本教程介绍了在 SAP Cloud Identity Services 和 Microsoft Entra ID 中配置自动用户预配需要执行的步骤。 配置后,Microsoft Entra ID 会使用 Microsoft Entra 预配服务和 SAP Cloud Identity Services 将用户自动预配到 SAP S/4HANA 以及取消预配。 有关 Microsoft Entra 预配的功能、工作原理以及常见问题的重要详细信息,请参阅使用 Microsoft Entra ID 自动执行 SaaS 应用程序的用户预配和取消预配。
支持的功能
- 在 SAP S/4HANA 中创建用户以启用对 SAP S/4HANA 的单一登录
- 当用户不再需要访问权限时,在 SAP S/4HANA 中移除用户
- 使用户属性在 Microsoft Entra ID 和 SAP S/4HANA 之间保持同步
先决条件
本教程中概述的方案假定你已具有以下先决条件:
- 一个 Microsoft Entra 租户
- 以下角色之一:应用程序管理员、云应用程序管理员或应用程序所有者。
- SAP S/4HANA Cloud 专用版、SAP S/4HANA Cloud 公共版或 SAP S/4HANA 本地版
- SAP Cloud Identity Services 租户
- SAP 标识预配管理控制台上具有管理员权限的用户帐户。 请确保你有权访问标识预配管理控制台中的代理系统。 如果看不到“代理系统”磁贴,请为组件 BC-IAM-IPS 创建事件,以请求访问此磁贴。
步骤 1:规划预配部署
Microsoft Entra 具有 SAP ECC、SAP Cloud Identity Services 和 SAP SuccessFactors 的连接器。 预配到 SAP S/4HANA 或其他应用程序需要用户首先出现在 Microsoft Entra ID 中。 拥有 Microsoft Entra ID 中的用户后,可以将这些用户从 Microsoft Entra ID 预配到 SAP Cloud Identity Services。 然后,SAP Cloud Identity Services 将源自 SAP Cloud Identity Directory 中的 Microsoft Entra ID 的用户预配到下游 SAP 应用程序,包括通过 SAP 云连接器预配到 SAP S/4HANA Cloud、SAP S/4HANA On-Premise 以及其他应用程序。
步骤 2:确保 Microsoft Entra ID 中拥有正确的用户
可以使用来自 SuccessFactors 等来源的 HR 入站功能,使 Microsoft Entra ID 中的用户列表在员工入职、调岗和离职时保持最新状态。 如果计划使用组或应用程序角色分配来确定可以访问 SAP S/4HANA 的人员或其拥有哪些角色,并且租户具有 Microsoft Entra ID 治理许可证,则还可以自动更改 Microsoft Entra ID 中代表 SAP Cloud Identity Services 或 SAP S/4HANA 的应用程序的应用程序角色分配。 有关在预配之前执行职责分离和其他合规性检查的更多信息,请参阅迁移访问生命周期管理方案。
有关将 SAP 应用程序作为目标的标识生命周期的分步指导,请参阅计划部署 Microsoft Entra 以通过 SAP 源和目标应用程序实现用户预配。
步骤 3:配置从 Microsoft Entra ID 到 SAP Cloud Identity Services 的预配
要准备将用户预配到与 SAP Cloud Identity Services 集成的 SAP S/4HANA 或其他 SAP 应用程序,请确认 SAP Cloud Identity Services 对这些应用程序具有必要的架构映射。 然后,配置从 Microsoft Entra ID 到 SAP Cloud Identity Services 的用户预配。 SAP Cloud Identity Services 随后会根据需要将用户预配到下游 SAP 应用程序中。
有两种方法可以将用户从 Microsoft Entra 预配到 SAP Cloud Identity Services。
如果要使用来自 Microsoft Entra ID 的组,例如将用户分配给 SAP S/4HANA 云中的角色,则使用 SAP Cloud Identity Services 预配。 首先,为 SAP Analytics Cloud 中使用的 SAP 业务角色创建 Microsoft Entra 组。 然后,在 SAP Cloud Identity Services 预配中,将 Microsoft Entra ID 配置为源,将用户和组从 Microsoft Entra ID 引入 SAP Cloud Identity Services,并将创建的组映射到 SAP 业务角色。 有关更多信息,请参阅有关如何将用户从 Microsoft Azure AD 预配到 SAP Cloud Identity Services - Identity Authentication 的 SAP 文档。
或者,如果不需要在 Microsoft Entra ID 中使用组,则可以使用 Microsoft Entra 预配服务。 在此应用场景中,创建一个代表 SAP S/4HANA 的应用程序,并将需要访问 SAP S/4HANA 的用户分配给该应用程序。 然后,使用 Microsoft Entra ID 配置到 SAP Cloud Identity Services 的自动用户预配。 等待这些用户预配到 SAP Cloud Identity Services 中,并验证其是否具有 SAP S/4HANA 目标所需的属性。
注意
先小部分测试。 在向全员推出之前,请先使用少量的用户和组进行测试。 检查用户在 SAP 下游目标中是否具有正确的访问权限,以及登录时是否具有正确的角色。
步骤 4:配置从 SAP Cloud Identity Services 到 SAP S/4HANA 的预配
在此步骤中,使用 SAP Cloud Identity Services 标识预配将 SAP S/4HANA 配置为目标系统,从而可在其中预配用户和组成员。 有关 SAP S/4HANA 云,请参阅有关预配到 SAP S/4HANA 云的 SAP 文档。 对于 SAP S/4HANA 本地版和 SAP S/4HANA 云专用版,请参阅 SAP S/4HANA 本地版。
步骤 5:配置单一登录
在为用户配置 SAP 应用程序中的预配后,应为其启用单一登录。 Microsoft Entra ID 可以充当标识提供者,以及 SAP 应用程序的身份验证机构。 如果尚未这样做,请配置 Microsoft Entra 单一登录 (SSO) 与 SAP Cloud Identity Services 集成。
有关如何配置 SAP SaaS 和现代应用的单一登录的更多信息,请参阅启用 SSO。