Verwalten des Zugriffs auf Ihre SAP-Anwendungen

SAP-Software und -Dienste führen wahrscheinlich kritische Funktionen wie HR und ERP für Ihre Organisation aus. Gleichzeitig setzt Ihre Organisation in Bezug auf die Verwaltung des Zugriffs auf Anwendungen auf Produkte von Microsoft wie verschiedene Azure-Dienste, Microsoft 365 und Microsoft Entra ID Governance. In diesem Artikel wird beschrieben, wie Sie Identity Governance verwenden können, um Identitäten in Ihren SAP-Anwendungen zu verwalten.

Migrieren von SAP Identity Management

Wenn Sie SAP Identity Management (IDM) verwendet haben, können Sie Identitätsverwaltungsszenarios von SAP IDM zu Microsoft Entra migrieren. Weitere Informationen finden Sie unter Migrieren von Identitätsverwaltungsszenarios von SAP IDM zu Microsoft Entra.

Integrieren von Identitäten aus HR in Microsoft Entra ID

Das Tutorial Planen der Bereitstellung von Microsoft Entra für die Benutzerbereitstellung mit Quell- und Ziel-Apps von SAP veranschaulicht, wie Sie Microsoft Entra mit autoritativen Quellen für die Liste der Beschäftigten in einer Organisation (z. B. SAP SuccessFactors) verbinden. Außerdem erfahren Sie, wie Sie Microsoft Entra zum Einrichten von Identitäten für diese Beschäftigten verwenden. Anschließend erfahren Sie, wie Sie Microsoft Entra verwenden, um Beschäftigten Zugriff auf die Anmeldung bei SAP-Anwendungen wie SAP ECC oder SAP S/4HANA zu gewähren.

SuccessFactors

Kunden, die SAP SuccessFactors verwenden, können Identitäten von SuccessFactors mithilfe von nativen Connectors problemlos in Microsoft Entra ID oder von SuccessFactors in ein lokales Active Directory integrieren. Die Connectors unterstützen die folgenden Szenarien:

• Einstellung neuer Mitarbeiter: Wenn Sie in SuccessFactors einen neuen Mitarbeiter hinzufügen, wird in Microsoft Entra ID und optional in Microsoft 365 und anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch ein Benutzerkonto erstellt. Dieser Prozess umfasst das Zurückschreiben der E-Mail-Adresse in SuccessFactors.
• Aktualisierung von Mitarbeiterattributen und -profilen: Wenn Sie in SuccessFactors einen Mitarbeiterdatensatz (z. B. den Namen, Titel oder Vorgesetzten) aktualisieren, wird das Benutzerkonto des Mitarbeiters in Microsoft Entra ID und optional in Microsoft 365 und anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch aktualisiert.
• Kündigung von Mitarbeitern: Wenn Sie in SuccessFactors eine Kündigung vornehmen, wird das Benutzerkonto des entsprechenden Mitarbeiters in Microsoft Entra ID und optional in Microsoft 365 und anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen automatisch deaktiviert.
• Wiedereinstellung von Mitarbeiter*innen: Wenn Mitarbeiter*innen in SuccessFactors erneut eingestellt werden, können ihre alten Konten in Microsoft Entra ID und optional in Microsoft 365 und anderen von Microsoft Entra ID unterstützten SaaS-Anwendungen (je nach Präferenz) automatisch erneut aktiviert oder erneut bereitgestellt werden.

Sie können auch das Rückschreiben von Microsoft Entra ID in SAP SuccessFactors aktivieren.

SAP HCM

Kunden, die weiterhin SAP Human Capital Management (HCM) verwenden, können auch Identitäten in Microsoft Entra ID integrieren. Mithilfe von SAP Integration Suite können Sie Listen von Mitarbeitern zwischen SAP HCM und SAP SuccessFactors synchronisieren. Von dort aus können Sie Identitäten direkt in Microsoft Entra ID integrieren oder sie über die zuvor erwähnten nativen Bereitstellungsintegrationen in Active Directory Domain Services bereitstellen.

Weitere Integrationsoptionen für Organisationen, die SAP HCM haben und nicht über SuccessFactors verfügen, sind in Nutzerbereitstellung von SAP Human Capital Management (HCM) zu Microsoft Entra ID aufgeführt.

Bereitstellen des Zugriffs auf SAP-Anwendungen

Zusätzlich zu den nativen Bereitstellungsintegrationen, mit denen Sie den Zugriff auf Ihre SAP-Anwendungen verwalten können, unterstützt Microsoft Entra ID eine Vielzahl von Integrationen in diese Anwendungen.

