O software e os serviços da SAP provavelmente executam funções críticas, como RH e ERP, para sua organização. Ao mesmo tempo, a sua organização depende da Microsoft para vários serviços do Azure, do Microsoft 365 e do Microsoft Entra ID Governance para gerir o acesso a aplicações. Este artigo descreve como você pode usar o Identity Governance para gerenciar identidades em seus aplicativos SAP.
O tutorial Plano de implantação do Microsoft Entra para provisionamento de usuários com aplicativos de origem e destino SAP ilustra como conectar o Microsoft Entra a fontes autorizadas para a lista de funcionários em uma organização, como o SAP SuccessFactors. Ele também mostra como usar o Microsoft Entra para configurar identidades para esses funcionários. Em seguida, você aprenderá a usar o Microsoft Entra para fornecer aos funcionários acesso para entrar em um ou mais aplicativos SAP, como o SAP ECC ou o SAP S/4HANA.
Contratação de novos funcionários: quando um novo funcionário é adicionado ao SuccessFactors, uma conta de usuário é criada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS (software como serviço) compatíveis com o Microsoft Entra ID. Esse processo inclui o write-back do endereço de email para o SuccessFactors.
Atualizações de perfil e atributo de funcionário: quando um registro de funcionário é atualizado no SuccessFactors (como nome, cargo ou gerente), a conta de usuário do funcionário é atualizada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com o Microsoft Entra ID.
Rescisões de funcionário: quando um funcionário é rescindido no SuccessFactors, a conta de usuário do funcionário é desabilitada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com o Microsoft Entra ID.
Recontratação de funcionário: quando um funcionário é recontratado no SuccessFactors, a conta antiga do funcionário pode ser reativada ou reprovisionada automaticamente (dependendo da sua preferência) no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com o Microsoft Entra ID.
Os clientes que ainda usam o SAP HCM (Gerenciamento de Capital Humano) também pode incluir identidades no Microsoft Entra ID. Com o SAP Integration Suite, você pode sincronizar listas de funcionários entre o SAP HCM e o SAP SuccessFactors. A partir daí, você pode incluir identidades diretamente no Microsoft Entra ID ou provisioná-las no Active Directory Domain Services, usando as integrações de provisionamento nativas mencionadas anteriormente.
Fornecer acesso aos aplicativos SAP
Além das integrações de provisionamento nativas que permitem gerenciar o acesso aos seus aplicativos SAP, o Microsoft Entra ID dá suporte a um conjunto avançado de integrações com esses aplicativos.
Provisionar identidades em aplicativos SAP modernos
Depois que os usuários estiverem no Microsoft Entra ID, você poderá provisionar contas nos vários aplicativos SaaS e SAP locais aos quais eles precisam ter acesso. Há duas maneiras de fazer isso:
Use o aplicativo empresarial SAP Cloud Identity Services no Microsoft Entra ID para provisionar identidades no SAP Cloud Identity Services. Depois de levar todas as identidades para o SAP Cloud Identity Services, você poderá usar o SAP Cloud Identity Services — Provisionamento de Identidade para provisionar as contas por meio dele em seus aplicativos, quando necessário.
Depois de ter usuários no Microsoft Entra ID, você poderá provisionar esses usuários da ID do Microsoft Entra para o SAP Cloud Identity Services ou o SAP ECC, para permitir que eles entrem em aplicativos SAP. Se você tiver SAP S/4HANA On-premise, provisione os usuários do Microsoft Entra ID para o SAP Cloud Identity Directory. Em seguida, o SAP Cloud Identity Services provisiona os usuários originários do Microsoft Entra ID que estão no SAP Cloud Identity Directory nos aplicativos SAP downstream no SAP S/4HANA On-Premise pelo conector de nuvem SAP.
Os clientes que ainda não fizeram a transição de aplicativos como o SAP R/3 e SAP ERP Central Component (SAP ECC) para o SAP S/4HANA ainda podem contar com o serviço de provisionamento do Microsoft Entra para provisionar contas de usuário. No SAP R/3 e SAP ECC, você expõe as BAPIs (Interface de Programação de Aplicativo de Negócios) necessárias para criar, atualizar e excluir usuários. Dentro do Microsoft Entra ID, você tem duas opções:
Nos cenários em que você precisa realizar um gerenciamento mais complexo de grupos e funções, use o Microsoft Identity Manager para gerenciar o acesso aos seus aplicativos SAP herdados.
Você também pode usar o Microsoft Entra ID para provisionar trabalhadores no Active Directory, bem como outros sistemas locais que o SAP Cloud Identity Services não dá suporte para provisionamento.
Com as verificações de separação de funções no gerenciamento de direitos do Microsoft Entra, os clientes podem garantir que os usuários não recebam direitos de acesso excessivos:
Os administradores e gerentes de acesso podem impedir que os usuários solicitem pacotes de acesso adicionais se já estiverem atribuídos a outros pacotes de acesso ou se forem membros de outros grupos incompatíveis com o acesso solicitado.
Empresas com requisitos regulatórios críticos para aplicativos SAP têm uma única exibição consistente dos controles de acesso. Em seguida, eles podem impor verificações de separação de funções em seus aplicativos financeiros e outros comercialmente críticos, juntamente com aplicativos integrados do Microsoft Entra.
Com as integrações entre o Microsoft Entra e a governança de acesso do SAP, Pathlock e outros produtos parceiros, os clientes podem tirar proveito de verificações de risco adicionais e de uma separação de deveres detalhada implementadas nesses produtos, com pacotes de acesso no Microsoft Entra ID Governance.
Diretriz adicional
Para obter mais informações sobre integrações de SAP com o Microsoft Entra ID, confira a seguinte documentação: