Налаштування списків контролю доступу в Microsoft Entra ID
Користувачам потрібен доступ лише до додатків і потоків, які відповідають функції їхнього відділу. Ви можете створювати Microsoft Entra ідентифікаційні групи безпеки на основі бізнес-процесів і призначати членів команди до відповідних груп. Групи безпеки контролюють доступ користувачів до програм і видимість різних компонентів у програмах.
Створення Microsoft Entra груп безпеки посвідчень
Наведена нижче модель розгортання ілюструє, як призначати користувачів до різних Microsoft Entra груп безпеки ідентифікаторів залежно від їхніх функцій відділу.
Група безпеки адміністратора
Налаштуйте одного або кількох адміністраторів у команду адміністраторів із закупівель SAP.
Функціональні групи безпеки
Групи безпеки можуть підлаштовуватися під конкретні бізнес-процеси. Призначте всіх користувачів, які беруть участь у процесі закупівлі до оплати, одній або кільком із шести різних команд користувачів:
- Керування постачальниками
- Заявки на закупівлю
- Замовлення на придбання
- Товарні надходження постачальників
- Рахунок-фактура постачальника
- Платежі постачальників
Ця модель використовується в решті цього документа для демонстрації намірів, але ваша конфігурація може відрізнятися залежно від ваших вимог.
Додаткові відомості:
Створення Dataverse групових команд
Адміністратори керують пунктами меню, які бачать користувачі в програмах на полотні, безпосередньо в програмі SAP Administrator. Dataverse Членство в групі контролює доступ до пунктів меню та їх видимість. Microsoft Entra Ідентифікаційні групи безпеки регулюють Dataverse членство в групі та забезпечують один із двох варіантів:
- Користувачі мають видимість і доступ до відповідних пунктів меню в програмах полотна, коли їх додано до однієї або кількох груп безпеки.
- Користувачі втрачають видимість і доступ, коли їх видаляють із групи безпеки.
Крім того, видимість меню керує поведінкою свердла на певних полях у програмах полотна. Наприклад, якщо користувач не входить до команди замовлень на купівлю, він може переглянути лише пов’язаний із заявкою номер замовлення на покупку в програмі SAP Requisition Management. Вони не можуть детально ознайомитися з усіма деталями замовлення на купівлю.
Додаткові відомості: Робота з Microsoft Entra командами ID-груп
Кроки до керування командами
Виконайте такі дії, щоб створити команди та налаштувати параметри безпеки:
- Увійдіть у Центр адміністрування Power Platform.
- Перейдіть до розділу Середовища та виберіть середовище, яке містить рішення.
- Перейдіть до розділу Налаштування,>Користувачі, Дозволи + ,>Команди.
- Вибрати + Створити команду.
- Заповніть обов’язкові поля. У полі Тип команди виберіть Microsoft Entra Група безпеки ідентифікаторів. Вам також потрібно буде заповнити назву групи та тип членства.
- Знайдіть приклад групи безпеки, раніше створену в Microsoft Entra ID, і зв’яжіть її з новоствореною групою групи.
- Призначайте командам ролі безпеки, які відповідають функціям команди.
роль безпеки керівництво
У наведеній нижче таблиці наведено вказівки щодо призначення ролей безпеки.
| Dataverse Назва команди | Користувач шаблону SAP | Адміністратор шаблонів SAP | Базовий користувач |
|---|---|---|---|
| Керування постачальниками | X | X | |
| Заявки на закупівлю | X | X | |
| Замовлення на придбання | X | X | |
| Надходження товару постачальника | X | X | |
| Рахунок-фактура постачальника | X | X | |
| Платежі постачальників | X | X | |
| Район | X | X |
Нотатка
- Користувачі додаються до групи або видаляються з неї на основі їхнього членства в групі безпеки з пов’язаним Microsoft Entra ідентифікатором.
- Доступ до Dataverse даних регулюється членством у команді, при цьому рівні доступу розрізняються між інтеграцією з SAP і адміністратором інтеграції SAP роль безпеки призначення командам.
- Налаштування Dataverse групової команди в Power Platform центрі адміністрування також можна переглянути в програмі SAP Admin для довідки.
Додаткові відомості: Керування груповими командами,Ролі безпеки та привілеї
Діліться доступом до додатків і ланцюжків
Учасники групи безпеки можуть отримувати доступ лише до додатків і потоків, до яких їм надано доступ. На прикладі моделі груп безпеки можна настроїти групи безпеки для організації.
