Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve as etapas que você precisa executar no SAP Cloud Identity Services e na ID do Microsoft Entra para configurar o provisionamento automático de usuário. Quando configurado, o Microsoft Entra ID provisiona e desprovisiona automaticamente usuários para as soluções do SAP Spend Management usando o serviço de provisionamento do Microsoft Entra e o SAP Cloud Identity Services. Para obter detalhes importantes sobre o que o provisionamento do Microsoft Entra faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuário para aplicativos SaaS com o Microsoft Entra ID.
Funcionalidades com suporte
- Criar usuários em aplicativos da solução SAP Spend Management para habilitar o logon único nos aplicativos da solução SAP Spend Management
- Remover usuários nos aplicativos da solução SAP de Gerenciamento de Gastos quando eles não precisarem mais de acesso.
- Manter os atributos de usuário sincronizados entre o Microsoft Entra ID e os aplicativos das soluções do SAP Spend Management
Pré-requisitos
O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:
- Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
- Uma das seguintes funções:
- Um aplicativo da solução SAP Spend Management (SAP Ariba Category Management ou SAP Ariba Central Invoice Management)
- Locatário do SAP Cloud Identity Services
- Uma conta de usuário no console de administração do SAP Identity Provisioning com permissões de Administrador. Verifique se você tem acesso aos sistemas de proxy no console de administração do Provisionamento de Identidade. Se você não vir o bloco Sistemas de Proxy, crie um incidente para o componente BC-IAM-IPS para solicitar acesso a esse bloco.
Etapa 1: planeje a implantação do provisionamento
O Microsoft Entra tem conectores para SAP ECC, SAP Cloud Identity Services e SAP SuccessFactors. O provisionamento em aplicativos da solução do SAP Spend Management ou em outros aplicativos requer que os usuários estejam presentes primeiro no Microsoft Entra ID. Depois de ter usuários no Microsoft Entra ID, você poderá provisionar esses usuários do Microsoft Entra ID para o SAP Cloud Identity Services. Em seguida, os Serviços de Identidade de Nuvem do SAP provisiona os usuários provenientes do Microsoft Entra ID que estão no Diretório de Identidade de Nuvem do SAP nos aplicativos SAP downstream, incluindo SAP Ariba Category Management e “SAP Ariba Central Invoice Management”, por meio do conector de nuvem do SAP e outros.
Etapa 2: verifique se os usuários corretos estão no Microsoft Entra ID
Você pode usar a entrada de RH de fontes como SuccessFactors para manter a lista de usuários no Microsoft Entra ID atualizada à medida que os funcionários ingressarem, moverem e saírem. Se planeja usar grupos ou atribuições de função de aplicativo para definir o escopo de quem pode acessar os aplicativos da solução SAP Spend Management ou quais funções essas pessoas terão e seu locatário tiver uma licença para o Microsoft Entra ID Governance, você também pode automatizar as alterações nas atribuições de função de aplicativo do Microsoft Entra ID para aplicativos que representam o SAP Cloud Identity Services ou os aplicativos da solução SAP Spend Management. Para obter mais informações sobre como executar a separação de tarefas e outras verificações de conformidade antes do provisionamento, consulte migrar cenários de gerenciamento do ciclo de vida de acesso.
Para obter diretrizes passo a passo sobre o ciclo de vida de identidade com aplicativos SAP como destino, consulte Planejar a implantação do Microsoft Entra para provisionamento de usuários com aplicativos de origem e destino do SAP.
Etapa 3: configurar o Microsoft Entra ID para provisionar usuários no SAP Cloud Identity Services
Para se preparar para provisionar usuários em aplicativos de solução de gerenciamento de gastos do SAP ou outros aplicativos SAP integrados ao SAP Cloud Identity Services, confirme se o SAP Cloud Identity Services tem os mapeamentos de esquema necessários para esses aplicativos. Em seguida, configure o provisionamento de usuários do Microsoft Entra ID para o SAP Cloud Identity Services. O SAP Cloud Identity Services posteriormente provisionará os usuários nos aplicativos SAP downstream conforme necessário.
Há duas maneiras de provisionar usuários do Microsoft Entra no SAP Cloud Identity Services.
Se você estiver usando grupos do Microsoft Entra ID, como para atribuir usuários a funções em aplicativos da solução SAP de Gerenciamento de Gastos, então use o provisionamento do SAP Cloud Identity Services. Primeiro, crie grupos do Microsoft Entra para suas funções corporativas do SAP usadas no SAP Analytics Cloud. Em seguida, no provisionamento do SAP Cloud Identity Services, configure o Microsoft Entra ID como uma origem para levar usuários e grupos do Microsoft Entra ID para o SAP Cloud Identity Services e mapeie os grupos criados para suas funções corporativas do SAP. Para obter mais informações, consulte a documentação do SAP sobre como provisionar usuários do Microsoft Azure AD para o SAP Cloud Identity Services – Identity Authentication.
Como alternativa, se você não precisar usar grupos na ID do Microsoft Entra, poderá usar o serviço de provisionamento do Microsoft Entra. Nesse cenário, crie um aplicativo que represente um aplicativo da solução SAP Spend Management e atribua usuários que precisam de acesso ao aplicativo da solução SAP Spend Management a esse aplicativo. Em seguida, configure o provisionamento automático de usuários com o Microsoft Entra ID para o SAP Cloud Identity Services. Aguarde até que esses usuários sejam provisionados no SAP Cloud Identity Services e verifique se eles têm os atributos necessários para o destino do aplicativo de destino da solução SAP Spend Management.
Observação
Comece pequeno. Teste com um pequeno conjunto de usuários e grupos antes de implementar para todos. Verifique se os usuários têm o acesso correto nos destinos downstream do SAP e se, ao se conectarem, eles têm as funções corretas.
Etapa 4: configure o provisionamento do SAP Cloud Identity Services para o SAP Ariba
Nesta etapa, use o SAP Cloud Identity Services Identity Provisioning para configurar um aplicativo da solução SAP Spend Management como um sistema de destino no qual é possível provisionar usuários e membros do grupo. Para o SAP Ariba Category Management, consulte a documentação do SAP sobre provisionamento para o SAP Ariba Category Management. Para o SAP Ariba Central Invoice Management, consulte a documentação do SAP sobre provisionamento para o SAP Ariba Central Invoice Management.
Etapa 5: configurar o logon único
Depois de configurar o provisionamento para usuários em seus aplicativos SAP, você deverá habilitar o logon único para eles. O Microsoft Entra ID pode servir como provedor de identidade e autoridade de autenticação para seus aplicativos SAP. Configure a integração de logon único (SSO) do Microsoft Entra com o SAP Cloud Identity Services se ainda não tiver feito isso.
Para obter mais informações sobre como configurar o logon único no SAP SaaS e aplicativos modernos, consulte habilitar o SSO.