Toegang tot uw SAP-toepassingen beheren
SAP voert waarschijnlijk kritieke functies uit, zoals HR en ERP, voor uw organisatie. Tegelijkertijd is uw organisatie afhankelijk van Microsoft voor verschillende Azure-services, Microsoft 365 en Microsoft Entra ID-governance voor het beheren van toegang tot toepassingen. In dit artikel wordt beschreven hoe u Identity Governance kunt gebruiken om identiteiten in uw SAP-toepassingen te beheren.
Identiteiten van HR overbrengen naar Microsoft Entra-id
SuccessFactors
Klanten die SAP SuccessFactors gebruiken, kunnen eenvoudig identiteiten van SuccessFactors overbrengen naar Microsoft Entra-id of van SuccessFactors in on-premises Active Directory met behulp van systeemeigen connectors. De connectors ondersteunen de volgende scenario's:
- Nieuwe werknemers inhuren: Wanneer een nieuwe werknemer wordt toegevoegd aan SuccessFactors, wordt automatisch een gebruikersaccount gemaakt in Microsoft Entra ID en optioneel Microsoft 365 en andere SaaS-toepassingen (Software as a Service) die door Microsoft Entra ID worden ondersteund. Dit proces omvat het terugschrijven van het e-mailadres naar SuccessFactors.
- Updates van het kenmerk en profiel van werknemers: wanneer een werknemersrecord wordt bijgewerkt in SuccessFactors (zoals naam, titel of manager), wordt het gebruikersaccount van de werknemer automatisch bijgewerkt in Microsoft Entra-id en optioneel in Microsoft 365 en andere SaaS-toepassingen die door Microsoft Entra ID worden ondersteund.
- Beëindiging van werknemers: Wanneer een werknemer wordt beëindigd in SuccessFactors, wordt het gebruikersaccount van de werknemer automatisch uitgeschakeld in Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die door Microsoft Entra ID worden ondersteund.
- Werknemers rehires: Wanneer een werknemer opnieuw wordt ingehuurd in SuccessFactors, kan het oude account van de werknemer automatisch opnieuw worden geactiveerd of opnieuw worden ingesteld (afhankelijk van uw voorkeur) naar Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die door Microsoft Entra ID worden ondersteund.
U kunt ook terugschrijven van Microsoft Entra-id naar SAP SuccessFactors.
SAP HCM
Klanten die nog steeds SAP Human Capital Management (HCM) gebruiken, kunnen ook identiteiten overbrengen naar Microsoft Entra ID. Met behulp van SAP Integration Suite kunt u lijsten met werkrollen synchroniseren tussen SAP HCM en SAP SuccessFactors. Van daaruit kunt u identiteiten rechtstreeks in Microsoft Entra ID opnemen of inrichten in Active Directory-domein Services met behulp van de eerder genoemde systeemeigen inrichtingsintegraties.
Toegang bieden tot SAP-toepassingen
Naast de systeemeigen inrichtingsintegraties waarmee u de toegang tot uw SAP-toepassingen kunt beheren, biedt Microsoft Entra ID ondersteuning voor een uitgebreide set integraties met deze toepassingen.
SSO inschakelen
Naast het instellen van inrichting voor uw SAP-toepassingen, kunt u hiervoor eenmalige aanmelding inschakelen. Microsoft Entra-id kan fungeren als de id-provider en fungeren als de verificatie-instantie voor uw SAP-toepassingen. Microsoft Entra ID kan worden geïntegreerd met SAP NetWeaver met behulp van SAML of OAuth. Voor SAP SaaS en moderne apps leert u hoe u Microsoft Entra ID configureert als de provider van bedrijfsidentiteiten voor uw SAP-toepassingen via SAP Cloud Identity Services.
