管理对 SAP 应用程序的访问权限
SAP 软件和服务可能会为你的组织运行关键功能,例如 HR 和 ERP。 同时,你的组织依赖 Microsoft 提供的各种 Azure 服务、Microsoft 365 和 Microsoft Entra ID 治理来管理对应用程序的访问。 本文介绍了如何使用标识治理来跨 SAP 应用程序管理标识。
从 SAP 标识管理迁移
如果一直在使用 SAP 标识管理 (IDM),则可以将标识管理方案从 SAP IDM 迁移到 Microsoft Entra。 有关详细信息,请参阅将标识管理方案从 SAP IDM 迁移到 Microsoft Entra。
将 HR 中的标识引入 Microsoft Entra ID
教程规划部署 Microsoft Entra 以通过 SAP 源和目标应用实现用户预配说明了如何将 Microsoft Entra 与组织中工作人员列表的权威源连接起来(如 SAP SuccessFactors)。 其中还会介绍如何使用 Microsoft Entra 为这些工作人员设置标识。 然后,介绍如何使用 Microsoft Entra 为工作人员提供登录一个或多个 SAP 应用程序(例如 SAP ECC 或 SAP S/4HANA)的访问权限。
SuccessFactors
使用 SAP SuccessFactors 的客户可以使用本机连接器轻松地将标识从 SuccessFactors 引入 Microsoft Entra ID 或从 SuccessFactors 引入本地 Active Directory。 连接器支持以下方案:
- 雇用新员工:新员工添加到 SuccessFactors 后,Microsoft Entra ID 中会自动创建用户帐户,而 Microsoft 365 和 Microsoft Entra ID 支持的其他软件即服务 (SaaS) 应用程序中则会根据情况创建用户帐户。 此过程包括将电子邮件地址写回 SuccessFactors。
- 员工属性和个人资料更新:在 SuccessFactors 中更新员工记录(例如姓名、职称或上司)后,Microsoft Entra ID 中会自动更新相应员工的用户帐户,而 Microsoft 365 和 Microsoft Entra ID 支持的其他 SaaS 应用程序中则会根据情况更新其用户帐户。
- 员工离职:当员工在 SuccessFactors 中离职时,Microsoft Entra ID 会自动禁用该员工的用户帐户,而 Microsoft 365 和 Microsoft Entra ID 支持的其他 SaaS 应用程序则会根据情况禁用其用户帐户。
- 员工返聘:在 SuccessFactors 中返聘员工时,该员工的旧帐户可自动重新激活或重新预配到 Microsoft Entra ID(具体取决于你的首选项),而 Microsoft 365 和 Microsoft Entra ID 支持的其他 SaaS 应用程序则会根据情况重新激活或重新预配。
还可以从 Microsoft Entra ID 写回 SAP SuccessFactors。
SAP HCM
仍使用 SAP Human Capital Management (HCM) 的客户还可以将标识引入 Microsoft Entra ID。 通过使用 SAP Integration Suite,可以在 SAP HCM 和 SAP SuccessFactors 之间同步辅助角色列表。 可以从此处使用上述本机预配集成将标识直接引入 Microsoft Entra ID,或将其预配到 Active Directory 域服务中。
提供对 SAP 应用程序的访问
除了允许管理对 SAP 应用程序的访问的本机预配集成外,Microsoft Entra ID 还支持一组丰富的与这些应用程序的集成。
启用 SSO
在为 SAP 应用程序设置预配的同时,还可以为它们启用 SSO。 Microsoft Entra ID 可以充当标识提供者,以及 SAP 应用程序的身份验证机构。 Microsoft Entra ID 可以使用 SAML 或 OAuth 与 SAP NetWeaver 集成。 对于 SAP SaaS 和新式应用,了解如何通过 SAP 云标识服务将 Microsoft Entra ID 配置为 SAP 应用程序的企业标识提供者。
有关如何从 Microsoft Entra ID 配置单一登录的详细信息,请参阅以下文档和教程:
- SAP 云标识服务
- SAP SuccessFactors
- SAP Analytics Cloud
