Konfigurowanie list kontroli dostępu w Tożsamości Microsoft Entra
Użytkownicy muszą mieć dostęp tylko do tych aplikacji i przepływów, które są dostosowane do ich funkcji w dziale. Można tworzyć grupy zabezpieczeń Tożsamości Microsoft Entra na podstawie procesów biznesowych i przypisywać członków zespołu do odpowiednich grup. Grupy zabezpieczeń kontrolują dostęp użytkowników do aplikacji i widoczność różnych komponentów w aplikacjach.
Tworzenie grup zabezpieczeń Tożsamości Microsoft Entra
Poniższy model wdrożenia ilustruje sposób przypisywania użytkowników do różnych grup zabezpieczeń usługi Tożsamość Microsoft Entra na podstawie funkcji działu.
Grupa zabezpieczeń administratora
Skonfigurowanie co najmniej jednego administratora w zespole SAP Procurement Admin.
Funkcjonalne grupy zabezpieczeń
Grupy zabezpieczeń mogą być dostosowane do konkretnych procesów biznesowych. Przydziel wszystkich użytkowników, którzy uczestniczą w procesie od zamówienia do zapłaty, do jednego lub więcej z sześciu różnych zespołów użytkowników:
- Zarządzanie dostawcami
- Zapotrzebowania zakupu
- Zamówienia zakupu
- Odbiory towarów od dostawcy
- Faktura od dostawcy
- Płatności dostawcy
Ten model jest używany w pozostałej części tego dokumentu, aby pokazać intencje, ale konfiguracja może się różnić w zależności od wymagań.
Więcej informacji:
Utwórz zespoły grupy Dataverse
Administratorzy zarządzają pozycjami menu widocznymi dla użytkowników w aplikacjach kanwy, zarządzanych bezpośrednio w aplikacji SAP Administrator. Dataverse Członkostwo w zespole grupowym kontroluje dostęp do elementów menu i ich widoczność. Grupy zabezpieczeń Tożsamości Microsoft Entra określają członkostwo zespołu grupy Dataverse i zapewniają jedną z dwóch opcji:
- Użytkownicy widzą i mają dostęp do odpowiednich pozycji menu w aplikacjach kanwy, gdy zostaną dodani do co najmniej jednej grupy zabezpieczeń.
- Użytkownicy przestają je widzieć i tracą dostęp, gdy zostaną usunięci z grupy zabezpieczeń.
Dodatkowo, widoczność menu steruje zachowaniem szczegółówym przeglądaniem na niektórych polach w aplikacjach opartych na kanwie. Na przykład, jeśli użytkownik nie jest częścią zespołu ds. zleceń zakupu, może wyświetlić tylko numer zlecenia zakupu powiązany z zapotrzebowaniem w aplikacji SAP Requisition Management. Nie mogą przeglądać wszystkich szczegółów zlecenia zakupu.
Więcej informacji: Praca z zespołami grup Tożsamości Microsoft Entra
Kroki zarządzania zespołami
Aby tworzyć zespoły i konfigurować ustawienia zabezpieczeń, należy wykonać następujące kroki:
- Zaloguj się w Centrum administracyjnym Power Platform.
- Przejdź do Środowiska i wybierz środowisko zawierające rozwiązania.
- Przejdź do Ustawienia>Użytkownicy + Uprawnienia>Zespoły.
- Wybierz + Utwórz zespół.
- Wypełnij wymagane pola. Dla Typ zespołu wybierz Grupa zabezpieczeń Tożsamości Microsoft Entra. Wymagane będzie również wypełnienie pól Nazwa grupy i Typ członkostwa.
- Wyszukaj przykładową grupę zabezpieczeń utworzoną wcześniej w Tożsamości Microsoft Entra i skojarz ją z nowo utworzonym grupą zespołu.
- Przypisuj zespołom role zabezpieczeń, które odpowiadają funkcjom zespołu.
Wskazówki dotyczące ról zabezpieczeń
Poniższa tabela zawiera wskazówki dotyczące przypisywania ról zabezpieczeń:
| Nazwa zespołu Dataverse | Użytkownik szablonu SAP | Administrator szablonów SAP | Użytkownik podstawowy |
|---|---|---|---|
| Zarządzanie dostawcami | X | X | |
| Zapotrzebowania zakupu | X | X | |
| Zamówienia zakupu | X | X | |
| Odbiór towarów od dostawcy | X | X | |
| Faktura od dostawcy | X | X | |
| Płatności dostawcy | X | X | |
| Administrator | X | X |
Uwaga
- Użytkownicy są dodawani lub usuwani do zespołu grup na podstawie ich członkostwa w powiązanej grupie zabezpieczeń Tożsamości Microsoft Entra.
- Dostęp do danych Dataverse jest regulowany przez członkostwo w zespole z poziomami dostępu zróżnicowanymi między użytkownikami integracji SAP i przypisaniami ról zabezpieczeń administratora integracji SAP do zespołów.
- Konfiguracja zespołu grupy Dataverse w centrum administracyjnym Power Platform jest również widoczna w aplikacji SAP Admin.
