Gerencie o acesso aos seus aplicativos SAP

O software e os serviços da SAP provavelmente executam funções críticas, como RH e ERP, para sua organização. Ao mesmo tempo, a sua organização depende da Microsoft para vários serviços do Azure, do Microsoft 365 e do Microsoft Entra ID Governance para gerir o acesso a aplicações. Este artigo descreve como você pode usar o Identity Governance para gerenciar identidades em seus aplicativos SAP.

Migrar do SAP Identity Management

Se você estiver usando o SAP Microsoft Identity Manager (IDM), poderá migrar cenários de gerenciamento de identidade do SAP IDM para o Microsoft Entra. Para obter mais informações, consulte Migrar os cenários de gerenciamento de identidade do SAP IDM para o Microsoft Entra.

Incluir identidades do RH no Microsoft Entra ID

O tutorial Plano de implantação do Microsoft Entra para provisionamento de usuários com aplicativos de origem e destino SAP ilustra como conectar o Microsoft Entra a fontes autorizadas para a lista de funcionários em uma organização, como o SAP SuccessFactors. Ele também mostra como usar o Microsoft Entra para configurar identidades para esses funcionários. Em seguida, você aprenderá a usar o Microsoft Entra para fornecer aos funcionários acesso para entrar em um ou mais aplicativos SAP, como o SAP ECC ou o SAP S/4HANA.

SuccessFactors

Os clientes que usam o SAP SuccessFactors podem facilmente incluir identidades do SuccessFactors para o Microsoft Entra ID ou no do SuccessFactors para o Active Directory local usando conectores nativos. Os conectores suportam os seguintes cenários:

• Contratação de novos funcionários: quando um novo funcionário é adicionado ao SuccessFactors, uma conta de usuário é criada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS (software como serviço) compatíveis com o Microsoft Entra ID. Esse processo inclui o write-back do endereço de email para o SuccessFactors.
• Atualizações de perfil e atributo de funcionário: quando um registro de funcionário é atualizado no SuccessFactors (como nome, cargo ou gerente), a conta de usuário do funcionário é atualizada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com o Microsoft Entra ID.
• Rescisões de funcionário: quando um funcionário é rescindido no SuccessFactors, a conta de usuário do funcionário é desabilitada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com o Microsoft Entra ID.
• Recontratação de funcionário: quando um funcionário é recontratado no SuccessFactors, a conta antiga do funcionário pode ser reativada ou reprovisionada automaticamente (dependendo da sua preferência) no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS compatíveis com o Microsoft Entra ID.

Você também pode fazer write-back de usuários do Microsoft Entra ID para o SAP SuccessFactors.

SAP HCM

Os clientes que ainda usam o SAP HCM (Gerenciamento de Capital Humano) também pode incluir identidades no Microsoft Entra ID. Com o SAP Integration Suite, você pode sincronizar listas de funcionários entre o SAP HCM e o SAP SuccessFactors. A partir daí, você pode incluir identidades diretamente no Microsoft Entra ID ou provisioná-las no Active Directory Domain Services, usando as integrações de provisionamento nativas mencionadas anteriormente.

Fornecer acesso aos aplicativos SAP

Além das integrações de provisionamento nativas que permitem gerenciar o acesso aos seus aplicativos SAP, o Microsoft Entra ID dá suporte a um conjunto avançado de integrações com esses aplicativos.

Habilitar SSO

Além de configurar o provisionamento para seus aplicativos SAP, você pode habilitar o SSO para eles. O Microsoft Entra ID pode servir como o provedor de identidade e como a autoridade de autenticação para seus aplicativos SAP. O Microsoft Entra ID pode se integrar ao SAP NetWeaver usando SAML ou OAuth. Para aplicativos SaaS do SAP e modernos, Saiba como configurar o Microsoft Entra ID como o provedor de identidade corporativa para seus aplicativos pelo SAP Cloud Identity Services.

Para obter mais informações sobre como configurar o logon único do Microsoft Entra ID, consulte a documentação e os tutoriais a seguir:

• SAP Cloud Identity Services
• SAP SuccessFactors
• SAP Analytics Cloud
• SAP Fiori
• SAP Ariba
• SAP Concur Travel and Expense
• SAP Business Technology Platform
• SAP Business ByDesign
• SAP HANA
• SAP Cloud for Customer
• SAP Fieldglass

Veja também os seguintes recursos do SAP:

• Configuração do Gateway de Aplicativo do Azure do Logon Único do SAML para URLs SAP públicas e internas
• Logon único usando o Microsoft Entra Domain Services e o Kerberos

Provisionar identidades em aplicativos SAP modernos

Depois que os usuários estiverem no Microsoft Entra ID, você poderá provisionar contas nos vários aplicativos SaaS e SAP locais aos quais eles precisam ter acesso. Há duas maneiras de fazer isso:

• Use o aplicativo empresarial SAP Cloud Identity Services no Microsoft Entra ID para provisionar identidades no SAP Cloud Identity Services. Depois de levar todas as identidades para o SAP Cloud Identity Services, você poderá usar o SAP Cloud Identity Services — Provisionamento de Identidade para provisionar as contas por meio dele em seus aplicativos, quando necessário.
• Use a integração SAP Cloud Identity Services — Provisionamento de Identidade para exportar as identidades diretamente do Microsoft Entra ID para os aplicativos integrados ao SAP Cloud Identity Services. Quando você usa o SAP Cloud Identity Services — Provisionamento de Identidade para trazer os usuários para esses aplicativos, toda a configuração de provisionamento destes aplicativos é gerenciada diretamente no SAP. Você ainda pode usar o aplicativo empresarial no Microsoft Entra para gerenciar o SSO e usar o Microsoft Entra ID como o provedor de identidade corporativa.

Provisionar identidades em sistemas SAP locais

Depois de ter usuários no Microsoft Entra ID, você poderá provisionar esses usuários da ID do Microsoft Entra para o SAP Cloud Identity Services ou o SAP ECC, para permitir que eles entrem em aplicativos SAP. Se você tiver SAP S/4HANA On-premise, provisione os usuários do Microsoft Entra ID para o SAP Cloud Identity Directory. Em seguida, o SAP Cloud Identity Services provisiona os usuários originários do Microsoft Entra ID que estão no SAP Cloud Identity Directory nos aplicativos SAP downstream no SAP S/4HANA On-Premise pelo conector de nuvem SAP.

Os clientes que ainda não fizeram a transição de aplicativos como o SAP R/3 e SAP ERP Central Component (SAP ECC) para o SAP S/4HANA ainda podem contar com o serviço de provisionamento do Microsoft Entra para provisionar contas de usuário. No SAP R/3 e SAP ECC, você expõe as BAPIs (Interface de Programação de Aplicativo de Negócios) necessárias para criar, atualizar e excluir usuários. Dentro do Microsoft Entra ID, você tem duas opções:

• Usar o agente de provisionamento leve do Microsoft Entra e o conector de serviços Web para provisionar usuários em aplicativos como o SAP ECC.
• Nos cenários em que você precisa realizar um gerenciamento mais complexo de grupos e funções, use o Microsoft Identity Manager para gerenciar o acesso aos seus aplicativos SAP herdados.

Você também pode usar o Microsoft Entra ID para provisionar trabalhadores no Active Directory, bem como outros sistemas locais que o SAP Cloud Identity Services não dá suporte para provisionamento.

Disparar fluxos de trabalho personalizados

Quando um novo funcionário é contratado na sua organização, talvez seja necessário acionar um fluxo de trabalho em seus sistemas locais de SAP para tarefas adicionais além do provisionamento de usuário. Usando os fluxos de trabalho do ciclo de vida do Microsoft Entra ou a extensibilidade dos Aplicativos Lógicos de gerenciamento de direitos do Microsoft Entra com o Conector SAP nos Aplicativos Lógicos do Azure, você poderá disparar ações personalizadas no SAP ao contratar um novo funcionário.

Verificar separação de funções

Com as verificações de separação de funções no gerenciamento de direitos do Microsoft Entra, os clientes podem garantir que os usuários não recebam direitos de acesso excessivos:

• Os administradores e gerentes de acesso podem impedir que os usuários solicitem pacotes de acesso adicionais se já estiverem atribuídos a outros pacotes de acesso ou se forem membros de outros grupos incompatíveis com o acesso solicitado.
• Empresas com requisitos regulatórios críticos para aplicativos SAP têm uma única exibição consistente dos controles de acesso. Em seguida, eles podem impor verificações de separação de funções em seus aplicativos financeiros e outros comercialmente críticos, juntamente com aplicativos integrados do Microsoft Entra.
• Com a integração do Pathlock e outros produtos de parceiro, os clientes de integração podem aproveitar as verificações de separação de funções refinadas com pacotes de acesso no Microsoft Entra ID Governance.

Diretriz adicional

Para obter mais informações sobre integrações de SAP com o Microsoft Entra ID, confira a seguinte documentação:

• Acesso seguro com o SAP Cloud Identity Services e o Microsoft Entra ID
• Segurança da carga de trabalho do SAP – Microsoft Azure Well-Architected Framework
• Serviços e parceiros de integração para implantar o Microsoft Entra com aplicativos SAP

Próximas etapas

• Planejar a implantação do Microsoft Entra para provisionamento de usuários com aplicativos de origem e destino SAP
• Incluir identidades do SAP SuccessFactors no Microsoft Entra ID
• Provisionar contas no SAP Cloud Identity Services
• Comece a trabalhar com cenários de integração SAP e Microsoft