在 Microsoft Entra ID 中设置访问控制列表
用户只需要访问与其部门职能一致的应用和流。 您可以根据业务流程创建 Microsoft Entra ID 安全组,并将团队成员分配到适当的组。 安全组控制用户能否访问应用以及能否看到应用内的各种组件。
创建 Microsoft Entra ID 安全组
以下部署模型说明了如何根据用户的部门职能将用户分配到不同的 Microsoft Entra ID 安全组。
管理员安全组
为 SAP 采购管理团队设置一个或多个管理员。
职能安全组
这些安全组可以与特定的业务流程保持一致。 将参与采购到付款流程的所有用户分配给六个不同用户团队中的一个或多个:
- 供应商管理
- 采购申请
- 采购订单
- 供应商货物收据
- 供应商发票
- 供应商付款
此模型在本文档的其余部分始终用于显示意图,但根据您的要求,您的配置可能会有所不同。
详细信息:
创建 Dataverse 组团队
管理员直接在 SAP 管理员应用中管理画布应用中用户可见的菜单项。 Dataverse 组团队成员 资格控制对菜单项的访问和可见性。 Microsoft Entra ID 安全组控制 Dataverse 组团队成员身份,并确保有以下两个选项之一:
- 当用户添加到一个或多个安全组时,他们可以看到并访问画布应用中的适当菜单项。
- 从安全组中删除用户后,他们将失去可见性和访问权限。
此外,菜单可见性驱动画布应用中某些字段的钻取行为。 例如,如果用户不属于采购订单团队,他们只能在 SAP 申请管理应用中查看与申请关联的采购订单编号。 他们无法钻取来查看所有采购订单详细信息。
详细信息:处理 Microsoft Entra ID 组团队
管理团队的步骤
采取以下步骤创建团队并配置安全设置:
- 登录 Power Platform 管理中心。
- 转到环境,选择包含解决方案的环境。
- 转到设置>用户 + 权限>团队。
- 选择 + 创建团队。
- 填写必填字段。 对于团队类型,选择 Microsoft Entra ID 安全组。 您还需要填写组名称和成员身份类型。
- 搜索之前在 Microsoft Entra ID 中创建的示例安全组,并将其关联到新创建的组团队。
- 为与团队职能相对应的团队分配安全角色。
安全角色指南
下表提供了分配安全角色的指南:
| Dataverse 团队名称 | SAP 模板用户 | SAP 模板管理员 | 基本用户 |
|---|---|---|---|
| 供应商管理 | X | X | |
| 采购申请 | X | X | |
| 采购订单 | X | X | |
| 供应商货物收据 | X | X | |
| 供应商发票 | X | X | |
| 供应商付款 | X | X | |
| 管理员 | X | X |
备注
- 根据用户在链接的 Microsoft Entra ID 安全组中的成员身份,将用户添加到组团队或从组团队中删除。
- 对 Dataverse 数据的访问由团队成员身份管理,访问级别在团队的 SAP 集成用户和 SAP 集成管理员安全角色分配之间不同。
- Power Platform 管理中心中的 Dataverse 组团队设置也可以在 SAP 管理应用中看到,以供参考。
共享应用和流的访问权限
安全组成员只能访问与其共享的应用和流。 以安全组模型为例,帮助您为您的组织设置安全组。
使用仅运行特权共享流,让用户有权访问嵌入式流,SAP ERP、Dataverse 和 Office 365 连接器用户服务使用触发用户的凭据。
警告
未能更改流的只读特权将阻止连接器服务传递用户凭据。 应该限制 Dataverse 和 Office 365 连接的共享。
共享应用的步骤
- 转到 Power Apps 中的各个应用。
- 选择共享选项。
- 搜索并选择包含需要访问该应用的成员的适当的安全组。
- 选择共享。 您还可以选择是否包含电子邮件邀请(不必需)。
共享流的步骤
- 转到 Power Apps 中的各个云端流。
- 转到仅运行用户部分,选择编辑。
- 通过根据团队需要使用的画布应用,搜索并选择需要访问流的 Microsoft Entra ID 安全组,邀请系统用户和团队。
- 对于使用的所有三个连接,选择由仅运行最终用户提供选项。
- 选择保存。
共享摘要
此表提供根据示例 Microsoft Entra ID 安全组团队需要分配或共享的组件的映射摘要。
| 组件 | 类型 | 供应商管理团队 | 采购申请团队 | 采购订单团队 | 供应商货物收据团队 | 供应商发票团队 | 供应商付款团队 | 管理团队 |
|---|---|---|---|---|---|---|---|---|
| SAP 供应商管理 | 应用程序 | X | ||||||
| SAP 采购申请 | 应用程序 | X | ||||||
| SAP 采购订单 | 应用程序 | X | ||||||
| SAP 货物收据 | 应用程序 | X | ||||||
| SAP 供应商发票 | 应用程序 | X | ||||||
| SAP 供应商付款 | 应用程序 | X | ||||||
| SAP 模板管理员 | 应用程序 | X | ||||||
| ApprovePurchaseOrder | flow | X | ||||||
| ApproveVendorInvoice | flow | X | ||||||
| ConvertRequisitionToPurchaseOrder | flow | X | ||||||
| CreateGoodsReceipt | flow | X | ||||||
| CreatePurchaseOrder | flow | X | ||||||
| CreateRequisition | flow | X | ||||||
| CreateVendor | flow | X | ||||||
| CreateVendorInvoice | flow | X | ||||||
| ReadGLAccount | flow | X | X | X | ||||
| ReadGLAccountList | flow | X | X | X | ||||
| ReadGoodsReceipt | flow | X | X | X | ||||
| ReadGoodsReceiptList | flow | X | X | X | ||||
| ReadMaterial | flow | X | X | X | X | X | X | |
| ReadMaterialList | flow | X | X | X | X | X | X | |
| ReadPurchaseOrder | flow | X | X | X | X | |||
| ReadPurchaseOrderList | flow | X | X | X | X | |||
| ReadRequisition | flow | X | X | X | ||||
| ReadRequisitionList | flow | X | X | X | ||||
| ReadVendor | flow | X | X | X | X | X | X | |
| ReadVendorInvoice | flow | X | X | X | X | |||
| ReadVendorInvoiceList | flow | X | X | X | X | |||
| ReadVendorList | flow | X | X | X | X | X | X | |
| ReadVendorPayment | flow | X | X | X | ||||
| ReadVendorPaymentList | flow | X | X | X | ||||
| ReverseVendorInvoice | flow | X | ||||||
| UpdatePurchaseOrder | flow | X | ||||||
| UpdateVendor | flow | X | ||||||
| UpdateVendorInvoice | flow | X |
详细信息: