자습서: SAP BTP에 자동 사용자 프로비저닝을 위한 Microsoft Entra ID 및 SAP 클라우드 ID 서비스 구성하기
이 자습서에서는 자동 사용자 프로비저닝을 구성하기 위해 SAP Cloud ID 서비스 및 Microsoft Entra ID에서 수행해야 하는 단계에 대해 설명합니다. 구성이 완료되면 Microsoft Entra ID는 Microsoft Entra 프로비저닝 서비스 및 SAP 클라우드 ID 서비스를 사용하여 사용자를 SAP BTP에 자동으로 프로비저닝 및 프로비저닝 해제합니다. Microsoft Entra 프로비전이 수행하는 작업, 작동 방식 및 자주 묻는 질문에 대한 중요한 세부 정보는 Microsoft Entra ID를 사용하여 SaaS 애플리케이션에 사용자 프로비저닝 및 프로비저닝 해제 자동화를 참조하세요.
지원되는 기능
- SAP BTP에서 사용자를 만들어 SAP BTP에 Single Sign-On 사용
- 더 이상 액세스가 필요하지 않은 경우 SAP BTP에서 사용자 제거
- Microsoft Entra ID와 SAP BTP 간에 사용자 특성을 동기화된 상태로 유지합니다.
필수 조건
이 자습서에 설명된 시나리오에서는 사용자에게 이미 다음 필수 구성 요소가 있다고 가정합니다.
- Microsoft Entra 테넌트
- 애플리케이션 관리자, 클라우드 애플리케이션 관리자 또는 애플리케이션 소유자 역할 중 하나입니다.
- SAP BTP 앱(SAP BTP ABAP 환경 또는 SAP BTP XS Advanced UAA Cloud Foundry)
- SAP 클라우드 ID 서비스 테넌트
- 관리자 권한이 있는 SAP Identity Provisioning 관리 콘솔의 사용자 계정. Identity Provisioning 관리 콘솔에서 프록시 시스템에 액세스할 수 있는지 확인합니다. Proxy Systems(프록시 시스템) 타일이 표시되지 않으면 이 타일에 대한 액세스를 요청하는 BC-IAM-IPS 구성 요소에 대한 인시던트를 만듭니다.
1단계: 프로비저닝 배포 계획
Microsoft Entra에는 SAP ECC, SAP Cloud Identity Services 및 SAP SuccessFactors에 대한 커넥터가 있습니다. BTP 또는 다른 애플리케이션으로 프로비전하려면 사용자가 먼저 Microsoft Entra ID에 있어야 합니다. Microsoft Entra ID에 사용자가 있으면 해당 사용자를 Microsoft Entra ID에서 SAP Cloud ID 서비스로 프로비저닝할 수 있습니다. 그런 다음 SAP 클라우드 ID 서비스는 SAP 클라우드 ID 디렉터리에 있는 Microsoft Entra ID에서 시작된 사용자를 SAP BTP ABAP environment
, 'SAP BTP XS Advanced UAA(클라우드 파운드리)' 등을 포함한 다운스트림 SAP 애플리케이션에 프로비저닝합니다.
2단계: Microsoft Entra ID에 적합한 사용자가 있는지 확인
직원이 입사, 이동, 퇴사할 때 SuccessFactors와 같은 소스에서 HR 인바운드를 사용하여 Microsoft Entra ID의 사용자 목록을 최신 상태로 유지할 수 있습니다. 그룹 또는 애플리케이션 역할 할당을 사용하여 SAP BTP에 액세스할 수 있는 사용자 또는 해당 사용자의 역할 범위를 지정할 계획이고 테넌트에 Microsoft Entra ID 거버넌스용 라이선스가 있는 경우, SAP 클라우드 ID 서비스 또는 SAP BTP를 나타내는 애플리케이션에 대해 Microsoft Entra ID에서 애플리케이션 역할 할당 변경 자동화를 수행할 수도 있습니다. 프로비전하기 전에 업무 분리 및 기타 규정 준수 검사를 수행하는 방법에 대한 자세한 내용은 액세스 수명 주기 관리 시나리오 마이그레이션을 참조하세요.
