管理 SAP 應用程式的存取權

SAP 軟體和服務可能會為您的組織執行重要功能,例如 HR 和 ERP。 同時,您的組織依賴 Microsoft 的各種 Azure 服務、Microsoft 365,以及 Microsoft Entra ID Governance 來管理應用程式的存取權。 本文說明如何使用 Identity Governance 來管理 SAP 應用程式之間的身分識別。

SAP 整合的圖表。

從 SAP 身分識別管理移轉

如果您一直使用 SAP 身分識別管理 (IDM),則可以將身分識別管理案例從 SAP IDM 移轉至 Microsoft Entra。 如需詳細資訊,請參閱將身分識別管理案例從 SAP IDM 移轉至 Microsoft Entra

將身分識別從 HR 帶入 Microsoft Entra ID

本教學課程計劃部署 Microsoft Entra 以使用 SAP 來源和目標應用程式進行使用者佈建,說明如何連接 Microsoft Entra 與組織中工作者清單的授權來源,例如 SAP SuccessFactors。 也會示範如何使用 Microsoft Entra 來設定這些工作者的身分識別。 然後,您將了解如何使用 Microsoft Entra,為工作者提供登入一或多個 SAP 應用程式的存取權,例如 SAP ECC 或 SAP S/4HANA。

SuccessFactors

使用 SAP SuccessFactors 的客戶可以使用原生連接器,輕鬆地將身分識別從 SuccessFactors 帶入Microsoft Entra ID從 SuccessFactors 帶入內部部署 Active Directory。 連接器支援下列案例:

  • 雇用新員工:將新員工新增至 SuccessFactors 時,系統會在 Microsoft Entra ID、Microsoft 365 (選用) 和 Microsoft Entra ID 支援的其他軟體即服務 (SaaS) 應用程式中自動建立使用者帳戶。 此流程包括對 SuccessFactors 使用電子郵件地址的回寫。
  • 員工屬性和設定檔更新:在 SuccessFactors 中更新員工記錄時 (例如姓名、職稱或經理),系統會在 Microsoft Entra ID、Microsoft 365 (選用) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式中自動更新員工的使用者帳戶。
  • 員工離職:在 SuccessFactors 中將員工設定為離職時,系統會在 Microsoft Entra ID、Microsoft 365 (選用) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式中自動停用員工的使用者帳戶。
  • 重新雇用員工:在 SuccessFactors 中重新雇用員工時,系統會自動重新啟用員工的舊帳戶或將其重新佈建 (取決於您的喜好設定) 至 Microsoft Entra ID、Microsoft 365 (選用) 和 Microsoft Entra ID 支援的其他 SaaS 應用程式。

您也可以從 Microsoft Entra ID 寫回 SAP SuccessFactors

SAP HCM

仍在使用 SAP 人力資源管理 (HCM) 的客戶也可以將身分識別帶入 Microsoft Entra ID。 藉由使用 SAP Integration Suite,您可以同步處理 SAP HCM 與 SAP SuccessFactors 之間的工作者清單。 您可以從該處直接將身分識別帶入 Microsoft Entra ID,或使用稍早提到的原生佈建整合,將其佈建到 Active Directory Domain Services 中。

SAP HR 整合的圖表。

提供 SAP 應用程式的存取權

除了可讓您管理 SAP 應用程式存取權的原生佈建整合之外,Microsoft Entra ID 還支援許多與這些應用程式的整合。

啟用 SSO

除了為 SAP 應用程式設定佈建之外,您還可以為其啟用 SSO。 Microsoft Entra ID 可作為識別提供者,並可做為 SAP 應用程式的驗證授權單位。 Microsoft Entra ID 可以使用 SAML 或 OAuth 與SAP NetWeaver 整合。 對於 SAP SaaS 和新式應用程式,了解如何透過 SAP 雲端身分識別服務,將 Microsoft Entra ID 設定為 SAP 應用程式的公司識別提供者

如需如何從 Microsoft Entra ID 設定單一登入的詳細資訊,請參閱下列文件和教學課程:

另請參閱下列 SAP 資源:

將身分識別佈建至新式 SAP 應用程式

在使用者加入 Microsoft Entra ID 之後,您可以將帳戶佈建到其需要存取的各種 SaaS 和內部部署 SAP 應用程式。 有兩種方式可以完成這項工作:

將身分識別佈建到內部部署 SAP 系統

擁有 Microsoft Entra ID 中的使用者之後,您可以將這些使用者從 Microsoft Entra ID 佈建至 SAP 雲端識別服務或 SAP ECC,讓他們能夠登入 SAP 應用程式。 如果您有 SAP S/4HANA On-premise,請將使用者從 Microsoft Entra ID 佈建至 SAP Cloud Identity Directory。 然後,SAP 雲端身分識別服務會透過 SAP 雲端連接器,將 SAP 雲端身分識別目錄中源自 Microsoft Entra ID 的使用者佈建到下游 SAP 應用程式的 SAP S/4HANA On-Premise。

尚未從 SAP R/3 和 SAP ERP Central Component (SAP ECC) 等應用程式轉換至 SAP S/4HANA 的客戶,仍可依賴 Microsoft Entra 佈建服務來佈建使用者帳戶。 在 SAP R/3 和 SAP ECC 中,您可以公開用於建立、更新和刪除使用者所需的商務應用程式開發介面 (BAPIs)。 在 Microsoft Entra ID 內,您有兩個選項:

您也可以使用 Microsoft Entra ID 將工作者佈建到 Active Directory,以及 SAP Cloud Identity Services 不支援佈建的其他內部部署系統。

觸發自訂工作流程

在組織中僱用新員工時,您可能需要在 SAP 內部部署系統內觸發工作流程,以取得使用者佈建以外的其他工作。 藉由使用 Microsoft Entra 生命週期工作流程 Logic Apps 擴充性,或 Microsoft Entra 權利管理 Logic Apps 擴充性Azure Logic Apps 中的 SAP 連接器,您可以在僱用新員工時觸發 SAP 中的自訂動作。

檢查職責區分

透過 Microsoft Entra 權利管理中的職責區分檢查,客戶可以確保使用者不會擁有過多的存取權限:

  • 如果使用者已指派給其他存取套件,或是隸屬於與要求的存取不相容的其他群組,則管理員和存取管理員可阻止使用者要求額外的存取套件。
  • 對 SAP 應用程式有嚴格法規要求的企業擁有單一一致的存取控制視圖。 然後,他們可以在其財務和其他業務關鍵性應用程式以及已整合 Microsoft Entra 的應用程式中,強制執行職責區分檢查。
  • 透過Microsoft Entra 整合至 SAP 存取治理Pathlock 和其他合作夥伴產品,客戶可以利用這些產品中強制執行的額外風險和細部職責分離檢查,以及存取 Microsoft Entra ID 控管 中的套件。

其他指導方針

如需 SAP 與 Microsoft Entra ID 整合的詳細資訊,請參閱下列文件:

下一步