- SAP Fiori
- SAP Ariba
- SAP Concur 差旅及费用
- SAP 业务技术平台
- SAP Business ByDesign
- SAP HANA
- SAP Cloud for Customer
- SAP Fieldglass
另请参阅以下 SAP 资源:
将标识预配到新式 SAP 应用程序中
用户进入 Microsoft Entra ID 后,可以将帐户预配到他们需要访问的各种 SaaS 和本地 SAP 应用程序中。 可通过两种方法实现此目的:
- 使用 Microsoft Entra ID 中的 SAP 云标识服务企业应用程序将标识预配到 SAP 云标识服务中。 将所有标识引入 SAP 云标识服务后,可以根据需要使用“SAP 云标识服务 - 标识预配”将帐户从那里预配到应用程序中。
- 使用 SAP 云标识服务 - 标识预配集成将标识从 Microsoft Entra ID 直接导出到 SAP 云标识服务集成应用程序中。 如果使用“SAP 云标识服务 - 标识预配”将用户带到这些应用程序中,则将直接在 SAP 中管理这些应用程序的所有预配配置。 仍可以使用 Microsoft Entra ID 中的企业应用程序来管理 SSO,并使用Microsoft Entra ID 作为企业标识提供者。
将标识预配到本地 SAP 系统中
拥有 Microsoft Entra ID 中的用户后,可以将这些用户从 Microsoft Entra ID 预配到 SAP Cloud Identity Services 或 SAP ECC,以便他们登录到 SAP 应用程序。 如果有 SAP S/4HANA On-premise,则将 Microsoft Entra ID 中的用户预配到 SAP Cloud Identity Directory。 然后,SAP Cloud Identity Services 通过 SAP 云连接器将源自 SAP Cloud Identity Directory 中的 Microsoft Entra ID 的用户预配到 SAP S/4HANA 本地的下游 SAP 应用程序。
尚未从 SAP R/3 和 SAP ERP Central Component (SAP ECC) 等应用程序转换到 SAP S/4HANA 的客户仍可依赖 Microsoft Entra 预配服务来预配用户帐户。 在 SAP R/3 和 SAP ECC 中,公开创建、更新和删除用户所需的业务应用程序编程接口 (BAPI)。 在 Microsoft Entra ID 中,有两个选项:
- 使用轻量 Microsoft Entra 预配代理和 Web 服务连接器将用户预配到 SAP ECC 等应用中。
- 在需要执行更复杂的组和角色管理的场景中,请使用 Microsoft Identity Manager 来管理对旧版 SAP 应用程序的访问。
还可以使用 Microsoft Entra ID 将辅助角色预配到 Active Directory,以及 SAP 云标识服务不支持预配的其他本地系统。
触发自定义工作流
在组织中雇用新员工后,可能需要在 SAP 本地系统中触发工作流以完成除用户预配外的其他任务。 通过将 Microsoft Entra 生命周期工作流逻辑应用扩展性或 Microsoft Entra 权利管理逻辑应用扩展性与 Azure 逻辑应用中的 SAP 连接器配合使用,可以在招聘新员工时触发 SAP 中的自定义操作。
检查职责分离
通过 Microsoft Entra 权利管理中的职责分离检查,客户可以确保用户不会拥有过多的访问权限:
- 如果管理员和访问管理员已分配给额外的访问包,或者是与所请求访问权限不兼容的其他组的成员,则管理员和访问管理员可以阻止用户请求其他访问包。
- 对 SAP 应用实施严格监管要求的企业具有单个一致的访问控制视图。 然后,他们可以对其财务和其他业务关键型应用程序以及 Microsoft Entra 集成应用程序实施职责分离检查。
- 通过与 Pathlock 和其他合作伙伴产品集成,客户可以利用 Microsoft Entra ID Governance 中访问包的精细职责分析检查。
其他指南
有关 SAP 与 Microsoft Entra ID 集成的详细信息,请参阅以下文档:
- 使用 SAP 云标识服务和 Microsoft Entra ID 实现安全访问
- SAP 工作负载安全性 - Microsoft Azure 架构良好的框架
- 使用 SAP 应用程序部署 Microsoft Entra 的服务和集成合作伙伴