 신규 직원 채용: SuccessFactors에 신규 직원이 추가되면 사용자 계정은 Microsoft Entra ID와 선택적으로 Microsoft 365 및 Microsoft Entra ID가 지원하는 기타 SaaS(서비스 제공 소프트웨어) 애플리케이션에서 자동으로 만들어집니다. 이 프로세스에는 SuccessFactors에 대한 이메일 주소 쓰기 저장이 포함됩니다.
• 직원 특성 및 프로필 업데이트: SuccessFactors(예: 이름, 직위 또는 관리자)에서 직원 기록이 업데이트되면 직원의 사용자 계정은 Microsoft Entra ID와 선택적으로 Microsoft 365 및 Microsoft Entra ID가 지원하는 기타 SaaS 애플리케이션에서 자동으로 업데이트됩니다.
• 직원 해고: 직원이 SuccessFactors에서 퇴사하면 직원의 사용자 계정은 Microsoft Entra ID에서 자동으로 사용하지 않도록 설정되며 선택적으로 Microsoft 365 및 Microsoft Entra ID가 지원하는 기타 SaaS 애플리케이션도 사용하지 않도록 설정됩니다.
• 직원 재고용: 직원이 SuccessFactors에서 재고용되면 직원의 이전 계정은 Microsoft Entra ID 및 선택적으로 Microsoft 365 및 Microsoft Entra ID가 지원하는 기타 SaaS 애플리케이션에 자동으로 다시 활성화되거나 다시 프로비전될 수 있습니다(기본 설정에 따라).

Microsoft Entra ID에서 SAP SuccessFactors로 쓰기 저장할 수도 있습니다.

SAP HCM

여전히 SAP HCM(Human Capital Management)을 사용하는 고객은 ID를 Microsoft Entra ID로 가져올 수도 있습니다. SAP Integration Suite를 사용하면 SAP HCM과 SAP SuccessFactors 간에 작업자 목록을 동기화할 수 있습니다. 여기에서 ID를 Microsoft Entra ID로 직접 가져오거나 앞서 언급한 네이티브 프로비전 통합을 사용하여 Active Directory Domain Services에 프로비전할 수 있습니다.

SAP 애플리케이션에 대한 액세스 제공

SAP 애플리케이션에 대한 액세스를 관리할 수 있는 네이티브 프로비전 통합 외에도 Microsoft Entra ID는 해당 애플리케이션과의 다양한 통합 집합을 지원합니다.

SSO 사용

SAP 애플리케이션에 대한 프로비전을 설정하는 동시에 해당 애플리케이션에 대해 SSO를 사용하도록 설정할 수 있습니다. Microsoft Entra ID는 ID 공급자 역할을 하며 SAP 애플리케이션에 대한 인증 기관 역할을 할 수 있습니다. Microsoft Entra ID는 SAML 또는 OAuth를 사용하여 SAP NetWeaver와 통합할 수 있습니다. SAP SaaS 및 최신 앱의 경우, SAP Cloud Identity Services를 통해 Microsoft Entra ID를 SAP 애플리케이션의 기업 ID 공급자로 구성하는 방법을 알아봅니다.

Microsoft Entra ID에서 Single Sign-On을 구성하는 방법에 대한 자세한 내용은 다음 설명서 및 자습서를 참조하세요.

• SAP Cloud Identity Services
• SAP SuccessFactors
• SAP Analytics Cloud
• SAP Fiori
• SAP Ariba
• SAP Concur Travel and Expense
• SAP Business Technology Platform
• SAP Business ByDesign
• SAP HANA
• SAP Cloud for Customer
• SAP Fieldglass

다음 SAP 리소스도 참조하세요.

• 공용 및 내부 SAP URL에 대한 SAML Single Sign On의 Azure Application Gateway 설정
• Microsoft Entra Domain Services 및 Kerberos를 사용한 SSO(Single Sign-On)

최신 SAP 애플리케이션에 ID 프로비전

사용자가 Microsoft Entra ID를 사용하면 액세스해야 하는 다양한 SaaS 및 온-프레미스 SAP 애플리케이션에 계정을 프로비전할 수 있습니다. 이를 수행하는 방법에는 두 가지가 있습니다.

• Microsoft Entra ID의 SAP Cloud Identity Services 엔터프라이즈 애플리케이션을 사용하여 SAP Cloud Identity Services에 ID를 프로비전합니다. 모든 ID를 SAP Cloud Identity Services로 가져온 후 필요한 경우 SAP Cloud Identity Services - ID 프로비전을 사용하여 여기에서 애플리케이션에 계정을 프로비전할 수 있습니다.
• SAP Cloud Identity Services - ID 프로비전 통합을 사용하여 ID를 Microsoft Entra ID에서 SAP Cloud Identity Services 통합 애플리케이션으로 직접 내보낼 수 있습니다. SAP Cloud Identity Services - ID 프로비전을 사용하여 사용자를 해당 애플리케이션으로 데려오는 경우 해당 애플리케이션에 대한 모든 프로비전 구성은 SAP에서 직접 관리됩니다. Microsoft Entra ID의 엔터프라이즈 애플리케이션을 사용하여 SSO를 관리하고 Microsoft Entra ID를 엔터프라이즈 ID 공급자로 사용할 수 있습니다.

