Gerencie o acesso aos seus aplicativos SAP
A SAP provavelmente executa funções críticas, como RH e ERP, para sua organização. Ao mesmo tempo, sua organização depende da Microsoft para vários serviços do Azure, Microsoft 365 e Microsoft Entra ID Governance para gerenciar o acesso a aplicativos. Este artigo descreve como você pode usar o Identity Governance para gerenciar identidades em seus aplicativos SAP.
Traga identidades do RH para o Microsoft Entra ID
SuccessFactors
Os clientes que usam o SAP SuccessFactors podem facilmente trazer identidades de SuccessFactors para o Microsoft Entra ID ou de SuccessFactors para o Ative Directory local usando conectores nativos. Os conectores suportam os seguintes cenários:
- Contratação de novos funcionários: Quando um novo funcionário é adicionado ao SuccessFactors, uma conta de usuário é criada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos de software como serviço (SaaS) suportados pelo Microsoft Entra ID. Este processo inclui write-back do endereço de e-mail para SuccessFactors.
- Atualizações de atributos e perfis de funcionários: Quando um registro de funcionário é atualizado no SuccessFactors (como nome, título ou gerente), a conta de usuário do funcionário é atualizada automaticamente no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS suportados pelo Microsoft Entra ID.
- Rescisões de funcionários: Quando um funcionário é encerrado no SuccessFactors, a conta de usuário do funcionário é automaticamente desabilitada no Microsoft Entra ID e, opcionalmente, no Microsoft 365 e em outros aplicativos SaaS suportados pelo Microsoft Entra ID.
- Recontratações de funcionários: Quando um funcionário é recontratado no SuccessFactors, a conta antiga do funcionário pode ser reativada ou reprovisionada automaticamente (dependendo da sua preferência) para o Microsoft Entra ID e, opcionalmente, para o Microsoft 365 e outros aplicativos SaaS suportados pelo Microsoft Entra ID.
Você também pode gravar de volta do Microsoft Entra ID para SAP SuccessFactors.
SAP HCM
Os clientes que ainda usam o SAP Human Capital Management (HCM) também podem trazer identidades para o Microsoft Entra ID. Usando o SAP Integration Suite, você pode sincronizar listas de trabalhadores entre o SAP HCM e o SAP SuccessFactors. A partir daí, você pode trazer identidades diretamente para o ID do Microsoft Entra ou provisioná-las nos Serviços de Domínio Ative Directory usando as integrações de provisionamento nativas mencionadas anteriormente.
Fornecer acesso a aplicativos SAP
Além das integrações de provisionamento nativas que permitem gerenciar o acesso aos seus aplicativos SAP, o Microsoft Entra ID oferece suporte a um rico conjunto de integrações com esses aplicativos.
Ativar o SSO
Além de configurar o provisionamento para seus aplicativos SAP, você pode habilitar o SSO para eles. O Microsoft Entra ID pode servir como o provedor de identidade e servir como a autoridade de autenticação para seus aplicativos SAP. O Microsoft Entra ID pode ser integrado ao SAP NetWeaver usando SAML ou OAuth. Para SAP SaaS e aplicativos modernos, saiba como configurar o Microsoft Entra ID como o provedor de identidade corporativa para seus aplicativos SAP por meio do SAP Cloud Identity Services.
Para obter mais informações sobre como configurar o logon único a partir do Microsoft Entra ID, consulte a seguinte documentação e tutoriais:
- Serviços SAP Cloud Identity
- SAP SuccessFactors
- Nuvem do SAP Analytics
- SAP Fiori
- SAP Qualtrics
- SAP Ariba
- SAP Concur Viagens e Despesas
- Plataforma SAP Business Technology
- SAP Business ByDesign
- SAP HANA
- SAP Cloud para Cliente
- Vidro de campo SAP
Consulte também os seguintes recursos SAP:
- Configuração do Gateway de Aplicativo do Azure do Logon Único SAML para URLs SAP públicas e internas
- Logon único usando os Serviços de Domínio Microsoft Entra e Kerberos
Provisionar identidades em aplicativos SAP modernos
Depois que os usuários estiverem no Microsoft Entra ID, você poderá provisionar contas nos vários aplicativos SaaS e SAP locais aos quais eles precisam acessar. Você tem duas maneiras de fazer isso:
- Use o aplicativo corporativo SAP Cloud Identity Services no Microsoft Entra ID para provisionar identidades no SAP Cloud Identity Services. Depois de trazer todas as identidades para o SAP Cloud Identity Services, você pode usar o SAP Cloud Identity Services - Identity Provisioning para provisionar as contas de lá para seus aplicativos quando necessário.