SAP 애플리케이션을 대상으로 하는 ID 수명 주기에 대한 단계별 지침은 SAP 원본 및 대상 애플리케이션을 사용하여 사용자 프로비저닝을 위해 Microsoft Entra를 배포하는 계획을 참조하세요.
3단계: Microsoft Entra ID에서 SAP 클라우드 ID 서비스로 프로비저닝 구성하기
사용자를 SAP BTP 또는 SAP 클라우드 ID 서비스와 통합된 기타 SAP 애플리케이션에 프로비저닝할 준비를 하려면 SAP 클라우드 ID 서비스에 해당 애플리케이션에 필요한 스키마 매핑이 있는지 확인합니다. 그런 다음 Microsoft Entra ID에서 SAP Cloud ID 서비스로 사용자 프로비저닝을 구성합니다. SAP Cloud Identity Services는 필요에 따라 사용자를 다운스트림 SAP 애플리케이션에 프로비전합니다.
Microsoft Entra에서 SAP Cloud Identity Services로 사용자를 프로비전하는 방법에는 두 가지가 있습니다.
SAP BTP 클라우드의 역할에 사용자를 할당하는 등 Microsoft Entra ID의 그룹을 사용하는 경우 SAP Cloud Identity Services 프로비저닝을 사용합니다. 먼저 SAP Analytics Cloud에서 사용되는 SAP 비즈니스 역할에 대한 Microsoft Entra 그룹을 만듭니다. 그런 다음 SAP Cloud Identity Services 프로비전에서 Microsoft Entra ID를 원본으로 구성하여 Microsoft Entra ID에서 SAP Cloud Identity Services로 사용자 및 그룹을 가져오고 만든 그룹을 SAP 비즈니스 역할에 매핑합니다. 자세한 내용은 Microsoft Azure AD에서 SAP Cloud ID 서비스에 사용자를 프로비저닝하는 방법에 대한 SAP 설명서 - ID 인증을 참조하세요.
또는 Microsoft Entra ID에서 그룹을 사용할 필요가 없는 경우 Microsoft Entra 프로비저닝 서비스를 사용할 수 있습니다. 이 시나리오에서는 SAP BTP를 나타내는 애플리케이션을 만들고 SAP BTP에 액세스해야 하는 사용자를 해당 애플리케이션에 할당합니다. 그런 다음 Microsoft Entra ID를 사용하여 자동 사용자 프로비저닝을 SAP 클라우드 ID 서비스에 구성합니다. 해당 사용자가 SAP Cloud Identity Services에 프로비전될 때까지 기다렸다가 SAP BTP 대상에 필요한 특성이 있는지 확인합니다.
참고 항목
소규모로 시작합니다. 모든 사용자에게 배포하기 전에 소수의 사용자 및 그룹 집합으로 테스트합니다. 사용자가 SAP 다운스트림 대상에서 올바른 액세스 권한을 가지고 있는지 확인하고 로그인할 때 올바른 역할을 보유하도록 합니다.
4단계: SAP Cloud Identity Services에서 SAP BTP로 프로비저닝 구성
이 단계에서는 SAP Cloud Identity Services ID 프로비저닝을 사용하여 SAP BTP를 대상 시스템으로 구성합니다. 여기서 사용자 및 그룹 멤버를 프로비전할 수 있습니다. SAP BTP ABAP 환경의 경우 SAP BTP ABAP 환경에 대한 프로비저닝에 대한 SAP 설명서를 참조하세요. SAP BTP XS Advanced UAA(클라우드 파운드리)에 대한 자세한 내용은 SAP BTP XS Advanced UAA(클라우드 파운드리) 프로비저닝에 대한 SAP 문서를 참조하세요.
5단계: 통합 인증 구성
SAP 애플리케이션에 대한 사용자 프로비저닝을 구성한 후에는 해당 애플리케이션에 대해 Single Sign-On을 사용하도록 설정해야 합니다. Microsoft Entra ID는 SAP 애플리케이션의 ID 공급자 및 인증 기관 역할을 할 수 있습니다. 아직 수행하지 않은 경우 SAP Cloud Identity Services와 Microsoft Entra SSO(Single Sign-On) 통합을 구성 합니다.
SAP SaaS 및 최신 앱에 대한 Single Sign-On을 구성하는 방법에 대한 자세한 내용은 SSO를 사용하도록 설정을 참조하세요.