온-프레미스 SAP 시스템에 ID 프로비전

Microsoft Entra ID에 사용자가 있으면 해당 사용자를 Microsoft Entra ID에서 SAP Cloud Identity Services 또는 SAP ECC로 프로비전하여 SAP 애플리케이션에 로그인할 수 있도록 할 수 있습니다. SAP S/4HANA On-premise가 있는 경우 Microsoft Entra ID에서 SAP Cloud ID 디렉터리로 사용자를 프로비전합니다. 그런 다음 SAP Cloud Identity Services는 SAP 클라우드 커넥터를 통해 SAP Cloud Identity Directory에 있는 Microsoft Entra ID에서 시작된 사용자를 SAP S/4HANA On-Premise에 대한 다운스트림 SAP 애플리케이션으로 프로비전합니다.

SAP R/3 및 SAP ECC(SAP ERP Central Component)와 같은 애플리케이션에서 SAP S/4HANA로 아직 전환하지 않은 고객은 여전히 Microsoft Entra 프로비전 서비스를 사용하여 사용자 계정을 프로비전할 수 있습니다. SAP R/3 및 SAP ECC 내에서 사용자 만들기, 업데이트 및 삭제에 필요한 BAPI(비즈니스 애플리케이션 프로그래밍 인터페이스)를 노출합니다. Microsoft Entra ID에는 다음 두 가지 옵션이 있습니다.

• 경량 Microsoft Entra 프로비전 에이전트와 웹 서비스 커넥터를 사용하여 SAP ECC와 같은 앱에 사용자를 프로비전합니다.
• 보다 복잡한 그룹 및 역할 관리가 필요한 시나리오에서는 Microsoft Identity Manager를 사용하여 레거시 SAP 애플리케이션에 대한 액세스를 관리합니다.

또한 Microsoft Entra ID를 사용하여 작업자를 Active Directory뿐 아니라 SAP Cloud Identity Services가 프로비전을 지원하지 않는 기타 온-프레미스 시스템에 프로비전할 수도 있습니다.

사용자 지정 워크플로 트리거

조직에 새로운 직원이 고용되면 사용자 프로비전 이상의 추가 작업을 위해 SAP 온-프레미스 시스템 내에서 워크플로를 트리거해야 할 수도 있습니다. Microsoft Entra 수명 주기 워크플로 Logic Apps 확장성 또는 Azure Logic Apps의 SAP 커넥터와 함께 Microsoft Entra 권한 관리 Logic Apps 확장성을 사용하면 신규 직원을 채용할 때 SAP에서 사용자 지정 작업을 실행할 수 있습니다.

업무 분할 검사

이제 Microsoft Entra 권한 관리 직무 분리 검사를 통해 고객은 사용자가 과도한 액세스 권한을 취하지 않도록 할 수 있습니다.

• 관리자 및 액세스 관리자는 사용자가 이미 다른 액세스 패키지에 할당되었거나 요청된 액세스와 호환되지 않는 다른 그룹의 멤버인 경우 사용자가 추가 액세스 패키지를 요청하지 못하도록 차단할 수 있습니다.
• SAP 앱에 대한 중요한 규정 요구 사항이 있는 기업은 액세스 제어에 대한 일관된 단일 보기를 제공합니다. 그런 다음 Microsoft Entra 통합 애플리케이션과 함께 재무 및 기타 업무상 중요한 애플리케이션 전반에 걸쳐 업무 분리 검사를 적용할 수 있습니다.
• Pathlock 및 기타 파트너 제품과의 통합을 통해 고객은 Microsoft Entra ID Governance의 액세스 패키지로 세분화된 직무 분리 검사를 활용할 수 있습니다.

추가 지침

Microsoft Entra ID와 SAP 통합에 대한 자세한 내용은 다음 설명서를 참조하세요.

• SAP Cloud Identity Services 및 Microsoft Entra ID를 사용하여 액세스 보호
• SAP 워크로드 보안 - Microsoft Azure Well-Architected Framework
• SAP 애플리케이션과 함께 Microsoft Entra를 배포하기 위한 서비스 및 통합 파트너

다음 단계

• SAP 원본 및 대상 앱을 사용한 사용자 프로비전을 위해 Microsoft Entra 배포 계획
• SAP SuccessFactors의 ID를 Microsoft Entra ID로 가져오기
• SAP Cloud Identity Services의 프로비전 계정
• SAP 및 Microsoft 통합 시나리오 시작