Поделиться через


Настройка идентификаторов Microsoft Entra и SAP Cloud Identity Services для автоматического предоставления прав доступа пользователям в SAP Analytics Cloud.

В этой статье описываются шаги, которые необходимо выполнить в SAP Cloud Identity Services и Microsoft Entra ID для настройки автоматического предоставления пользователей. При настройке Microsoft Entra ID автоматически настраивает и удаляет учетные записи пользователей в SAP Analytics Cloud, используя службу подготовки Microsoft Entra и сервисы облака удостоверений SAP. Важные сведения о том, что представляет собой предоставление Microsoft Entra, как оно работает, и часто задаваемые вопросы просмотрите в статье Автоматизация предоставления и отмены предоставления пользователей для приложений SaaS с помощью идентификатора Microsoft Entra ID.

Поддерживаемые возможности

  • Создание пользователей в SAP Analytics Cloud для включения единого входа в SAP Analytics Cloud
  • Удаление пользователей в облаке SAP Analytics, если они больше не требуют доступа
  • Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и SAP Analytics Cloud

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Облако SAP Analytics
  • Клиент служб облачных удостоверений SAP
  • Учетная запись пользователя в административной консоли SAP Identity Provisioning с разрешениями администратора. Убедитесь, что у вас есть доступ к системам прокси в консоли администрирования "Управление удостоверениями". Если вы не видите элемент Proxy Systems (Прокси-системы), создайте инцидент для компонента BC-IAM-IP, чтобы запросить доступ к этому элементу.

Шаг 1. Планирование развертывания подготовки

Microsoft Entra имеет соединители для SAP ECC, SAP Cloud Identity Services и SAP SuccessFactors. Провизия в SAP Analytics Cloud или другие приложения требует, чтобы пользователи предварительно были зарегистрированы в Microsoft Entra ID. После того, как у вас есть пользователи в Microsoft Entra ID, вы можете предоставить доступ этим пользователям из Microsoft Entra ID к SAP Cloud Identity Services. Затем облачные службы идентификации SAP предоставляют доступ пользователям, исходящим из Microsoft Entra ID и находящимся в каталоге SAP Cloud Identity Directory, в дочерних приложениях SAP, включая SAP Analytics Cloud, через соединитель облака SAP и другие.

Схема, на которой показаны технологии Майкрософт и SAP, относящиеся к подготовке удостоверений из идентификатора Microsoft Entra.

Шаг 2. Убедитесь, что у вас есть правильные пользователи в идентификаторе Microsoft Entra

Вы можете использовать HR-данные из таких источников, как SuccessFactors, чтобы поддерживать список пользователей в директории Microsoft Entra ID в актуальном состоянии, когда сотрудники присоединяются, перемещаются внутри компании и покидают её. Если вы планируете использовать группы или назначения ролей приложений, чтобы определить, кто может получить доступ к SAP Analytics Cloud и какие роли они будут иметь, и ваш клиент имеет лицензию на Microsoft Entra ID Governance, вы также можете автоматизировать изменения назначений ролей приложения в Microsoft Entra ID для приложений, представляющих SAP Cloud Identity Services или SAP Analytics Cloud. Для получения дополнительной информации о выполнении разделения обязанностей и других проверок соответствия требованиям перед подготовкой, см. сценарии управления жизненным циклом доступа.

Пошаговые инструкции по жизненному циклу идентификации с использованием приложений SAP в качестве целевых можно найти в статье «Планирование развертывания Microsoft Entra для подготовки пользователей с источником SAP и целевыми приложениями».

Шаг 3. Настройка подготовки из Microsoft Entra ID в SAP Cloud Identity Services

Чтобы подготовить пользователей к подключению к SAP Analytics Cloud или другим приложениям SAP, интегрированным с SAP Cloud Identity Services, убедитесь, что для этих приложений существуют необходимые сопоставления схем. Затем настройте предоставление пользователей из Microsoft Entra ID в SAP Cloud Identity Services. При необходимости облачные службы удостоверений SAP будут интегрировать пользователей в подчиненные приложения SAP.

Существует два способа предоставления доступа пользователям из Microsoft Entra в SAP Cloud Identity Services.

  • При использовании групп из Microsoft Entra ID, например, для назначения пользователям ролей в SAP Analytics Cloud, используйте предоставление облачных служб удостоверений SAP. Сначала создайте группы Microsoft Entra для бизнес-ролей SAP, используемых в облаке SAP Analytics. Затем в службе предоставления облачных удостоверений SAP Cloud Identity Services настройте Microsoft Entra ID в качестве источника, чтобы перенести пользователей и группы из Microsoft Entra ID в SAP Cloud Identity Services и сопоставить созданные группы с вашими бизнес-ролями в SAP. Для получения дополнительной информации см. документацию SAP о том, как предоставлять пользователям доступ из Microsoft Azure AD в SAP Cloud Identity Services — Identity Authentication.

  • Кроме того, если вам не нужно использовать группы в Microsoft Entra ID, можно воспользоваться службой подготовки Microsoft Entra. В этом сценарии создайте приложение, представляющее облако SAP Analytics, и назначьте пользователей, которым требуется доступ к SAP Analytics Cloud в этом приложении. Затем настройте автоматическое предоставление пользователей с Microsoft Entra ID для SAP Cloud Identity Services. Дождитесь размещения этих пользователей в SAP Cloud Identity Services и убедитесь, что у них есть атрибуты, необходимые для вашей цели в SAP Analytics Cloud.

Примечание.

Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Проверьте, имеют ли пользователи правильный доступ к целевым системам SAP, и при входе в них у них есть правильные роли.

Шаг 4. Настройка предоставления доступа из службы облачных удостоверений SAP в SAP Analytics Cloud

На этом шаге используйте службу управления удостоверениями SAP Cloud Identity Services для настройки SAP Analytics Cloud как целевой системы, где вы можете предоставлять доступ пользователям и членам группы. Для получения информации о настройках SAP Analytics Cloud см. в документации по SAP Analytics Cloud.

Шаг 5. Настройка единого входа

После настройки подготовки пользователей в приложениях SAP необходимо включить единый вход для них. Идентификатор Microsoft Entra может служить поставщиком удостоверений и центром проверки подлинности для приложений SAP. Если вы еще этого не сделали, настройте интеграцию единого входа Microsoft Entra с SAP Cloud Identity Services.

Дополнительные сведения о настройке единого входа в SAP SaaS и современных приложениях см. в статье "Включение единого входа".