教學課程:設定 Microsoft Entra ID 和 SAP 雲端識別服務,以將使用者自動佈建到 SAP HANA 中
本教學課程將說明必須於 SAP 雲端識別服務和 Microsoft Entra ID 中執行的步驟,以設定自動使用者佈建。 設定後,Microsoft Entra ID 會使用 Microsoft Entra 佈建服務與 SAP 雲端識別服務,針對 SAP HANA 自動佈建及取消佈建使用者。 有關 Microsoft Entra 佈建的用途、運作方式和常見問題的重要詳細資訊,請參閱使用 Microsoft Entra ID 對 SaaS 應用程式佈建和取消佈建使用者。
支援的功能
- 在 SAP Hana 中建立使用者,以對 SAP Hana 啟用單一登入
- 當使用者不再需要存取權時,將其從 SAP HANA 中移除
- 讓使用者屬性在 Microsoft Entra ID 與 SAP HANA 之間保持同步
必要條件
本教學課程中概述的案例假設您已經具有下列必要條件:
- Microsoft Entra 租用戶
- 下列其中一個角色:應用程式管理員、雲端應用程式管理員,或應用程式擁有者。
- SAP HANA 雲端或 SAP HANA 資料庫
- SAP 雲端識別服務租用戶
- SAP 身分識別佈建管理主控台上具有管理員權限的使用者帳戶。 請確定您可以存取身分識別佈建管理主控台中的 Proxy 系統。 如果您沒有看到 [Proxy 系統] 磚,請為 BC-IAM-IPS 元件建立事件,以要求此磚的存取權。
步驟 1:規劃佈建部署
Microsoft Entra 具有 SAP ECC、SAP 雲端識別服務和 SAP SuccessFactors 的連接器。 佈建至 SAP HANA 或其他應用程式時,使用者必須先出現在 Microsoft Entra ID 中。 擁有 Microsoft Entra ID 中的使用者之後,您可以將這些使用者從 Microsoft Entra ID 佈建至 SAP 雲端識別服務。 然後,SAP 雲端識別服務會透過 SAP 雲端連接器,將 SAP 雲端身分識別目錄中源自 Microsoft Entra ID 的使用者佈建到下游 SAP 應用程式,包括 SAP HANA Cloud
和「SAP HANA 資料庫」。
步驟 2:請確定您在 Microsoft Entra ID 中擁有正確的使用者
您可以使用從 SuccessFactors 等來源的 HR 輸入,在員工加入、移動和離開時,將 Microsoft Entra ID 中的使用者清單保持在最新狀態。 如果計劃使用群組或應用程式角色指派來限定誰可以存取 SAP HANA,或他們將擁有哪些角色,並且您的租用戶具有 Microsoft Entra ID 控管的授權,您也可以在 Microsoft Entra ID 中為代表 SAP 雲端識別服務或 SAP HANA 的應用程式自動變更應用程式角色指派。 如需在佈建之前執行職責區隔和其他合規性檢查的詳細資訊,請參閱移轉存取生命週期管理案例。
如需以 SAP 應用程式作為目標的身分識別生命週期逐步指導,請參閱規劃部署 Microsoft Entra 以使用 SAP 來源和目標應用程式佈建的使用者。
步驟 3:設定從 Microsoft Entra ID 佈建到 SAP 雲端識別服務
若要準備將使用者佈建至與 SAP 雲端識別服務整合的 SAP Hana 應用程式,請確認 SAP 雲端識別服務具有這些應用程式的必要結構描述對應。 然後,設定從 Microsoft Entra ID 將使用者佈建到 SAP 雲端識別服務。 SAP 雲端識別服務會視需要將使用者佈建到下游 SAP 應用程式。
有兩種方式可將使用者從 Microsoft Entra 佈建到 SAP 雲端識別服務。
如果您要使用來自 Microsoft Entra ID 的群組,例如將使用者指派給 SAP HANA 雲端中的角色,請使用 SAP 雲端識別服務佈建。 首先,為 SAP Analytics Cloud 中的 SAP 企業角色建立 Microsoft Entra 群組。 接著,在 SAP 雲端身分識別服務佈建中將 Microsoft Entra ID 設定為來源,已將使用者和群組從 Microsoft Entra ID 移至 SAP 雲端身分識別服務,並將已建立的群組對應至 SAP 企業角色。 如需詳細資訊,請參閱關於如何將使用者從 Microsoft Azure AD 佈建至 SAP 雲端識別服務 - 身分識別驗證的 SAP 文件。
或者,如果您不需要在 Microsoft Entra ID 中使用群組,則可以使用 Microsoft Entra 佈建服務。 在此案例中,先建立代表 SAP HANA 的應用程式,再將需要 SAP HANA 存取權的使用者指派給該應用程式。 然後,設定使用 Microsoft Entra ID 將使用者自動佈建至 SAP 雲端識別服務。 等候這些使用者佈建至 SAP 雲端識別服務,並確認他們具有 SAP HANA 目標所需的屬性。
注意
從小規模開始。 在推出給所有人之前,先使用一小部分的使用者和群組進行測試。 檢查使用者是否具有正確的 SAP 下游目標存取權,且在登入時是否具有正確角色。
步驟 4:設定從 SAP 雲端識別服務佈建至 SAP HANA
在此步驟中,使用 SAP 雲端識別服務 - 身分識別佈建將 SAP HANA 設定為目標系統,您可以在其中佈建使用者和群組成員。 如需 SAP HANA 雲端或 SAP HANA 資料庫,請參閱關於佈建至 SAP HANA 雲端或 SAP HANA 資料庫 SAP 文件。
步驟 5:設定單一登入
將使用者佈建至 SAP 應用程式之後,您應該為其啟用單一登入。 Microsoft Entra ID 可作為 SAP 應用程式的識別提供者和驗證授權單位。 如果您尚未這麼做,請設定 Microsoft Entra 單一登入 (SSO) 與 SAP 雲端識別服務整合 。
如需如何設定 SAP SaaS 和現代應用程式單一登入的詳細資訊,請參閱 啟用 SSO。