Więcej informacji: Zarządzanie zespołami grup, Role zabezpieczeń i uprawnienia
Udostępnianie dostępu do aplikacji i przepływów
Członkowie grupy zabezpieczeń mogą mieć dostęp tylko do aplikacji i przepływów, które są im udostępnione. Przykład zastosowania modelu grup zabezpieczeń pomaga w skonfigurowaniu grup zabezpieczeń na przykład dla organizacji.
Udostępnij przepływy z uprawnieniami Tylko do uruchamiania, aby użytkownicy mieli dostęp do wbudowanych przepływów, a usługi użytkownika łącznika SAP ERP, Dataverse i Office 365 korzystały z poświadczeń użytkownika wyzwalającego.
Ostrzeżenie
Brak zmiany uprawnień Tylko do odczytu dla przepływów uniemożliwi usługom łącznika przekazywanie poświadczeń użytkownika. Udostępnianie połączeń Dataverse i Office 365 powinno być ograniczone.
Kroki udostępniania aplikacji
- Przejdź do poszczególnych aplikacji w Power Apps.
- Wybierz opcję Udostępnij.
- Wyszukaj i wybierz odpowiednią grupę grupa bezpieczeństwa, która zawiera członków potrzebujących dostępu do tej aplikacji.
- Wybierz Udostępnij. Możesz także wybrać, czy chcesz dołączyć zaproszenie e-mail (nie jest to wymagane).
Kroki udostępniania przepływów
- Przejdź do poszczególnych przepływów w chmurze w Power Apps.
- Przejdź do sekcji Uprawnienia tylko do uruchamiania i wybierz opcję Edytuj.
- Zaproś użytkowników systemowych i zespoly wyszukując i wybierając grupy zabezpieczeń Microsoft Entra ID, które wymagają dostępu do przepływu, zgodnie z aplikacjami kanwy, z których zespół musi korzystać.
- Dla wszystkich trzech używanych połączeń wybierz opcję Dostarczane tylko przez użytkownika końcowego.
- Wybierz pozycję Zapisz.
Podsumowanie udostępniania
Tabela zawiera podsumowanie mapowania składników, które należy przypisać lub udostępnić zgodnie z przykładowymi zespołami grup zabezpieczeń Microsoft Entra ID.
| Składnik | Type | Zespół zarządzający sprzedawcami | Zespół ds. zapotrzebowania na zakupy | Zespół ds. zleceń zakupu | Zespół odbioru towarów od dostawców | Zespół ds. faktur od dostawcy | Zespół ds. płatności dostawcy | Zespół administracji |
|---|---|---|---|---|---|---|---|---|
| Zarządzanie dostawcą SAP | Aplikacja | X | ||||||
| Zapotrzebowanie na zakup SAP | Aplikacja | X | ||||||
| Zamówienia zakupu SAP | Aplikacja | X | ||||||
| Przyjęcia towarów SAP | Aplikacja | X | ||||||
| Faktura od dostawcy SAP | Aplikacja | X | ||||||
| Płatności dostawcy SAP | Aplikacja | X | ||||||
| Administrator szablonów SAP | Aplikacja | X | ||||||
| ApprovePurchaseOrder | Przepływ | X | ||||||
| ApproveVendorInvoice | Przepływ | X | ||||||
| ConvertRequisitionToPurchaseOrder | Przepływ | X | ||||||
| CreateGoodsReceipt | Przepływ | X | ||||||
| CreatePurchaseOrder | Przepływ | X | ||||||
| CreateRequisition | Przepływ | X | ||||||
| CreateVendor | Przepływ | X | ||||||
| CreateVendorInvoice | Przepływ | X | ||||||
| ReadGLAccount | Przepływ | X | X | X | ||||
| ReadGLAccountList | Przepływ | X | X | X | ||||
| ReadGoodsReceipt | Przepływ | X | X | X | ||||
| ReadGoodsReceiptList | Przepływ | X | X | X | ||||
| ReadMaterial | Przepływ | X | X | X | X | X | X | |
| ReadMaterialList | Przepływ | X | X | X | X | X | X | |
| ReadPurchaseOrder | Przepływ | X | X | X | X | |||
| ReadPurchaseOrderList | Przepływ | X | X | X | X | |||
| ReadRequisition | Przepływ | X | X | X | ||||
| ReadRequisitionList | Przepływ | X | X | X | ||||
| ReadVendor | Przepływ | X | X | X | X | X | X | |
| ReadVendorInvoice | Przepływ | X | X | X | X | |||
| ReadVendorInvoiceList | Przepływ | X | X | X | X | |||
| ReadVendorList | Przepływ | X | X | X | X | X | X | |
| ReadVendorPayment | Przepływ | X | X | X | ||||
| ReadVendorPaymentList | Przepływ | X | X | X | ||||
| ReverseVendorInvoice | Przepływ | X | ||||||
| UpdatePurchaseOrder | Przepływ | X | ||||||
| UpdateVendor | Przepływ | X | ||||||
| UpdateVendorInvoice | Przepływ | X |
Więcej informacji:
- Udostępnianie aplikacji kanwy
- Udostępnianie aplikacji opartej na modelu
- Udostępnianie przepływu w chmurze
Następny krok
Stosowanie danych początkowych