Діліться потоками з привілеями Run only, щоб користувачі мали доступ до вбудованих потоків і SAP ERP, Dataverse а Office 365 служби користувачів з’єднувачів використовували облікові дані користувача-ініціатора.
Попередження
Якщо не змінити привілеї «Тільки читання» потоків, служби з’єднувача не зможуть передавати облікові дані користувача. Спільне використання Dataverse та Office 365 зв’язки повинні бути обмежені.
Кроки для надання спільного доступу до програм
- Перейдіть до окремих програм у. Power Apps
- Виберіть опцію «Поділитися ».
- Знайдіть і виберіть відповідну групу безпеки, яка містить учасників, яким потрібен доступ до цієї програми.
- Виберіть Поділитися. Ви також можете вибрати, чи включати запрошення електронною поштою (не обов’язково).
Кроки для спільного доступу до ланцюжків
- Перейдіть до окремих хмарних потоків Power Apps.
- Перейдіть до розділу «Запускати лише користувачів» і виберіть «Редагувати ».
- Запросіть користувачів системи та команди , знайшовши та вибравши групи безпеки ідентифікаторів Microsoft Entra , яким потрібен доступ до потоку, відповідно до програм на полотні, які потрібно використовувати цій команді.
- Для всіх трьохвикористовуваних підключень виберіть параметр Надається кінцевим користувачем лише для виконання.
- Виберіть Зберегти.
Підсумок спільного доступу
У цій таблиці наведено підсумок зіставлення компонентів, які потрібно призначити або надати спільний доступ відповідно до прикладу Microsoft Entra ідентифікатора груп безпеки.
| Компонент | Ввести | Команда управління постачальниками | Команда запитів на закупівлю | Команда замовлень на закупівлю | Команда з приймання товарів постачальниками | Команда виставлення рахунків-фактур постачальникам | Відділ платежів постачальників | Команда адміністраторів |
|---|---|---|---|---|---|---|---|---|
| Управління постачальниками SAP | Програма | X | ||||||
| Заявки на закупівлю SAP | Програма | X | ||||||
| Замовлення на закупівлю SAP | Програма | X | ||||||
| Квитанції про товари SAP | Програма | X | ||||||
| Рахунок-фактура постачальника SAP | Програма | X | ||||||
| Платежі постачальників SAP | Програма | X | ||||||
| Адміністратор шаблонів SAP | Програма | X | ||||||
| ApprovePurchaseOrder | текти | X | ||||||
| ApproveVendorInvoice | текти | X | ||||||
| ConvertRequisitionToPurchaseOrder | текти | X | ||||||
| CreateGoodsReceipt | текти | X | ||||||
| CreatePurchaseOrder | текти | X | ||||||
| CreateRequisition | текти | X | ||||||
| CreateVendor | текти | X | ||||||
| CreateVendorInvoice | текти | X | ||||||
| ReadGLAccount | текти | X | X | X | ||||
| ReadGLAccountList | текти | X | X | X | ||||
| ReadGoodsReceipt | текти | X | X | X | ||||
| ReadGoodsReceiptList | текти | X | X | X | ||||
| Читати матеріал | текти | X | X | X | X | X | X | |
| ReadMaterialList | текти | X | X | X | X | X | X | |
| ReadPurchaseOrder | текти | X | X | X | X | |||
| ReadPurchaseOrderList | текти | X | X | X | X | |||
| ReadRequisition | текти | X | X | X | ||||
| ReadRequisitionList | текти | X | X | X | ||||
| ReadVendor | текти | X | X | X | X | X | X | |
| ReadVendorInvoice | текти | X | X | X | X | |||
| ReadVendorInvoiceList | текти | X | X | X | X | |||
| ReadVendorList | текти | X | X | X | X | X | X | |
| ReadVendorPayment | текти | X | X | X | ||||
| ReadVendorPaymentList | текти | X | X | X | ||||
| ReverseVendorInvoice | текти | X | ||||||
| UpdatePurchaseOrder | текти | X | ||||||
| ОновленняВендор | текти | X | ||||||
| UpdateVendorInvoice | текти | X |
Додаткові відомості:
- Оприлюднення програми для роботи з полотном
- Надання спільного доступу до програми на основі моделі
- Спільний доступ до хмарного потоку