管理 SAP 應用程式的存取權
SAP 可能會為您的組織執行重要功能,例如 HR 和 ERP。 同時,您的組織依賴 Microsoft 進行各種 Azure 服務、Microsoft 365 和 Microsoft Entra ID 控管 來管理應用程式的存取權。 本文說明如何使用身分識別控管來管理 SAP 應用程式之間的身分識別。
將來自 HR 的身分識別帶入 Microsoft Entra 識別碼
SuccessFactors
使用 SAP SuccessFactors 的客戶可以使用原生連接器,輕鬆地將 SuccessFactors 的身分識別帶入 Microsoft Entra 識別符,或從 SuccessFactors 帶入 內部部署的 Active Directory。 連接器支援下列案例:
- 僱用新員工:將新員工新增至 SuccessFactors 時,會自動在 Microsoft Entra 識別符中建立使用者帳戶,並選擇性地建立 Microsoft Entra ID 支援的其他軟體即服務 (SaaS) 應用程式。 此程式包含將電子郵件位址回寫至 SuccessFactors。
- 員工屬性和配置檔更新:在 SuccessFactors 中更新員工記錄(例如名稱、職稱或經理),員工使用者帳戶會在 Microsoft Entra ID 中自動更新,並選擇性地更新 Microsoft Entra ID 所支援的 Microsoft 365 和其他 SaaS 應用程式。
- 員工終止:當員工在 SuccessFactors 中終止時,員工使用者帳戶會在 Microsoft Entra ID 中自動停用,並選擇性地停用 Microsoft Entra ID 所支援的 Microsoft 365 和其他 SaaS 應用程式。
- 員工重新連任:在 SuccessFactors 中重新連任員工時,員工舊帳戶可以自動重新啟用或重新佈建(視您的喜好而定)至 Microsoft Entra ID,以及選擇性地 Microsoft 365 和其他 Microsoft Entra ID 支援的 SaaS 應用程式。
您也可以 從 Microsoft Entra ID 回寫至 SAP SuccessFactors。
SAP HCM
仍在使用 SAP 人力資源管理 (HCM) 的客戶也可以將身分識別帶入 Microsoft Entra 識別碼。 藉由使用 SAP Integration Suite,您可以同步處理 SAP HCM 與 SAP SuccessFactors 之間的背景工作角色清單。 您可以從該處使用稍早所述的原生布建整合,將身分識別直接帶入 Microsoft Entra ID,或將它們布建到 Active Directory 網域服務。
提供 SAP 應用程式的存取權
除了可讓您管理 SAP 應用程式的存取權的原生布建整合之外,Microsoft Entra ID 還支援一組豐富的與這些應用程式的整合。
啟用 SSO
除了為 SAP 應用程式設定布建之外,您還可以為其啟用 SSO。 Microsoft Entra ID 可作為識別提供者,並做為 SAP 應用程式的驗證授權單位。 Microsoft Entra ID 可以使用 SAML 或 OAuth 與 SAP NetWeaver 整合。 針對 SAP SaaS 和新式應用程式, 瞭解如何透過 SAP 雲端身分識別服務,將 Microsoft Entra ID 設定為 SAP 應用程式的公司識別提供者。
如需如何從 Microsoft Entra ID 設定單一登錄的詳細資訊,請參閱下列檔和教學課程:
- SAP Cloud Identity Services
- SAP SuccessFactors
- SAP Analytics Cloud
- SAP Fiori
- SAP Qualtrics
- SAP Ariba
- SAP Concur 差旅及費用
- SAP 商業技術平台
- SAP Business ByDesign
- SAP HANA
- SAP Cloud for Customer
- SAP Fieldglass
另請參閱下列 SAP 資源:
將身分識別布建至新式 SAP 應用程式
在用戶位於 Microsoft Entra 識別符之後,您可以將帳戶布建到他們需要存取的各種 SaaS 和內部部署 SAP 應用程式。 您有兩種方式可以達成此目的:
- 使用 Microsoft Entra ID 中的 SAP Cloud Identity Services 企業應用程式,將身分識別布建至 SAP Cloud Identity Services。 將所有身分識別帶入 SAP 雲端身分識別服務之後,您可以使用 SAP 雲端身分識別服務 - 身分識別佈建,視需要從該處布建帳戶到您的應用程式。
- 使用 SAP 雲端身分識別服務 - 身分識別佈建整合,將身分識別從 Microsoft Entra ID 直接導出至 SAP Cloud Identity Services 整合應用程式。 當您使用 SAP 雲端身分識別服務 - 身分識別布建將使用者帶入這些應用程式時,這些應用程式的所有布建組態都會直接在 SAP 中管理。 您仍然可以在 Microsoft Entra ID 中使用企業應用程式來管理 SSO,並使用 Microsoft Entra ID 作為公司識別提供者。
將身分識別布建到內部部署 SAP 系統
尚未從 SAP R/3 和 SAP ERP Central Component (SAP ECC) 等應用程式轉換至 SAP S/4HANA 的客戶仍然可以依賴 Microsoft Entra 布建服務來布建使用者帳戶。 在 SAP R/3 和 SAP ECC 中,您會公開建立、更新和刪除使用者所需的商務應用程式開發介面 (BAP)。 在 Microsoft Entra ID 內,您有兩個選項:
- 使用輕量型 Microsoft Entra 布建代理程式和 Web 服務連接器 ,將 使用者布建至 SAP ECC 等應用程式。
- 在您需要執行更複雜的群組和角色管理的情況下,請使用 Microsoft Identity Manager 來管理舊版 SAP 應用程式的存取權。
您也可以使用 Microsoft Entra ID 將背景工作角色布建到 Active Directory,以及 SAP Cloud Identity Services 不支援布建的其他內部部署系統。
觸發自定義工作流程
在組織中僱用新員工時,您可能需要觸發 SAP 內部部署系統中的工作流程,以取得使用者布建以外的其他工作。 藉由使用 Microsoft Entra 生命週期工作流程 Logic Apps 擴充性,或 Microsoft Entra 權利管理 Logic Apps 擴充性與 Azure Logic Apps 中的 SAP 連接器,您可以在僱用新員工時觸發 SAP 中的自定義動作。
檢查職責的分離
透過 Microsoft Entra 權利管理中的職責分離檢查,客戶可以確保使用者不會過度存取許可權:
- 管理員和存取管理員可以防止使用者將額外的存取套件指派給其他存取套件,或是與要求存取不相容的其他群組成員。
- 具有 SAP 應用程式重要法規需求的企業,具有訪問控制的單一一致檢視。 然後,他們可以在財務和其他業務關鍵性應用程式中強制執行職責分離檢查,以及 Microsoft Entra 整合式應用程式。
- 透過與Pathlock和其他合作夥伴產品的整合,客戶可以利用 Microsoft Entra ID 控管中存取套件的細部分離職責檢查。
其他指導方針
如需 SAP 與 Microsoft Entra ID 整合的詳細資訊,請參閱下列檔:
- 使用 SAP Cloud Identity Services 和 Microsoft Entra ID 保護存取
- SAP 工作負載安全性 - Microsoft Azure Well-Architected Framework