Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются шаги, которые необходимо выполнить в SAP Cloud Identity Services и Microsoft Entra ID для настройки автоматического предоставления пользователей. При настройке Microsoft Entra ID автоматически подготавливает и удаляет пользователей в SAP S/4HANA с помощью службы подготовки Microsoft Entra и сервисов облачных удостоверений SAP. Важную информацию о том, как работает и что делает служба предоставления доступа Microsoft Entra, а также ответы на часто задаваемые вопросы см. в статье Автоматизация процесса предоставления и отзыва доступа к приложениям SaaS с помощью Microsoft Entra ID.
Поддерживаемые возможности
- Создание пользователей в SAP S/4HANA для включения единого входа в SAP S/4HANA
- Удаление пользователей в SAP S/4HANA, если они больше не требуют доступа
- Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и SAP S/4HANA
Предварительные условия
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:
- Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
- Одна из следующих ролей:
- SAP S/4HANA Cloud, private edition, SAP S/4HANA Cloud, public edition или SAP S/4HANA On-Premise
- Клиент служб облачных удостоверений SAP
- Учетная запись пользователя в консоли администрирования SAP Управление идентификацией с администраторскими разрешениями. Убедитесь, что у вас есть доступ к прокси-системам в консоли администрирования Identity Provisioning. Если вы не видите элемент Proxy Systems (Прокси-системы), создайте инцидент для компонента BC-IAM-IP, чтобы запросить доступ к этому элементу.
Шаг 1. Планирование развертывания обеспечения
Microsoft Entra имеет соединители для SAP ECC, SAP Cloud Identity Services и SAP SuccessFactors. Предоставление доступа в SAP S/4HANA или другие приложения требует, чтобы пользователи сначала существовали в Microsoft Entra ID. После добавления пользователей в Microsoft Entra ID вы можете перенести этих пользователей из Microsoft Entra ID в облачные службы идентификации SAP. Затем облачные службы удостоверений SAP предоставляют пользователей, происходящих из Microsoft Entra ID, которые находятся в каталоге SAP Cloud Identity Directory, в конечные приложения SAP, включая SAP S/4HANA Cloud, SAP S/4HANA On-Premise через соединитель облака SAP и другие.
Шаг 2. Убедитесь, что у вас есть правильные пользователи в идентификаторе Microsoft Entra
Вы можете использовать входящие кадровые данные из таких источников, как SuccessFactors, чтобы актуализировать список пользователей в Microsoft Entra ID, когда сотрудники присоединяются, перемещаются по службе и покидают организацию. Если вы планируете использовать группы или назначения ролей приложений для определения, кто может получить доступ к SAP S/4HANA и какие роли они будут иметь, и у вашего арендатора есть лицензия на Управление идентификацией Microsoft Entra, вы также можете автоматизировать изменения назначений ролей приложения в Microsoft Entra ID для приложений, представляющих SAP Cloud Identity Services или SAP S/4HANA. Дополнительные сведения о выполнении разделения обязанностей и других проверках соответствия требованиям перед подготовкой см. в разделе сценарии управления жизненным циклом доступа.
Для пошагового руководства по жизненному циклу идентификации с приложениями SAP в качестве цели, см. статью «Планирование развертывания Microsoft Entra для подготовки пользователей с использованием исходных и целевых приложений SAP».
Шаг 3. Настройка подготовки из Microsoft Entra ID в SAP Cloud Identity Services
Чтобы подготовить предоставление доступа пользователей к SAP S/4HANA или другим приложениям SAP, интегрированным с облачными службами идентификации SAP, убедитесь, что в облачных службах идентификации SAP имеются необходимые сопоставления схем для этих приложений. Затем настройте предоставление пользователей из Microsoft Entra ID в SAP Cloud Identity Services. При необходимости облачные службы удостоверений SAP будут предоставлять пользователей в подчиненные приложения SAP.
Существует два способа подготовки пользователей из Microsoft Entra в SAP Cloud Identity Services.
Если вы используете группы из Microsoft Entra ID, например, для назначения пользователям ролей в облачной системе SAP S/4HANA, используйте функцию предоставления пользователей в SAP Cloud Identity Services. Сначала создайте группы Microsoft Entra для бизнес-ролей SAP, используемых в облаке SAP Analytics. Затем, в настройке служб облачных удостоверений SAP, сконфигурируйте Microsoft Entra ID в качестве источника, чтобы перенести пользователей и группы из Microsoft Entra ID в SAP Cloud Identity Services и сопоставить созданные группы с вашими бизнес-ролями SAP. Для получения дополнительной информации см. документацию по SAP о предоставлении пользователей из Microsoft Azure AD в SAP Cloud Identity Services — Identity Authentication.
Кроме того, если вам не нужно использовать группы в Microsoft Entra ID, можно воспользоваться службой подготовки Microsoft Entra. В этом сценарии создайте приложение, представляющее SAP S/4HANA, и назначьте пользователям, которым нужен доступ к SAP S/4HANA этому приложению. Затем настройте автоматическое предоставление пользователей с помощью Microsoft Entra ID для SAP Cloud Identity Services. Дождитесь обработки этих пользователей в сервисах облачной идентификации SAP и убедитесь, что у них есть атрибуты, необходимые для вашего целевого объекта SAP S/4HANA.
Примечание.
Начните с малого. Протестируйте небольшой набор пользователей и групп, перед развертыванием для всех. Проверьте, есть ли у пользователей правильный доступ в целевых системах SAP, и при входе у них должны быть правильные роли.
Шаг 4. Настройка провижнинга из САП облачных сервисов удостоверений в SAP S/4HANA
На этом шаге используйте управление идентификацией SAP Cloud Identity Services для настройки SAP S/4HANA в качестве целевой системы, где можно предоставлять доступ пользователям и членам групп. Сведения о SAP S/4HANA Cloud см. в документации SAP по развертыванию в облаке SAP S/4HANA. Для локальной версии SAP S/4HANA и частного выпуска SAP S/4HANA Cloud см. SAP S/4HANA On-Premise.
Шаг 5. Настройка единого входа
После настройки подготовки пользователей в приложениях SAP необходимо включить единый вход для них. Идентификатор Microsoft Entra может служить поставщиком удостоверений и центром проверки подлинности для приложений SAP. Если вы еще этого не сделали, настройте интеграцию единого входа Microsoft Entra с SAP Cloud Identity Services.
Дополнительные сведения о настройке единого входа в SAP SaaS и современных приложениях см. в статье "Включение единого входа".