Udostępnij za pośrednictwem

Samouczek: konfigurowanie usługi Microsoft Entra ID i SAP Cloud Identity Services na potrzeby automatycznej aprowizacji użytkowników na platformie SAP HANA

  • Artykuł

W tym samouczku opisano kroki, które należy wykonać w usługach SAP Cloud Identity Services i Microsoft Entra ID w celu skonfigurowania automatycznej aprowizacji użytkowników. Po skonfigurowaniu identyfikator Entra firmy Microsoft automatycznie aprowizuje użytkowników i anuluje aprowizację na platformie SAP HANA przy użyciu usługi aprowizacji Firmy Microsoft i usług SAP Cloud Identity Services. Aby uzyskać ważne szczegółowe informacje na temat działania aprowizacji firmy Microsoft, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Obsługiwane możliwości

  • Tworzenie użytkowników na platformie SAP HANA w celu włączenia logowania jednokrotnego na platformie SAP HANA
  • Usuwanie użytkowników na platformie SAP HANA, gdy nie wymagają już dostępu
  • Zachowywanie synchronizacji atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i platformą SAP HANA

Warunki wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:

  • Dzierżawa firmy Microsoft Entra
  • Jedną z następujących ról: Administrator aplikacji, Administrator aplikacji w chmurze lub Właściciel aplikacji.
  • Sap HANA Cloud lub SAP HANA Database
  • Dzierżawa usług SAP Cloud Identity Services
  • Konto użytkownika w konsoli administracyjnej sap Identity Provisioning z uprawnieniami administratora. Upewnij się, że masz dostęp do systemów proxy w konsoli administracyjnej usługi Identity Provisioning. Jeśli nie widzisz kafelka Systemy proxy, utwórz zdarzenie dla składnika BC-IAM-IPS , aby zażądać dostępu do tego kafelka.

Krok 1. Planowanie wdrożenia aprowizacji

Firma Microsoft Entra ma łączniki do systemów SAP ECC, SAP Cloud Identity Services i SAP SuccessFactors. Aprowizowanie w oprogramowaniu SAP HANA lub innych aplikacjach wymaga, aby użytkownicy najpierw znajdowali się w identyfikatorze Entra firmy Microsoft. Gdy masz użytkowników w usłudze Microsoft Entra ID, możesz aprowizować tych użytkowników z identyfikatora Entra firmy Microsoft do usług SAP Cloud Identity Services. Usługa SAP Cloud Identity Services aprowizuje następnie użytkowników pochodzących z usługi Microsoft Entra ID, które znajdują się w katalogu SAP Cloud Identity Directory do podrzędnych aplikacji SAP, w tym SAP HANA Cloud i "bazy danych SAP HANA" za pośrednictwem łącznika chmury SAP i innych.

Diagram przedstawiający technologie firmy Microsoft i SAP związane z aprowizowaniem tożsamości z identyfikatora Entra firmy Microsoft.

Krok 2. Upewnij się, że masz odpowiednich użytkowników w identyfikatorze Entra firmy Microsoft

Możesz użyć ruchu przychodzącego hr ze źródeł, takich jak SuccessFactors, aby zachować aktualność listy użytkowników w identyfikatorze Entra firmy Microsoft, gdy pracownicy dołączają, przenoszą i opuszczają. Jeśli planujesz używać grup lub przypisań ról aplikacji do zakresu, kto może uzyskać dostęp do platformy SAP HANA lub jakie role będą miały, a dzierżawa ma licencję na Zarządzanie tożsamością Microsoft Entra, możesz również zautomatyzować zmiany przypisań ról aplikacji w identyfikatorze Entra firmy Microsoft dla aplikacji reprezentujących usługi SAP Cloud Identity Services lub SAP HANA. Aby uzyskać więcej informacji na temat rozdzielania obowiązków i innych kontroli zgodności przed aprowizowaniem, zobacz Migrowanie scenariuszy zarządzania cyklem życia dostępu.

Aby uzyskać szczegółowe wskazówki dotyczące cyklu życia tożsamości z aplikacjami SAP jako obiektem docelowym, zobacz Planowanie wdrażania usługi Microsoft Entra na potrzeby aprowizacji użytkowników za pomocą aplikacji źródłowych i docelowych SAP.

Krok 3. Konfigurowanie aprowizacji z usługi Microsoft Entra ID do usług SAP Cloud Identity Services

Aby przygotować się do aprowizacji użytkowników w oprogramowaniu SAP HANA lub innych aplikacjach SAP zintegrowanych z usługami SAP Cloud Identity Services, upewnij się, że usługi SAP Cloud Identity Services mają niezbędne mapowania schematów dla tych aplikacji. Następnie skonfiguruj aprowizację użytkowników z usługi Microsoft Entra ID do usług SAP Cloud Identity Services. Usługi SAP Cloud Identity Services będą następnie aprowizować użytkowników do podrzędnych aplikacji SAP w razie potrzeby.

Istnieją dwa sposoby aprowizacji użytkowników z firmy Microsoft Entra w usługach SAP Cloud Identity Services.

Nuta

Zacznij od małych. Przetestuj mały zestaw użytkowników i grup przed wdrożeniem dla wszystkich użytkowników. Sprawdź, czy użytkownicy mają odpowiedni dostęp do docelowych elementów podrzędnych SAP, a po zalogowaniu mają odpowiednie role.

Krok 4. Konfigurowanie aprowizacji z usług SAP Cloud Identity Services do platformy SAP HANA

W tym kroku użyj usługi SAP Cloud Identity Services Identity Provisioning, aby skonfigurować platformę SAP HANA jako system docelowy, w którym można aprowizować użytkowników i członków grupy. Aby zapoznać się z usługą SAP HANA Cloud lub SAP HANA Database, zobacz dokumentację sap na temat aprowizacji w chmurze SAP HANA lub bazie danych SAP HANA Database.

Krok 5. Konfigurowanie logowania jednokrotnego

Po skonfigurowaniu aprowizacji dla użytkowników w aplikacjach SAP należy włączyć dla nich logowanie jednokrotne. Microsoft Entra ID może służyć jako dostawca tożsamości i urząd uwierzytelniania dla aplikacji SAP. Jeśli jeszcze tego nie zrobiono, skonfiguruj integrację logowania jednokrotnego (SSO) firmy Microsoft z usługą SAP Cloud Identity Services.

Aby uzyskać więcej informacji na temat konfigurowania logowania jednokrotnego do aplikacji SAP SaaS i nowoczesnych, zobacz włączanie logowania jednokrotnego.

Następne kroki