在 Microsoft Entra ID 中設定存取控制清單
使用者只需存取與其部門級職責相符的應用程式和流程。 您可以根據商務程式建立 Microsoft Entra ID 安全性群組,並將團隊成員指派到適當的群組。 安全性群組可控制使用者對應用程式的存取以及應用程式中各種元件的可見度。
建立 Microsoft Entra ID 安全性群組
下列部署模型說明如何根據部門職責將使用者指派至不同的 Microsoft Entra ID 安全性群組。
管理員安全性群組
為 SAP Procurement 管理團隊設定一名或多名管理員。
職能安全性群組
安全性群組可與特定的商務程序保持一致。 將參與採購到付款流程的所有使用者指派到六個不同使用者團隊中的一個或多個團隊:
- 廠商管理
- 採購請購單
- 採購單
- 廠商貨物收據
- 廠商發票
- 廠商付款
本文件其餘部分會使用此模型顯示意圖,但您的設定可能會根據要求而有所不同。
其他資訊:
建立 Dataverse 群組團隊
管理員直接在 SAP Administrator 應用程式中管理畫布應用程式中使用者可見的功能表項目。 Dataverse 組團隊成員 資格控制對功能表項的訪問和可見性。 Microsoft Entra ID 安全性群組可控管 Dataverse 群組團隊成員資格,並確保以下兩個選項之一:
- 使用者新增至一或多個安全性群組時,他們可以查看並存取畫布應用程式中的適當功能表項目。
- 當使用者從安全性群組移除時,他們就無法看見和存取這些項目。
此外,功能表可見度會推動畫布應用程式中特定欄位的鑽取行為。 例如,如果使用者不屬於訂購單團隊,則他們只能在 SAP 要求管理應用程式中查看與該申請相關的訂購單編號。 他們無法深入查看所有的訂購單詳細資料。
其他資訊:與 Microsoft Entra ID 群組團隊合作
管理團隊的步驟
執行以下步驟來建立團隊並設定安全性設定:
- 登入 Power Platform 系統管理中心。
- 移至環境,並選取包含這些解決方案的環境。
- 移至設定>使用者 + 權限>Teams。
- 選取 + 建立團隊。
- 完成必要欄位。 對於團隊類型,選取 Microsoft Entra ID 安全性群組。 您也必須完成群組名稱和成員資格類型。
- 搜尋先前在 Microsoft Entra ID 中建立的範例安全性群組,並將其與新建立的群組團隊建立關聯。
- 將資訊安全角色指派給符合團隊職能的團隊。
資訊安全角色指南
下表提供了指派資訊安全角色的指南:
| Dataverse 團隊名稱 | SAP 範本使用者 | SAP 範本管理員 | 基本使用者 |
|---|---|---|---|
| 廠商管理 | X | X | |
| 採購請購單 | X | X | |
| 採購單 | X | X | |
| 廠商貨物收據 | X | X | |
| 廠商發票 | X | X | |
| 廠商付款 | X | X | |
| 管理 | X | X |
注意
- 根據連結的 Microsoft Entra ID 安全性群組中的成員資格,將使用者新增至群組團隊,或從中移除。
- 對 Dataverse 資料的存取權由團隊成員管理,存取層級在 SAP 整合使用者和指派到團隊的 SAP 整合管理員資訊安全角色之間有所不同。
- Power Platform 系統管理中心的 Dataverse 群組團隊設定也會顯示在 SAP 系統管理應用程式中以供參考。
共用對應用程式和流程的存取權
安全性群組成員只能存取與他們共用的應用程式和流程。 使用安全性群組模型做為範例,協助您設定組織的安全性群組。
使用僅限執行權限共用流程,以便使用者可以存取內嵌流程,並且 SAP ERP、Dataverse 和 Office 365 連接器使用者服務會使用觸發使用者的認證。
警告
若無法變更流程的唯讀權限,將會阻止連接器服務傳遞使用者認證。 應限制 Dataverse 和 Office 365 連線的共用。
共用應用程式的步驟
- 移至 Power Apps 中的個別應用程式。
- 選取共用選項。
- 搜尋並選取適當的安全性群組,其中包含存取該應用程式所需的成員。
- 選取共用。 您還可以選擇是否要包含電子郵件邀請 (非必要)。
共用流程的步驟
- 移至 Power Apps 中的個別雲端流程。
- 移至僅限執行使用者區段,然後選取編輯。
- 透過搜尋並選取根據團隊需要使用的畫布應用程式,需要存取流程的 Microsoft Entra 識別碼安全性群組來邀請系統使用者和團隊。
- 在三個已使用的連接中,選取由僅限執行終端使用者提供選項
- 選取儲存。
共用摘要
此表格提供了根據 Microsoft Entra 識別碼安全性群組團隊範例所需,指派或共用元件的對應摘要。
| 組件 | 類型 | 廠商管理團隊 | 採購申請團隊 | 訂購單團隊 | 廠商貨物收據團隊 | 廠商發票團隊 | 廠商付款團隊 | 管理員團隊 |
|---|---|---|---|---|---|---|---|---|
| SAP 廠商管理 | 應用程式 | X | ||||||
| SAP 採購申請 | 應用程式 | X | ||||||
| SAP 採購單 | 應用程式 | X | ||||||
| SAP 商品收據 | 應用程式 | X | ||||||
| SAP 廠商發票 | 應用程式 | X | ||||||
| SAP 廠商付款 | 應用程式 | X | ||||||
| SAP 範本管理員 | 應用程式 | X | ||||||
| ApprovePurchaseOrder | 流程 | X | ||||||
| ApproveVendorInvoice | 流程 | X | ||||||
| ConvertRequisitionToPurchaseOrder | 流程 | X | ||||||
| CreateGoodsReceipt | 流程 | X | ||||||
| CreatePurchaseOrder | 流程 | X | ||||||
| CreateRequisition | 流程 | X | ||||||
| CreateVendor | 流程 | X | ||||||
| CreateVendorInvoice | 流程 | X | ||||||
| ReadGLAccount | 流程 | X | X | X | ||||
| ReadGLAccountList | 流程 | X | X | X | ||||
| ReadGoodsReceipt | 流程 | X | X | X | ||||
| ReadGoodsReceiptList | 流程 | X | X | X | ||||
| ReadMaterial | 流程 | X | X | X | X | X | X | |
| ReadMaterialList | 流程 | X | X | X | X | X | X | |
| ReadPurchaseOrder | 流程 | X | X | X | X | |||
| ReadPurchaseOrderList | 流程 | X | X | X | X | |||
| ReadRequisition | 流程 | X | X | X | ||||
| ReadRequisitionList | 流程 | X | X | X | ||||
| ReadVendor | 流程 | X | X | X | X | X | X | |
| ReadVendorInvoice | 流程 | X | X | X | X | |||
| ReadVendorInvoiceList | 流程 | X | X | X | X | |||
| ReadVendorList | 流程 | X | X | X | X | X | X | |
| ReadVendorPayment | 流程 | X | X | X | ||||
| ReadVendorPaymentList | 流程 | X | X | X | ||||
| ReverseVendorInvoice | 流程 | X | ||||||
| UpdatePurchaseOrder | 流程 | X | ||||||
| UpdateVendor | 流程 | X | ||||||
| UpdateVendorInvoice | 流程 | X |
其他資訊: