Tutoriel : configurer Microsoft Entra et SAP Cloud Identity Services pour l'attribution automatique d’utilisateurs avec SAP HANA
Ce tutoriel décrit les étapes à effectuer dans SAP Cloud Identity Services, SAP Analytics Cloud et Microsoft Entra ID pour configurer l’attribution automatique d’utilisateurs. Une fois configuré, Microsoft Entra ID approvisionne et désapprovisionne automatiquement les utilisateurs et les groupes dans SAP HANA à l’aide du service d’approvisionnement Microsoft Entra et de SAP Cloud Identity Services. Pour découvrir les informations importantes sur ce que fait l’approvisionnement Microsoft Entra, comment il fonctionne et consulter le forum aux questions, reportez-vous à l’article Automatiser l’attribution et la désattribution d’utilisateurs dans les applications SaaS avec Microsoft Entra ID.
Fonctionnalités prises en charge
- Créer des utilisateurs dans SAP HANA pour activer l’authentification unique auprès de SAP HANA
- Suppression des utilisateurs dans SAP HANA quand ils n’ont plus besoin d’accès
- Gardez les attributs utilisateur synchronisés entre Microsoft Entra ID et SAP HANA
Prérequis
Le scénario décrit dans ce tutoriel part du principe que vous disposez des prérequis suivants :
- Un locataire Microsoft Entra
- L’un des rôles suivants : Administrateur d’application, Administrateur d’application cloud ou Propriétaire d’application.
- SAP HANA Cloud ou base de données SAP HANA
- Un client de SAP Cloud Identity Services
- Un compte d’utilisateur sur la console d’administration SAP Identity Provisioning avec des autorisations d’administrateur. Vérifiez que vous avez accès aux systèmes proxy dans la console d’administration Identity Provisioning. Si vous ne voyez pas la vignette Proxy Systems, créez un incident pour le composant BC-IAM-IPS afin de demander l’accès à cette vignette.
Étape 1 : Planifier votre déploiement de l’approvisionnement
Microsoft Entra a des connecteurs à SAP ECC, SAP Cloud Identity Services et SAP SuccessFactors. L’approvisionnement dans SAP HANA ou d’autres applications nécessite que les utilisateurs soient d’abord présents dans Microsoft Entra ID. Une fois que vous avez des utilisateurs dans Microsoft Entra ID, vous pouvez attribuer ces utilisateurs de Microsoft Entra ID vers SAP Cloud Identity Services. SAP Cloud Identity Services approvisionne ensuite les utilisateurs provenant de Microsoft Entra ID qui se trouvent dans SAP Cloud Identity Directory dans les applications SAP en aval, notamment SAP HANA Cloud
et ‘base de données SAP HANA’ via le connecteur cloud SAP et d’autres applications.
Étape 2 : Vérifiez que vous disposez des utilisateurs appropriés dans Microsoft Entra ID
Vous pouvez utiliser le trafic HR entrant à partir de SuccessFactors pour conserver la liste des utilisateurs dans Microsoft Entra ID à jour lorsque les employés rejoignent, déplacent et quittent. Si vous envisagez d’utiliser des groupes ou des attributions de rôles d’application pour étendre qui peut accéder à SAP HANA ou quels rôles ils auront, et que votre locataire dispose d’une licence pour Gouvernance des ID Microsoft Entra, vous pouvez également automatiser les modifications apportées aux attributions de rôles d’application dans Microsoft Entra ID pour les applications représentant SAP Cloud Identity Services ou HANA. Pour plus d’informations sur l’exécution de la séparation des tâches et d’autres vérifications de conformité avant l’approvisionnement, consultez migrer des scénarios de gestion de cycle de vie des accès.
Pour obtenir des instructions pas à pas sur le cycle de vie des identités avec les applications SAP comme cible, consultez Plan de déploiement de Microsoft Entra pour l’attribution d'utilisateurs avec des applications source et cible SAP.
Étape 3 : Configurer l’approvisionnement depuis Microsoft Entra ID vers SAP Cloud Identity Services
Pour préparer l’attribution d'utilisateurs dans des applications SAP HANA ou d’autres applications SAP intégrées à SAP Cloud Identity Services, confirmez que SAP Cloud Identity Services dispose des mappages de schéma nécessaires pour ces applications. Ensuite, configurez attribution d’utilisateurs de Microsoft Entra ID dans SAP Cloud Identity Services. SAP Cloud Identity Services provisionnera par la suite les utilisateurs dans les applications SAP en aval si nécessaire.
Il existe deux façons de provisionner des utilisateurs de Microsoft Entra dans SAP Cloud Identity Services.
Si vous utiliserez des groupes à partir de Microsoft Entra ID, par exemple pour attribuer des utilisateurs à des rôles dans le SAP HANA Cloud, utilisez l’approvisionnement des services d’identité SAP Cloud. Tout d’abord, créez des groupes Microsoft Entra pour vos rôles métier SAP utilisés dans SAP Analytics Cloud. Ensuite, dans l’approvisionnement SAP Cloud Identity Services, configurez Microsoft Entra ID en tant que source pour amener les utilisateurs et les groupes de Microsoft Entra ID à SAP Cloud Identity Services et mapper les groupes créés à vos rôles d’entreprise SAP. Pour plus d’informations, consultez la documentation SAP sur l’attribution d’utilisateurs de Microsoft Azure AD sur SAP Cloud Identity Services - Identity Authentication.
Sinon, si vous n’avez pas besoin d’utiliser des groupes dans Microsoft Entra ID, vous pouvez utiliser le service d’approvisionnement Microsoft Entra. Dans ce scénario, créez une application représentant SAP HANA et attribuez aux utilisateurs qui ont besoin d’accéder à SAP HANA à cette application. Ensuite, configurez attribution automatique d’utilisateurs avec Microsoft Entra ID vers SAP Cloud Identity Services pour. Attendez que ces utilisateurs soient attribués dans SAP Cloud Identity Services et vérifiez qu’ils ont les attributs nécessaires pour votre cible SAP HANA.
Remarque
Commencez progressivement. Testez avec un petit ensemble d’utilisateurs et de groupes avant d’effectuer un déploiement général. Vérifiez que les utilisateurs disposent du bon accès dans les cibles en aval SAP et qu’ils disposent des rôles appropriés lorsqu’ils se connectent.
Étape 4 : Configurer l’approvisionnement à partir de SAP Cloud Identity Services vers SAP HANA
À cette étape, utilisez SAP Cloud Identity Services Identity Provisioning pour configurer SAP HANA en tant que système cible, où vous pouvez attribuer des utilisateurs et des membres de groupe. Pour la base de données SAP HANA Cloud ou SAP HANA, consultez la documentation SAP sur l’approvisionnement sur la base de données SAP HANA Cloud ou SAP HANA.
Étape 5 : Configurer l’authentification unique
Après avoir configuré l’approvisionnement pour les utilisateurs dans vos applications SAP, vous devez activer l’authentification unique pour celles-ci. Microsoft Entra ID peut servir de fournisseur d’identité et d’autorité d’authentification pour vos applications SAP. Si ce n’est déjà fait, configurez l’intégration de l’authentification unique Microsoft Entra à SAP Cloud Identity Services.
Pour plus d’informations sur la configuration de l’authentification unique sur SAP SaaS et les applications modernes, consultez activer l’authentification unique.