Aktivieren von SSO

Neben der Einrichtung des Provisioning für Ihre SAP-Anwendungen können Sie auch SSO für diese Anwendungen aktivieren. Microsoft Entra ID kann als Identitätsanbieter sowie als Authentifizierungsstelle für Ihre SAP-Anwendungen fungieren. Microsoft Entra ID kann mit SAML oder OAuth in SAP NetWeaver integriert werden. Für SAP-SaaS- und moderne Apps informieren Sie sich über das Konfigurieren von Microsoft Entra ID als Unternehmensidentitätsanbieter für Ihre SAP-Anwendungen über SAP Cloud Identity Services.

Weitere Informationen zum Konfigurieren des einmaligen Anmeldens über Microsoft Entra ID finden Sie in der folgenden Dokumentation und den folgenden Tutorials:

• SAP Cloud Identitätsdienste
• SAP SuccessFactors
• SAP Analytics Cloud
• SAP Fiori
• SAP Ariba
• SAP Concur Travel and Expense
• SAP Business Technology Platform
• SAP Business ByDesign
• SAP HANA
• SAP Cloud for Customer
• SAP Fieldglass

Siehe auch die folgenden Blogbeiträge und SAP-Ressourcen:

• SAP GUI MFA unter Verwendung von Microsoft Entra Integration mit SAP Secure Login Service und Integration mit Microsoft Entra Private Access
• Verwalten des Zugriffs auf SAP BTP
• Einrichten des einmaligen Anmeldens per SAML von Azure Application Gateway für öffentliche und interne SAP-URLs
• Einmaliges Anmelden mit Microsoft Entra Domain Services und Kerberos

Bereitstellen von Identitäten in modernen SAP-Anwendungen

Nachdem Ihre Benutzer in Microsoft Entra ID integriert wurden, können Sie Konten in den verschiedenen SaaS- und lokalen SAP-Anwendungen bereitstellen, auf die sie Zugriff benötigen. Für SAP-Anwendungen, die SAP Cloud Identity Services unterstützen, können Sie die SAP Cloud Identity Services-Unternehmensanwendung in Microsoft Entra ID verwenden, um Benutzer und Gruppen von Microsoft Entra in SAP Cloud Identity Services bereitzustellen. Nachdem Sie alle Identitäten in SAP Cloud Identity Services übertragen haben, können Sie SAP Cloud Identity Services – Identity Provisioning verwenden, um die Konten von dort bei Bedarf in Ihren SAP-Anwendungen bereitzustellen.

Als weitere Option können Sie die SAP Cloud Identity Services - Identity Provisioning-Integration verwenden, um Identitäten von Microsoft Entra ID direkt in integrierte SAP Cloud Identity Services-Anwendungen zu exportieren. Wenn Sie SAP Cloud Identity Services – Identity Provisioning verwenden, um Benutzer und Benutzerinnen in diese Anwendungen zu integrieren, wird die gesamte Bereitstellungskonfiguration für diese Anwendungen direkt in SAP verwaltet. Sie können weiterhin die Unternehmensanwendung in Microsoft Entra ID verwenden, um einmaliges Anmelden zu verwalten und Microsoft Entra ID als Unternehmensidentitätsanbieter zu verwenden.

Bereitstellen von Identitäten in lokalen SAP-Systemen

Sobald Sie Benutzer in der Microsoft Entra-ID haben, können Sie diese Benutzer aus Microsoft Entra-ID für SAP Cloud Identity Services oder SAP ECC bereitstellen, damit sie sich bei SAP-Anwendungen anmelden können. Wenn Sie über SAP S/4HANA On-Premise verfügen, stellen Sie Benutzer von Microsoft Entra ID in SAP Cloud Identity Directory bereit. SAP Cloud Identity Services stellt dann die Benutzer, die sich im SAP Cloud Identity Directory befinden, aus Microsoft Entra-ID in den nachgeschalteten SAP-Anwendungen zu SAP S/4HANA (lokal) über den SAP Cloud Connector bereit.

Kunden, die noch nicht von Anwendungen wie SAP R/3 und SAP ERP Central Component (SAP ECC) auf SAP S/4HANA umgestiegen sind, können weiterhin den Microsoft Entra-Bereitstellungsdienst nutzen, um Benutzerkonten bereitzustellen. In SAP/R3 und SAP ECC machen Sie die erforderlichen Anwendungsprogrammierschnittstellen (Business Application Programming Interfaces, BAPIs) zum Erstellen, Aktualisieren und Löschen von Benutzern verfügbar. Anschließend können Sie den einfachen Microsoft Entra-Bereitstellungs-Agent und Webdienst-Connector verwenden, um Benutzer in Apps wie SAP ECC bereitzustellen.

