Microsoft Entra ID Governance 与 SAP Identity Access Governance (IAG) 集成,可帮助你跨两个平台管理用户访问。 通过此集成,可以将 SAP 业务角色包含在 Microsoft Entra 访问包中,简化预配过程并提供统一的访问管理体验。
通过此集成,可以:
- 将 SAP IAG 业务角色添加为权限管理目录中的资源
- 通过 Microsoft Entra 访问包向用户授予对 SAP 应用程序的访问权限
- 根据 Microsoft Entra 的批准来自动进行 SAP IAG 中的角色分配
- 跨 Microsoft 和 SAP 环境保持一致的访问治理策略
本文介绍如何将 SAP IAG 实例连接到 Microsoft Entra、在两个平台中配置必要的先决条件,以及创建包含 SAP 业务角色的访问包。
许可要求
使用此功能需要Microsoft Entra ID Governance 或 Microsoft Entra Suite 许可证。 若要查找符合要求的正确许可证,请参阅 Microsoft Entra ID Governance 许可基础知识。
先决条件
若要利用 Microsoft Entra 权利管理与 SAP IAG 的集成,组织的 SAP 部署必须满足以下先决条件:
已与 Microsoft Entra 集成的 SAP Cloud Identity Services 实例,
- 在属性映射中,将 Microsoft Entra ObjectId 映射到用户名。在用户名行中选择 EDIT,并将 Source 和 Target 属性设置为:
- 源属性:objectId
- 目标属性:userName
- 为了获得更好的用户体验,还可以为管理器属性添加映射。 这样,管理器信息就可以从 Microsoft Entra 同步到 SAP Cloud Identity Services。
- 用户单一登录(可选)
- 现有的 SAP IAG 业务角色。
SAP Cloud Identity and Access Governance (IAG) 租户许可证:
- 需要 SAP BTP 管理员将 Microsoft Entra 用户帐户添加到
IAG_SUPER_ADMIN组中,并且在 SAP BTP 中具有CIAG_Super_Admin角色,以便在权利管理中将 SAP IAG 访问权限添加为资源。 - Microsoft Entra 用户帐户用于配置连接器和访问包,必须同步到 SAP 云标识服务(IAS)和 SAP IAG。
- 将 Microsoft Entra 用户预配到 SAP Cloud Identity Services 后,请确保在 SAP IAG 上运行“存储库同步”和“SCI 用户组同步作业”。
准备 SAP Identity Access Governance 实例,与 Microsoft Entra 连接
若要将用户组和属性数据从 SAP Cloud Identity Services 同步到 SAP Cloud Identity Access Governance(IAG),请完成以下步骤:
1.注册 IAG 同步系统管理员
登录到 SAP Cloud Identity Services 管理控制台,如果您使用的是试用帐户,请选择
https://<tenantID>.accounts.ondemand.com/admin,。 导航到“用户和授权”>“管理员”。按左侧面板上的“+添加”按钮,向列表中添加新的管理员。 选择“添加系统”并输入系统名称。
为其指定名称(例如 IAG 同步),并分配预配角色(管理用户、管理组、代理系统 API、Real-Time 预配 API、标识预配租户管理员 API)
在 “配置系统身份验证 > 证书”下,生成证书并将其保存。 可以保留下载的证书 p12 文件和证书的密码,也可以上传 .p12 证书。
2.创建 BTP HTTP 目标
- 在 SAP BTP 子帐户中,导航到“连接 > 目标证书 > 创建并使用生成方法”导入”。 上传 在注册 IAG 同步系统管理员 步骤中生成的 p12 证书文件。
- 在 SAP BTP 子帐户中,导航到“连接 > 目标 > 新目标 > 从头开始”。
- 将名称设置为SAP_Identity_Services_Identity_Directory,类型为 HTTP,URL 设置为 https://< SCI_TENANT_ID.accounts.ondemand.com>,将代理类型设置为 Internet,并将身份验证设置为 ClientCertificate。
- 使用在 注册 IAG 同步系统管理员 步骤中创建和上传的证书配置身份验证。 将存储源设置为“DestinationService”,密钥存储位置从下拉列表中选择证书,应与目标证书中上传的证书相同
- 添加下列属性:
- Accept = application/scim+json
- GROUPSURL = /Groups
- USERSURL = /Users
- serviceURL = /scim
将 IAG 指向目标位置
在 IAG 的配置 应用中,选择“应用程序参数”,找到 UserSource > SourceSystem > 编辑。 在编辑页上,输入 SAP_Identity_Services_Identity_Directory。
4.执行 SCI 用户组同步作业
- 在 IAG 中打开作业计划程序,选择“计划作业”,选择“SCI 用户组同步”,选择“ 立即启动 ”(或设置重复周期),然后确认。
- 在 作业历史记录中跟踪执行和日志。
5. 在 BTP 子帐户中创建IPS_PROXY目标
先决条件:管理员用户是在 IAS 中创建的。
若要在门户中的 BTP 子帐户中创建IPS_Proxy目标,请导航到“从头开始创建>目标”>,并添加以下详细信息:
| Name | 属性 |
|---|---|
| Name | IPS_PROXY |
| Authentication | BasicAuthentication |
| 类型 | HTTP |
| 用户 | IAS 中管理员用户的客户端 ID(在 注册 IAG 同步系统管理员 步骤中创建的 IAG 同步用户) |
| 密码 | IAS 管理员的用户密码 |
| Description | IPS 目的地 |
| 代理类型 | Internet |
| URL | 使用 IPS URL(请使用您的 IPS URL) - https://{YOUR_IPS_TENANT}>.{DOMAIN}>.hana.ondemand.com |
| 其他属性 | Accept = application/scim+json ServiceURL = /ipsproxy/service/api/v1/scim/ USERSURL = /Users GROUPSURL = /Groups |
6. 在 IAG 中创建应用程序
先决条件:IPS 代理系统是在云标识服务中创建的。
若要在 IAG 中创建应用程序,请在门户中转到 “应用程序 > +”以创建 > “添加说明”。
有关更全面的说明,包括详细的角色分配、目标配置和计划选项,请参阅 SAP 文档: 将用户组从 SAP 标识服务同步到 IAG。
7. 创建 Azure Key Vault
若要在 Microsoft Entra 中连接 SAP IAG 实例,Azure 订阅需要使用 Key Vault 来存储 Microsoft Entra 的凭据。 若要创建 Azure Key Vault,请执行以下步骤:
- 在 Azure 门户菜单或“主页”中,选择“创建资源”。
- 在“搜索”框中,输入 Key Vault。
- 从结果列表中选择“密钥保管库”。
- 在“密钥保管库”部分,选择“创建”。
- 在“创建密钥保管库”部分中,提供以下信息:
- Name:必须提供唯一的名称。
- 订阅:选择订阅。
- 在“资源组”下选择“新建”,然后输入资源组名称。
- 在“位置”下拉菜单中选择一个位置。
- 将其他选项保留为默认值。
- 选择 创建。
8.在 Azure Key Vault 中设置机密
必须在 Azure Key Vault 中添加 在注册 IAG 同步系统管理员 中创建的 SAP IAG 实例机密。 若要将机密添加到 Azure Key Vault,请执行以下步骤:
- 导航到在 Azure 门户中的 “创建 Azure Key Vault ”中创建的密钥保管库。
- 在 Key Vault 左侧边栏上,选择“ 对象 ”,然后选择“ 机密”。
- 选择“ + 生成/导入”。
- 在“创建机密”屏幕上,选择以下值:
- 上传选项:手动。
- 名称:为 SAP IAG 机密创建唯一名称
-
值:输入 SAP BTP 凭据中的客户端标识符。
- 若要获取此值:登录到 SAP BTP Cockpit,导航到 实例和订阅,找到 SAP IAG 服务实例(服务技术名称:
grc-iag-api),选择 “查看凭据”,然后复制clientID该值。
- 若要获取此值:登录到 SAP BTP Cockpit,导航到 实例和订阅,找到 SAP IAG 服务实例(服务技术名称:
- 将其他值保留为默认值。 选择 创建。
在 Microsoft Entra 中连接 SAP IAG 实例
先决条件:需要一个包含 Azure Key Vault 的 Azure 订阅来存储凭据,以便Microsoft Entra 与 SAP IAG 交互
至少以 身份治理管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>权限管理>控制配置。
在“控制配置”页上,有一个“管理外部连接器”卡。 选择 “查看连接器”。
在“连接器”页上,选择“ 新建连接器”。
在“新建连接器”上下文中,从下拉列表中选择 “SAP IAG ”。
选择 SAP IAG 后,会看到用于填写以下字段的选项:
类型:默认情况下,此字段设置为 IAG 。
名称:输入连接器的自定义名称。
说明:提供连接器的说明。
订阅 ID:请选择包含 Azure Key Vault 资源的 Azure 订阅 ID。
Key Vault 名称:从下拉列表中选择存储 IAG 机密的 Azure Key Vault 资源。
机密名称:选择包含 SAP IAG 客户端机密的机密。
- 若要创建机密:请从 SAP IAG 服务凭据复制
clientsecret参数,并将其作为新机密添加到 Key Vault。 有关说明,请参阅 使用 Azure 门户从 Azure Key Vault 设置和检索机密。
- 若要创建机密:请从 SAP IAG 服务凭据复制
客户端 ID:输入 SAP BTP 凭据中的客户端标识符。 此操作已在步骤在 Azure Key Vault 中设置机密中添加到密钥保管库。
SAP IAG 访问令牌 URL:输入用于生成身份验证令牌以调用 SAP IAG 服务的基础 URL。
- 若要获取此值:在 SAP BTP Cockpit 中,导航到 实例和订阅,找到 SAP IAG 服务实例(服务技术名称:
grc-iag-api),选择 “查看凭据”,复制url参数,然后添加后缀/oauth/token,然后再在此字段中输入。
- 若要获取此值:在 SAP BTP Cockpit 中,导航到 实例和订阅,找到 SAP IAG 服务实例(服务技术名称:
IAG URL:输入 SAP IAG 公开的所有服务的基 URL。
- 若要获取此值:在 SAP BTP Cockpit 中,导航到 实例和订阅,找到 SAP IAG 服务实例(服务技术名称:
grc-iag-api)、选择 “查看凭据”并复制ARQAPI该值。
- 若要获取此值:在 SAP BTP Cockpit 中,导航到 实例和订阅,找到 SAP IAG 服务实例(服务技术名称:
选择“ 创建 ”以创建连接器。
Microsoft Entra 中的目录管理员现在可以将 SAP IAG 实例中的 SAP 业务角色添加到权利管理目录和访问包。
使用 SAP 业务角色设置目录和访问包
至少以 身份治理管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>授权管理>目录。
创建新目录,或选择要在其中添加 SAP 业务角色的现有目录。
创建或选择目录后,转到其 “资源 ”部分,然后选择“ 添加资源”。
选择“SAP IAG”按钮以打开上下文窗格,可在其中选择要作为资源包含在此目录中的 SAP IAG 实例。 在下拉列表中,选择连接的 SAP IAG 实例。
将 SAP IAG 实例添加到目录后,转到目录中的“访问包”选项卡,然后选择“新建访问包”按钮。 输入 基本信息 ,然后选择“ 下一步 ”,查看可添加到访问包的资源角色。
在“资源角色”选项卡中,选择“SAP IAG”。 在这里,你可以选择 SAP IAG 访问权限。
在资源表中,可以选择要包含在访问包中的特定业务角色,然后选择“ 下一步”。
在“请求”选项卡上,创建第一个策略来指定谁可以请求访问包。 还可以配置该策略的审批设置。
- 在您的目录中选择“用户、服务主体和代理标识”
- 选择“特定用户和组”,以仅将此访问包的使用限制为特定用户。 建议为其创建新的Microsoft Entra 组。
- 根据需要定义审批设置
- 请确保在 谁可以请求访问中选择“自己”。
- 选择“下一步:请求者信息”
在“请求者信息”选项卡上,选择“下一步:生命周期”
在“生命周期”选项卡上,输入要授予访问权限的天数,确保未选中 “要求访问评审 ”,然后选择“ 下一步:规则”。
选择创建以使用您配置的设置完成访问包的设置。 有关创建访问包的详细信息,请参阅: 在权利管理中创建访问包。
测试集成
配置新的 SAP IAG 连接器后,可以针对端到端测试方案执行以下步骤:
- 作为标识治理管理员,可以直接 将标识分配给 访问包。
- 作为用户,请求在“设置目录和使用 SAP 业务角色的访问包”步骤中创建的访问包。 有关如何请求访问包的信息,请参阅: 在权利管理中请求访问包。