Microsoft Entra ID でアクセス制御リストを設定する

  • [アーティクル]

ユーザーは、自分の部門の職務に合わせたアプリとフローにのみアクセスする必要があります。 ビジネス プロセスに基づいて Microsoft Entra ID セキュリティ グループを作成し、チーム メンバーを適切なグループに割り当てることができます。 セキュリティ グループは、アプリへのユーザー アクセスとアプリ内のさまざまなコンポーネントの可視性を制御します。

Microsoft Entra ID セキュリティ グループの作成

次の展開モデルは、部門機能に基づいてユーザーを異なる Microsoft Entra ID セキュリティグループに割り当てることができることを示すものです。

管理者セキュリティ グループ

SAP Procurement 管理者チームに 1 人以上の管理者を設定します。

機能的なセキュリティグループ

セキュリティ グループは、特定のビジネス プロセスに合わせて調整できます。 調達から支払いまでのプロセスに参加するすべてのユーザーを、6 つの異なるユーザー チームのうち 1 つ以上に割り当てます。

  • 仕入先の管理
  • 購買要求
  • 発注書
  • ベンダー商品の領収書
  • ベンダー請求書
  • 仕入先支払

このモデルは、意図を示すためにこのドキュメントの残りの部分全体で使用されますが、実際の構成は要件に応じて異なる場合があります。

詳細情報:

Dataverse グループ チームの作成

キャンバス アプリでユーザーに表示される メニュー項目 は、管理者が SAP Administrator アプリで直接管理します。 Dataverse グループ チーム のメンバーシップは、メニューへのアクセスおよび可視性を制御します。 Microsoft Entra ID セキュリティ グループ は Dataverse グループ チーム メンバーシップを管理し、次の 2 つのオプションのいずれかを保証します。

  • ユーザーは、1 つまたは複数のセキュリティ グループに追加されると、キャンバス アプリの適切なメニュー項目にアクセスできるようになります。
  • ユーザーは、セキュリティグループから削除されると、可視性とアクセス権を失います。

さらに、メニューの可視性は、キャンバス アプリの特定のフィールドの ドリル スルー の動作を駆動します。 たとえば、ユーザーが発注書チームのメンバーではない場合、SAP Requisition Management アプリで購買依頼に関連付けられた発注書番号のみを表示できます。 ドリル スルーしてすべての発注書の詳細を表示することはできません。

詳細: Microsoft Entra ID グループ チームと作業する

チームを管理する手順

チームを作成し、セキュリティ設定を構成するには、次の手順を実行します。

  1. Power Platform 管理センター にサインインします。
  2. 環境 にアクセスし、ソリューションが含まれる環境を選択します。
  3. 設定>ユーザー + アクセス許可>チーム の順に移動します。
  4. + チームの作成 を選択します。
  5. 必須のフィールドに入力します。 チームの種類 で、Microsoft Entra ID セキュリティ グループ を選択します。 また、グループ名メンバーシップの種類 も入力する必要があります。
  6. Microsoft Entra ID で以前に作成したサンプル セキュリティ グループを検索し、新しく作成した グループ チーム に関連付けます。
  7. チームの機能に対応するセキュリティ ロールをチームに割り当てます。

セキュリティ ロールのガイダンス

次の表に、セキュリティ ロールを割り当てるガイダンスを示します:

Dataverse チーム名 SAP のテンプレート ユーザー SAP テンプレート 管理者 Basic ユーザー
仕入先の管理 X X
購買要求 X X
発注書 X X
ベンダー商品の領収書 X X
ベンダー請求書 X X
仕入先支払 X X
Admin X X

注意

  • ユーザーは、リンクされた Microsoft Entra ID セキュリティ グループのメンバーシップに基づいてグループ チームに追加、または削除されます。
  • Dataverse データへのアクセスは、SAP 統合ユーザーと SAP 統合管理者 セキュリティ ロール のチームへの割り当ての間で区別されるアクセス レベルを持つチーム メンバーシップによって管理されます。
  • Dataverse 管理センターの Power Platform グループ チームの設定は、参照用に SAP Admin アプリでも確認できます。

詳細: グループ チームの管理セキュリティ ロールと特権

アプリとフローへのアクセスを共有する

セキュリティ グループのメンバーは、自分と共有されているアプリとフローのみにアクセスできます。 組織のセキュリティ グループを設定するのに役立つ例としてセキュリティ グループ モデルを使用します。

フローを 実行のみの権限 で共有することで、ユーザーは埋め込みフローにアクセスでき、SAP ERP、Dataverse、Office 365 コネクターのユーザー サービスはトリガーユーザーの認証情報を使用します。

警告

フローの 読み取り専用 権限を変更しない場合、コネクタ サービスがユーザー資格情報を渡すことができなくなります。 Dataverse と Office 365 接続の共有は制限する必要があります。

アプリを共有する手順

  1. Power Apps の個別アプリに移動します。
  2. 共有オプションを選択します。
  3. そのアプリにアクセスする必要があるメンバーを含む適切な セキュリティ グループ を検索して選択します。
  4. 共有 を選択します。 招待メールを含めるかどうかも選択できます (必須ではありません)。

フローを共有する手順

  1. Power Apps の個別のクラウドフローに移動します。
  2. 実行のみのユーザー セクションで、編集 を選択します。
  3. チームが使用する必要があるキャンバス アプリに応じて、フローにアクセスする必要がある Microsoft Entra ID セキュリティ グループを検索して選択し、システム ユーザーチーム を招待します。
  4. 3 つのすべての 使用される接続 について、実行専用エンド ユーザーによって提供する オプションを選択します。
  5. 保存 を選びます。

概要の共有

このテーブルは、Microsoft Entra ID セキュリティ グループ チームの例に従って、どのコンポーネントを割り当てまたは共有する必要があるかについてのマッピングの概要を示しています。

コンポーネント タイプ ベンダー管理リーム 購買要求チーム 発注書チーム ベンダー商品の領収書チーム ベンダー請求書チーム 仕入先支払チーム 管理者チーム
SAP ベンダー管理 app X
SAP 購買要求 app X
SAP 発注書 app X
SAP 商品入庫 app X
SAP ベンダー請求書 app X
SAP 仕入先支払 app X
SAP テンプレート 管理者 app X
ApprovePurchaseOrder flow X
ApproveVendorInvoice flow X
ConvertRequisitionToPurchaseOrder flow X
CreateGoodsReceipt flow X
CreatePurchaseOrder flow X
CreateRequisition flow X
CreateVendor flow X
CreateVendorInvoice flow X
ReadGLAccount flow X X X
ReadGLAccountList flow X X X
ReadGoodsReceipt flow X X X
ReadGoodsReceiptList flow X X X
ReadMaterial flow X X X X X X
ReadMaterialList flow X X X X X X
ReadPurchaseOrder flow X X X X
ReadPurchaseOrderList flow X X X X
ReadRequisition flow X X X
ReadRequisitionList flow X X X
ReadVendor flow X X X X X X
ReadVendorInvoice flow X X X X
ReadVendorInvoiceList flow X X X X
ReadVendorList flow X X X X X X
ReadVendorPayment flow X X X
ReadVendorPaymentList flow X X X
ReverseVendorInvoice flow X
UpdatePurchaseOrder flow X
UpdateVendor flow X
UpdateVendorInvoice flow X

詳細情報:

次のステップ

シード データの適用

参照

SAP Procurement テンプレートを使い始める