Sie können Microsoft Entra ID auch verwenden, um Arbeitskräfte in Active Directory oder in anderen lokalen Systemen bereitzustellen, die SAP Cloud Identity Services für die Bereitstellung nicht unterstützt.

Zuweisen des Zugriffs über SAP IAG

Zusätzlich zum Zuweisen von Benutzern zu Rollen über Gruppenmitgliedschaften, die über SAP Cloud Identity Services bereitgestellt werden, können Sie auch die Verwaltung von Microsoft Entra-Berechtigungen in SAP Cloud Identity Access Governance (IAG) integrieren. Mit dieser Integration können Sie SAP IAG-Geschäftsrollen als Ressourcen in Berechtigungsverwaltungskatalogen hinzufügen, sodass Sie Benutzern Zugriff auf SAP-Anwendungen über Microsoft Entra-Zugriffspakete gewähren können. Anschließend können Sie Rollenzuweisungen in SAP IAG und nachgeschalteten SAP-Anwendungen basierend auf Genehmigungen in Microsoft Entra automatisieren.

Weitere Informationen finden Sie unter Microsoft Entra SAP IAG-Integration (Vorschau).

Auslösen von benutzerdefinierten Workflows

Wenn in Ihrer Organisation neue Arbeitskräfte eingestellt werden, müssen Sie möglicherweise einen Workflow in Ihren lokalen SAP-Systemen auslösen, um zusätzliche Aufgaben neben der Benutzerbereitstellung auszuführen. Wenn Sie die Logic Apps-Erweiterbarkeit für Microsoft Entra-Lebenszyklus-Workflows oder die Logic Apps-Erweiterbarkeit für die Microsoft Entra-Berechtigungsverwaltung mit dem SAP-Connector in Azure Logic Apps verwenden, können Sie benutzerdefinierte Aktionen in SAP auslösen, wenn Sie neue Arbeitskräfte einstellen.

Überprüfung auf Aufgabentrennung

Mit den Überprüfungen der Aufgabentrennung, die jetzt in der Vorschauversion der Microsoft Entra-Berechtigungsverwaltung verfügbar sind, können Kunden und Kundinnen sicherstellen, dass Benutzerkonten keine übermäßigen Zugriffsrechte zugewiesen werden:

• Administrator*innen und Zugriffs-Manager*innen können verhindern, dass Benutzer*innen zusätzliche Zugriffspakete anfordern, wenn sie bereits anderen Zugriffspaketen zugewiesen sind oder Mitglieder anderer Gruppen sind, die mit dem angeforderten Zugriff nicht kompatibel sind.
• Unternehmen mit kritischen gesetzlichen Anforderungen für SAP-Apps profitieren von einer einheitlichen Ansicht der Zugriffssteuerungen. Sie können dann Überprüfungen der Aufgabentrennung für ihre Finanzanwendungen und für andere unternehmenskritische Anwendungen sowie für in Microsoft Entra integrierte Anwendungen erzwingen.
• Durch die Integration von Microsoft Entra in die SAP-Zugriffsverwaltung, in Pathlock und in andere Partnerprodukte können Kunden die Vorteile zusätzlicher Risiko- und feingranularer Kontrollen der Aufgabentrennung nutzen, die in diesen Produkten durch Zugriffspakete in Microsoft Entra ID Governance durchgesetzt werden.

Zusätzliche Anleitungen

Weitere Informationen zu SAP-Integrationen in Microsoft Entra ID finden Sie in der folgenden Dokumentation:

• Sicherer Zugriff mit SAP Cloud Identity Services und Microsoft Entra ID
• Sicherheit von SAP-Workloads: Microsoft Azure Well-Architected Framework
• Dienste und Integrationspartner für die Bereitstellung von Microsoft Entra mit SAP-Anwendungen

Nächste Schritte

• Planen der Bereitstellung von Microsoft Entra für die Benutzerbereitstellung mit Quell- und Ziel-Apps von SAP
• Integrieren von Identitäten aus SAP SuccessFactors in Microsoft Entra ID
• Bereitstellen von Konten in SAP Cloud Identity Services
• Erste Schritte mit SAP- und Microsoft-Integrationsszenarien