Zie de volgende documentatie en zelfstudies voor meer informatie over het configureren van eenmalige aanmelding vanuit Microsoft Entra ID:
- SAP Cloud Identity Services
- SAP SuccessFactors
- SAP Analytics Cloud
- SAP Fiori
- SAP Qualtrics
- SAP Ariba
- SAP Concur Travel and Expense
- SAP Business Technology Platform
- SAP Business ByDesign
- SAP HANA
- SAP Cloud for Customer
- SAP Fieldglass
Zie ook de volgende SAP-resources:
- Azure-toepassing Gateway instellen van SAML-Single sign-on voor openbare en interne SAP-URL's
- Eenmalige aanmelding met Microsoft Entra Domain Services en Kerberos
Identiteiten inrichten in moderne SAP-toepassingen
Nadat uw gebruikers zich in Microsoft Entra ID bevinden, kunt u accounts inrichten in de verschillende SaaS- en on-premises SAP-toepassingen waartoe ze toegang nodig hebben. U kunt dit op twee manieren doen:
- Gebruik de bedrijfstoepassing SAP Cloud Identity Services in Microsoft Entra ID om identiteiten in te richten in SAP Cloud Identity Services. Nadat u alle identiteiten hebt ingevoerd in SAP Cloud Identity Services, kunt u SAP Cloud Identity Services - Identity Provisioning gebruiken om de accounts daar in te richten in uw toepassingen wanneer dat nodig is.
- Gebruik de integratie van SAP Cloud Identity Services - Identity Provisioning om identiteiten van Microsoft Entra ID rechtstreeks te exporteren naar geïntegreerde SAP Cloud Identity Services-toepassingen. Wanneer u SAP Cloud Identity Services - Identity Provisioning gebruikt om gebruikers in die toepassingen te brengen, wordt alle inrichtingsconfiguratie voor deze toepassingen rechtstreeks in SAP beheerd. U kunt de bedrijfstoepassing in Microsoft Entra-id nog steeds gebruiken om eenmalige aanmelding te beheren en Microsoft Entra-id te gebruiken als provider van bedrijfsidentiteit.
Identiteiten inrichten in on-premises SAP-systemen
Klanten die nog moeten overstappen van toepassingen zoals SAP R/3 en SAP ERP Central Component (SAP ECC) naar SAP S/4HANA, kunnen nog steeds vertrouwen op de Microsoft Entra-inrichtingsservice om gebruikersaccounts in te richten. Binnen SAP R/3 en SAP ECC maakt u de benodigde BAP's (Business Application Programming Interfaces) beschikbaar voor het maken, bijwerken en verwijderen van gebruikers. Binnen Microsoft Entra ID hebt u twee opties:
- Gebruik de lichtgewicht Microsoft Entra-inrichtingsagent en webserviceconnector om gebruikers in te richten in apps zoals SAP ECC.
- In scenario's waarin u complexer groeps- en rolbeheer moet uitvoeren, gebruikt u Microsoft Identity Manager om de toegang tot uw verouderde SAP-toepassingen te beheren.
U kunt ook Microsoft Entra ID gebruiken om werknemers in te richten in Active Directory, evenals andere on-premises systemen die SAP Cloud Identity Services niet ondersteunt voor inrichting.
Aangepaste werkstromen activeren
Wanneer een nieuwe werknemer wordt ingehuurd in uw organisatie, moet u mogelijk een werkstroom activeren binnen uw on-premises SAP-systemen voor extra taken, behalve het inrichten van gebruikers. Door gebruik te maken van de levenscycluswerkstromen van Microsoft Entra Logic Apps, of de uitbreiding van Logic Apps-rechtenbeheer van Microsoft Entra met de SAP-connector in Azure Logic Apps, kunt u aangepaste acties in SAP activeren bij het inhuren van een nieuwe werknemer.
Controleren op scheiding van taken
Met scheiding van rechtencontroles in Microsoft Entra-rechtenbeheer kunnen klanten ervoor zorgen dat gebruikers geen overmatige toegangsrechten aannemen:
- Beheer s en toegangsbeheerders kunnen voorkomen dat gebruikers extra toegangspakketten aanvragen als ze al zijn toegewezen aan andere toegangspakketten of lid zijn van andere groepen die niet compatibel zijn met de aangevraagde toegang.
- Ondernemingen met kritieke wettelijke vereisten voor SAP-apps hebben één consistente weergave van toegangsbeheer. Ze kunnen vervolgens scheiding van taken afdwingen in hun financiële en andere bedrijfskritieke toepassingen, samen met geïntegreerde Microsoft Entra-toepassingen.
- Met integratie met Pathlock en andere partnerproducten kunnen klanten profiteren van fijnmazige scheiding van takencontroles met toegangspakketten in Microsoft Entra ID-governance.
Aanvullende richtlijnen
Zie de volgende documentatie voor meer informatie over SAP-integraties met Microsoft Entra ID:
- Beveiligde toegang met SAP Cloud Identity Services en Microsoft Entra-id
- Beveiliging van SAP-workloads - Microsoft Azure Well-Architected Framework