共用方式為


教學課程:設定 Microsoft Entra ID 和 SAP 雲端識別服務,以將使用者自動佈建到 SAP BTP 中

本教學課程將說明必須於 SAP 雲端識別服務和 Microsoft Entra ID 中執行的步驟,以設定自動使用者佈建。 設定後,Microsoft Entra ID 會使用 Microsoft Entra 佈建服務與 SAP 雲端識別服務,針對 SAP BTP 自動佈建及取消佈建使用者。 有關 Microsoft Entra 佈建的用途、運作方式和常見問題的重要詳細資訊,請參閱使用 Microsoft Entra ID 對 SaaS 應用程式佈建和取消佈建使用者

支援的功能

  • 在 SAP BTP 中建立使用者,以對 SAP BTP 啟用單一登入
  • 當使用者不再需要存取時,將其從 SAP BTP 中移除
  • 讓使用者屬性在 Microsoft Entra ID 與 SAP BTP 之間保持同步

必要條件

本教學課程中概述的案例假設您已經具有下列必要條件:

  • Microsoft Entra 租用戶
  • 下列其中一個角色:應用程式管理員雲端應用程式管理員,或應用程式擁有者
  • SAP BTP 應用程式 (SAP BTP ABAP 環境或 SAP BTP XS 進階 UAA Cloud Foundry)
  • SAP 雲端識別服務租用戶
  • SAP 身分識別佈建管理主控台上具有管理員權限的使用者帳戶。 請確定您可以存取身分識別佈建管理主控台中的 Proxy 系統。 如果您沒有看到 [Proxy 系統] 磚,請為 BC-IAM-IPS 元件建立事件,以要求此磚的存取權。

步驟 1:規劃佈建部署

Microsoft Entra 具有 SAP ECC、SAP 雲端識別服務和 SAP SuccessFactors 的連接器。 佈建至 SAP BTP 或其他應用程式時,使用者必須先出現在 Microsoft Entra ID 中。 擁有 Microsoft Entra ID 中的使用者之後,您可以將這些使用者從 Microsoft Entra ID 佈建至 SAP 雲端識別服務。 然後,SAP 雲端識別服務會透過 SAP 雲端連接器,將 SAP 雲端身分識別目錄中源自 Microsoft Entra ID 的使用者佈建到下游 SAP 應用程式,包括 SAP BTP ABAP environment「SAP BTP XS Advanced UAA (Cloud Foundry)」和其他。

顯示 Microsoft 與從 Microsoft Entra ID 佈建身分識別相關的 Microsoft 和 SAP 技術的圖表。

步驟 2:請確定您在 Microsoft Entra ID 中擁有正確的使用者

您可以使用從 SuccessFactors 等來源的 HR 輸入,在員工加入、移動和離開時,將 Microsoft Entra ID 中的使用者清單保持在最新狀態。 如果計劃使用群組或應用程式角色指派來限定誰可以存取 SAP BTP,或他們將擁有哪些角色,並且您的租用戶具有 Microsoft Entra ID 控管的授權,您也可以在 Microsoft Entra ID 中為代表 SAP 雲端識別服務或 SAP BTP 的應用程式自動變更應用程式角色指派。 如需在佈建之前執行職責區隔和其他合規性檢查的詳細資訊,請參閱移轉存取生命週期管理案例

如需以 SAP 應用程式作為目標的身分識別生命週期逐步指導,請參閱規劃部署 Microsoft Entra 以使用 SAP 來源和目標應用程式佈建的使用者

步驟 3:設定從 Microsoft Entra ID 佈建到 SAP 雲端識別服務

若要準備將使用者佈建至與 SAP 雲端識別服務整合的 SAP BTP 應用程式,請確認 SAP 雲端識別服務具有這些應用程式的必要結構描述對應。 然後,設定從 Microsoft Entra ID 將使用者佈建到 SAP 雲端識別服務。 SAP 雲端識別服務會視需要將使用者佈建到下游 SAP 應用程式。

有兩種方式可將使用者從 Microsoft Entra 佈建到 SAP 雲端識別服務。

注意

從小規模開始。 在推出給所有人之前,先使用一小部分的使用者和群組進行測試。 檢查使用者是否具有正確的 SAP 下游目標存取權,且在登入時是否具有正確角色。

步驟 4:設定從 SAP 雲端識別服務佈建至 SAP BTP

在此步驟中,使用 SAP 雲端識別服務 - 身分識別佈建將 SAP BTP 設定為目標系統,您可以在其中佈建使用者和群組成員。 如需 SAP BTP ABAP 環境,請參閱關於佈建至 SAP BTP ABAP 環境的 SAP 文件。 如需 SAP BTP XS 進階 UAA (Cloud Foundry),請參閱關於佈建至 SAP BTP XS 進階 UAA (Cloud Foundry) 的 SAP 文件

步驟 5:設定單一登入

將使用者佈建至 SAP 應用程式之後,您應該為其啟用單一登入。 Microsoft Entra ID 可作為 SAP 應用程式的識別提供者和驗證授權單位。 如果您尚未這麼做,請設定 Microsoft Entra 單一登入 (SSO) 與 SAP 雲端識別服務整合

如需如何設定 SAP SaaS 和現代應用程式單一登入的詳細資訊,請參閱 啟用 SSO

下一步