- Use a integração do SAP Cloud Identity Services - Identity Provisioning para exportar diretamente identidades do ID do Microsoft Entra para aplicativos integrados do SAP Cloud Identity Services. Quando você usa o SAP Cloud Identity Services - Identity Provisioning para trazer usuários para esses aplicativos, toda a configuração de provisionamento para esses aplicativos é gerenciada diretamente no SAP. Você ainda pode usar o aplicativo corporativo no Microsoft Entra ID para gerenciar o SSO e usar o Microsoft Entra ID como o provedor de identidade corporativa.
Provisionar identidades em sistemas SAP locais
Os clientes que ainda não fizeram a transição de aplicativos como SAP R/3 e SAP ERP Central Component (SAP ECC) para SAP S/4HANA ainda podem contar com o serviço de provisionamento Microsoft Entra para provisionar contas de usuário. No SAP R/3 e no SAP ECC, você expõe as BAPIs (Business Application Programming Interfaces) necessárias para criar, atualizar e excluir usuários. Dentro do Microsoft Entra ID, você tem duas opções:
- Use o agente de provisionamento leve do Microsoft Entra e o conector de serviços Web para provisionar usuários em aplicativos como o SAP ECC.
- Em cenários em que você precisa fazer um gerenciamento de grupo e função mais complexo, use o Microsoft Identity Manager para gerenciar o acesso aos aplicativos SAP herdados.
Você também pode usar o Microsoft Entra ID para provisionar trabalhadores no Ative Directory, bem como outros sistemas locais que o SAP Cloud Identity Services não suporta para provisionamento.
Acionar fluxos de trabalho personalizados
Quando um novo funcionário é contratado em sua organização, talvez seja necessário acionar um fluxo de trabalho em seus sistemas SAP locais para tarefas adicionais além do provisionamento de usuários. Usando a extensibilidade dos Aplicativos Lógicos dos fluxos de trabalho do ciclo de vida do Microsoft Entra ou a extensibilidade dos Aplicativos Lógicos de gerenciamento de direitos do Microsoft Entra com o conector SAP nos Aplicativos Lógicos do Azure, você pode acionar ações personalizadas no SAP ao contratar um novo funcionário.
Verificação da separação de funções
Com as verificações de separação de tarefas no gerenciamento de direitos do Microsoft Entra, os clientes podem garantir que os usuários não assumam direitos de acesso excessivos:
- Os administradores e gerentes de acesso podem impedir que os usuários solicitem pacotes de acesso extras se já estiverem atribuídos a outros pacotes de acesso ou se forem membros de outros grupos incompatíveis com o acesso solicitado.
- As empresas com requisitos normativos críticos para aplicativos SAP têm uma visão única e consistente dos controles de acesso. Em seguida, eles podem impor verificações de separação de tarefas em seus aplicativos financeiros e outros aplicativos críticos para os negócios, juntamente com os aplicativos integrados do Microsoft Entra.
- Com a integração com o Pathlock e outros produtos de parceiros, os clientes podem aproveitar as verificações refinadas de separação de tarefas com pacotes de acesso no Microsoft Entra ID Governance.
Orientações adicionais
Para obter mais informações sobre integrações SAP com o Microsoft Entra ID, consulte a seguinte documentação:
- Acesso seguro com o SAP Cloud Identity Services e o Microsoft Entra ID
- Segurança da carga de trabalho SAP - Microsoft Azure Well-Architected Framework