Toegang tot uw SAP-toepassingen beheren

SAP-software en -services voeren waarschijnlijk kritieke functies uit, zoals HR en ERP, voor uw organisatie. Tegelijkertijd is uw organisatie afhankelijk van Microsoft voor verschillende Azure-services, Microsoft 365 en Microsoft Entra ID-governance voor het beheren van toegang tot toepassingen. In dit artikel wordt beschreven hoe u Identity Governance kunt gebruiken om identiteiten in uw SAP-toepassingen te beheren.

Migreren vanuit SAP Identity Management

Als u SAP Identity Management (IDM) hebt gebruikt, kunt u scenario's voor identiteitsbeheer migreren van SAP IDM naar Microsoft Entra. Zie Scenario's voor identiteitsbeheer migreren van SAP IDM naar Microsoft Entra voor meer informatie.

Identiteiten van HR overbrengen naar Microsoft Entra-id

In het zelfstudieplan voor het implementeren van Microsoft Entra voor het inrichten van gebruikers met SAP-bron- en doel-apps ziet u hoe u Microsoft Entra verbindt met gezaghebbende bronnen voor de lijst met werknemers in een organisatie, zoals SAP SuccessFactors. U ziet ook hoe u Microsoft Entra gebruikt om identiteiten in te stellen voor deze werknemers. Vervolgens leert u hoe u Microsoft Entra gebruikt om werknemers toegang te bieden tot aanmelding bij een of meer SAP-toepassingen, zoals SAP ECC of SAP S/4HANA.

SuccessFactors

Klanten die SAP SuccessFactors gebruiken, kunnen eenvoudig identiteiten van SuccessFactors overbrengen naar Microsoft Entra-id of van SuccessFactors in on-premises Active Directory met behulp van systeemeigen connectors. De connectors ondersteunen de volgende scenario's:

• Nieuwe werknemers inhuren: Wanneer een nieuwe werknemer wordt toegevoegd aan SuccessFactors, wordt automatisch een gebruikersaccount gemaakt in Microsoft Entra ID en optioneel Microsoft 365 en andere SaaS-toepassingen (Software as a Service) die door Microsoft Entra ID worden ondersteund. Dit proces omvat het terugschrijven van het e-mailadres naar SuccessFactors.
• Updates van het kenmerk en profiel van werknemers: wanneer een werknemersrecord wordt bijgewerkt in SuccessFactors (zoals naam, titel of manager), wordt het gebruikersaccount van de werknemer automatisch bijgewerkt in Microsoft Entra-id en optioneel in Microsoft 365 en andere SaaS-toepassingen die door Microsoft Entra ID worden ondersteund.
• Beëindiging van werknemers: Wanneer een werknemer wordt beëindigd in SuccessFactors, wordt het gebruikersaccount van de werknemer automatisch uitgeschakeld in Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die door Microsoft Entra ID worden ondersteund.
• Werknemers rehires: Wanneer een werknemer opnieuw wordt ingehuurd in SuccessFactors, kan het oude account van de werknemer automatisch opnieuw worden geactiveerd of opnieuw worden ingesteld (afhankelijk van uw voorkeur) naar Microsoft Entra-id en optioneel Microsoft 365 en andere SaaS-toepassingen die door Microsoft Entra ID worden ondersteund.

U kunt ook terugschrijven van Microsoft Entra-id naar SAP SuccessFactors.

SAP HCM

Klanten die nog steeds SAP Human Capital Management (HCM) gebruiken, kunnen ook identiteiten overbrengen naar Microsoft Entra ID. Met behulp van SAP Integration Suite kunt u lijsten met werkrollen synchroniseren tussen SAP HCM en SAP SuccessFactors. Van daaruit kunt u identiteiten rechtstreeks in Microsoft Entra ID opnemen of inrichten in Active Directory-domein Services met behulp van de eerder genoemde systeemeigen inrichtingsintegraties.

Toegang bieden tot SAP-toepassingen

Naast de systeemeigen inrichtingsintegraties waarmee u de toegang tot uw SAP-toepassingen kunt beheren, biedt Microsoft Entra ID ondersteuning voor een uitgebreide set integraties met deze toepassingen.

SSO inschakelen

Naast het instellen van inrichting voor uw SAP-toepassingen, kunt u hiervoor eenmalige aanmelding inschakelen. Microsoft Entra-id kan fungeren als de id-provider en fungeren als de verificatie-instantie voor uw SAP-toepassingen. Microsoft Entra ID kan worden geïntegreerd met SAP NetWeaver met behulp van SAML of OAuth. Voor SAP SaaS en moderne apps leert u hoe u Microsoft Entra ID configureert als de provider van bedrijfsidentiteiten voor uw SAP-toepassingen via SAP Cloud Identity Services.

