Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano kroki, które należy wykonać w usługach SAP Cloud Identity Services i Microsoft Entra ID w celu skonfigurowania automatycznej aprowizacji użytkowników. Po skonfigurowaniu Microsoft Entra ID automatycznie aprowizuje i deaprowizuje użytkowników na platformie SAP HANA za pomocą usługi aprowizacji Microsoft i usług SAP Cloud Identity Services. Aby uzyskać ważne szczegółowe informacje o tym, czym jest aprowizacja Microsoft Entra, jak działa oraz odpowiedzi na często zadawane pytania, zobacz Automatyzowanie aprowizacji użytkowników i deprowizji do aplikacji SaaS za pomocą Microsoft Entra ID.
Obsługiwane funkcje
- Tworzenie użytkowników na platformie SAP HANA w celu włączenia logowania jednokrotnego na platformie SAP HANA
- Usuwanie użytkowników na platformie SAP HANA, gdy nie wymagają już dostępu
- Zachowywanie synchronizacji atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i platformą SAP HANA
Wymagania wstępne
W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:
- Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
- Jedna z następujących ról:
- Sap HANA Cloud lub SAP HANA Database
- Dzierżawa usług SAP Cloud Identity Services
- Konto użytkownika w konsoli administracyjnej sap Identity Provisioning z uprawnieniami administratora. Upewnij się, że masz dostęp do systemów proxy w konsoli administracyjnej usługi Identity Provisioning. Jeśli nie widzisz kafelka Proxy Systems, utwórz zgłoszenie dla składnika BC-IAM-IPS , aby zażądać dostępu do tego kafelka.
Krok 1: Zaplanuj wdrożenie konfiguracji
Firma Microsoft Entra ma łączniki do systemów SAP ECC, SAP Cloud Identity Services i SAP SuccessFactors. Aprowizowanie w oprogramowaniu SAP HANA lub innych aplikacjach wymaga, aby użytkownicy najpierw znajdowali się w identyfikatorze Entra firmy Microsoft. Gdy masz użytkowników w usłudze Microsoft Entra ID, możesz aprowizować tych użytkowników z identyfikatora Entra firmy Microsoft do usług SAP Cloud Identity Services. Usługa SAP Cloud Identity Services aprowizuje następnie użytkowników pochodzących z usługi Microsoft Entra ID, które znajdują się w katalogu SAP Cloud Identity Directory do podrzędnych aplikacji SAP, w tym SAP HANA Cloud i "bazy danych SAP HANA" za pośrednictwem łącznika chmury SAP i innych.
Krok 2. Upewnij się, że masz odpowiednich użytkowników w identyfikatorze Entra firmy Microsoft
Możesz użyć danych HR ze źródeł, takich jak SuccessFactors, aby zachować aktualność listy użytkowników w Microsoft Entra ID, gdy pracownicy dołączają, przenoszą się i opuszczają firmę. Jeśli planujesz używać grup lub przypisań ról aplikacji do określania, kto może uzyskać dostęp do SAP HANA lub jakie role będą pełnić, i jeśli Twoja organizacja posiada licencję na Microsoft Entra ID Governance, możesz również zautomatyzować zmiany przypisań ról aplikacji w Microsoft Entra ID dla aplikacji reprezentujących SAP HANA lub SAP Cloud Identity Services. Aby uzyskać więcej informacji na temat rozdzielania obowiązków i innych kontroli zgodności przed aprowizowaniem, zobacz scenariusze zarządzania cyklem życia dostępu podczas migracji.
Aby uzyskać szczegółowe wskazówki dotyczące cyklu życia tożsamości z aplikacjami SAP jako obiektem docelowym, zobacz Planowanie wdrażania usługi Microsoft Entra na potrzeby aprowizacji użytkowników za pomocą aplikacji źródłowych i docelowych SAP.
Krok 3. Konfigurowanie aprowizacji z usługi Microsoft Entra ID do usług SAP Cloud Identity Services
Aby przygotować się do aprowizacji użytkowników w oprogramowaniu SAP HANA lub innych aplikacjach SAP zintegrowanych z usługami SAP Cloud Identity Services, upewnij się, że usługi SAP Cloud Identity Services mają niezbędne mapowania schematów dla tych aplikacji. Następnie skonfiguruj aprowizację użytkowników z usługi Microsoft Entra ID do usług SAP Cloud Identity Services. Usługi SAP Cloud Identity Services będą następnie aprowizować użytkowników do podrzędnych aplikacji SAP w razie potrzeby.
Istnieją dwa sposoby aprowizacji użytkowników z Microsoft Entra do SAP Cloud Identity Services.
Jeśli używasz grup z identyfikatora Entra firmy Microsoft, na przykład do przypisywania użytkowników do ról w chmurze SAP HANA, użyj aprowizacji usług SAP Cloud Identity Services. Najpierw utwórz grupy Microsoft Entra dla ról biznesowych SAP używanych w SAP Analytics Cloud. Następnie, w konfiguracji usług SAP Cloud Identity Services, skonfiguruj Microsoft Entra ID jako źródło, aby przenieść użytkowników i grupy z Microsoft Entra ID do SAP Cloud Identity Services i zamapować utworzone grupy na role biznesowe SAP. Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP dotyczącą aprowizacji użytkowników z usługi Microsoft Azure AD do usług SAP Cloud Identity Services — Identity Authentication.
Alternatywnie, jeśli nie musisz używać grup w Microsoft Entra ID, możesz skorzystać z usługi aprowizacji Microsoft Entra. W tym scenariuszu utwórz aplikację reprezentującą platformę SAP HANA i przypisz użytkowników, którzy potrzebują dostępu do platformy SAP HANA do tej aplikacji. Następnie skonfiguruj automatyczną aprowizację użytkowników z Microsoft Entra ID do usługi SAP Cloud Identity Services. Poczekaj na aprowizację tych użytkowników w usługach SAP Cloud Identity Services i sprawdź, czy mają atrybuty niezbędne dla docelowego rozwiązania SAP HANA.
Uwaga
Zacznij od małych kroków. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. Sprawdź, czy użytkownicy mają odpowiednie uprawnienia do celów docelowych SAP i upewnij się, że po zalogowaniu dysponują właściwymi rolami.
Krok 4. Konfigurowanie aprowizacji z usług SAP Cloud Identity Services do platformy SAP HANA
W tym kroku użyj usługi SAP Cloud Identity Services Identity Provisioning, aby skonfigurować platformę SAP HANA jako system docelowy, w którym można aprowizować użytkowników i członków grupy. Aby uzyskać więcej informacji o SAP HANA Cloud lub SAP HANA Database, zobacz dokumentację SAP dotyczącą udostępniania w SAP HANA Cloud lub SAP HANA Database.
Krok 5. Konfigurowanie logowania jednokrotnego
Po skonfigurowaniu aprowizacji dla użytkowników w aplikacjach SAP należy włączyć dla nich logowanie jednokrotne. Microsoft Entra ID może służyć jako dostawca tożsamości i autorytet uwierzytelniania dla aplikacji SAP. Jeśli jeszcze tego nie zrobiono, skonfiguruj integrację logowania jednokrotnego (SSO) firmy Microsoft z usługą SAP Cloud Identity Services.
Aby uzyskać więcej informacji na temat konfigurowania logowania jednokrotnego do aplikacji SAP SaaS i nowoczesnych, zobacz włączanie logowania jednokrotnego.