Zie de volgende documentatie en zelfstudies voor meer informatie over het configureren van eenmalige aanmelding vanuit Microsoft Entra ID:

• SAP Cloud Identity Services
• SAP SuccessFactors
• SAP Analytics Cloud
• SAP Fiori
• SAP Ariba
• SAP Concur Travel and Expense
• SAP Business Technology Platform
• SAP Business ByDesign
• SAP HANA
• SAP Cloud for Customer
• SAP Fieldglass

Zie ook de volgende SAP-resources:

• Azure-toepassing Gateway instellen van SAML-Single sign-on voor openbare en interne SAP-URL's
• Eenmalige aanmelding met Microsoft Entra Domain Services en Kerberos

Identiteiten inrichten in moderne SAP-toepassingen

Nadat uw gebruikers zich in Microsoft Entra ID bevinden, kunt u accounts inrichten in de verschillende SaaS- en on-premises SAP-toepassingen waartoe ze toegang nodig hebben. U kunt dit op twee manieren doen:

• Gebruik de bedrijfstoepassing SAP Cloud Identity Services in Microsoft Entra ID om identiteiten in te richten in SAP Cloud Identity Services. Nadat u alle identiteiten hebt ingevoerd in SAP Cloud Identity Services, kunt u SAP Cloud Identity Services - Identity Provisioning gebruiken om de accounts daar in te richten in uw toepassingen wanneer dat nodig is.
• Gebruik de integratie van SAP Cloud Identity Services - Identity Provisioning om identiteiten van Microsoft Entra ID rechtstreeks te exporteren naar geïntegreerde SAP Cloud Identity Services-toepassingen. Wanneer u SAP Cloud Identity Services - Identity Provisioning gebruikt om gebruikers in die toepassingen te brengen, wordt alle inrichtingsconfiguratie voor deze toepassingen rechtstreeks in SAP beheerd. U kunt de bedrijfstoepassing in Microsoft Entra-id nog steeds gebruiken om eenmalige aanmelding te beheren en Microsoft Entra-id te gebruiken als provider van bedrijfsidentiteit.

Identiteiten inrichten in on-premises SAP-systemen

Zodra u gebruikers in Microsoft Entra ID hebt, kunt u deze gebruikers inrichten van Microsoft Entra ID naar SAP Cloud Identity Services of SAP ECC, zodat ze zich kunnen aanmelden bij SAP-toepassingen. Als u dat hebt SAP S/4HANA On-premise, richt u gebruikers van Microsoft Entra ID in op SAP Cloud Identity Directory. SAP Cloud Identity Services richt vervolgens de gebruikers in die afkomstig zijn van Microsoft Entra-id die zich in de SAP Cloud Identity Directory bevinden in de downstream SAP-toepassingen naar SAP S/4HANA On-Premises via de SAP-cloudconnector.

Klanten die nog moeten overstappen van toepassingen zoals SAP R/3 en SAP ERP Central Component (SAP ECC) naar SAP S/4HANA, kunnen nog steeds vertrouwen op de Microsoft Entra-inrichtingsservice om gebruikersaccounts in te richten. Binnen SAP R/3 en SAP ECC maakt u de benodigde BAP's (Business Application Programming Interfaces) beschikbaar voor het maken, bijwerken en verwijderen van gebruikers. Binnen Microsoft Entra ID hebt u twee opties:

• Gebruik de lichtgewicht Microsoft Entra-inrichtingsagent en webserviceconnector om gebruikers in te richten in apps zoals SAP ECC.
• In scenario's waarin u complexer groeps- en rolbeheer moet uitvoeren, gebruikt u Microsoft Identity Manager om de toegang tot uw verouderde SAP-toepassingen te beheren.

U kunt ook Microsoft Entra ID gebruiken om werknemers in te richten in Active Directory, evenals andere on-premises systemen die SAP Cloud Identity Services niet ondersteunt voor inrichting.

Aangepaste werkstromen activeren

Wanneer een nieuwe werknemer wordt ingehuurd in uw organisatie, moet u mogelijk een werkstroom activeren binnen uw on-premises SAP-systemen voor extra taken, behalve het inrichten van gebruikers. Door gebruik te maken van de levenscycluswerkstromen van Microsoft Entra Logic Apps, of de uitbreiding van Logic Apps-rechtenbeheer van Microsoft Entra met de SAP-connector in Azure Logic Apps, kunt u aangepaste acties in SAP activeren bij het inhuren van een nieuwe werknemer.

Controleren op scheiding van taken

Met scheiding van rechtencontroles in Microsoft Entra-rechtenbeheer kunnen klanten ervoor zorgen dat gebruikers geen overmatige toegangsrechten aannemen:

• Beheerders en toegangsbeheerders kunnen voorkomen dat gebruikers extra toegangspakketten aanvragen als ze al zijn toegewezen aan andere toegangspakketten of lid zijn van andere groepen die niet compatibel zijn met de aangevraagde toegang.
• Ondernemingen met kritieke wettelijke vereisten voor SAP-apps hebben één consistente weergave van toegangsbeheer. Ze kunnen vervolgens scheiding van taken afdwingen in hun financiële en andere bedrijfskritieke toepassingen, samen met geïntegreerde Microsoft Entra-toepassingen.
• Met integratie met Pathlock en andere partnerproducten kunnen klanten profiteren van fijnmazige scheiding van takencontroles met toegangspakketten in Microsoft Entra ID-governance.

Aanvullende richtlijnen

Zie de volgende documentatie voor meer informatie over SAP-integraties met Microsoft Entra ID:

• Beveiligde toegang met SAP Cloud Identity Services en Microsoft Entra-id
• Beveiliging van SAP-workloads - Microsoft Azure Well-Architected Framework
• Services en integratiepartners voor het implementeren van Microsoft Entra met SAP-toepassingen

Volgende stappen

• Microsoft Entra implementeren voor het inrichten van gebruikers met SAP-bron- en doel-apps
• Identiteiten van SAP SuccessFactors overbrengen naar Microsoft Entra-id
• Accounts inrichten in SAP Cloud Identity Services
• Aan de slag met SAP- en Microsoft-integratiescenario's