Share via

Configurazione dell'ID Microsoft Entra per il provisioning degli utenti in SAP ECC con NetWeaver AS ABAP 7.0 o versione successiva

  • Articolo

La documentazione seguente fornisce informazioni sulla configurazione e sull'esercitazione che illustrano come effettuare il provisioning degli utenti da Microsoft Entra ID in SAP ERP Central Component (SAP ECC, in precedenza SAP R/3) con NetWeaver 7.0 o versione successiva. Se si usano altre versioni di SAP R/3, è comunque possibile usare le guide fornite nei Connessione ors per il download di Microsoft Identity Manager 2016 come riferimento per creare un modello personalizzato per il provisioning. Se si usa SAP S/4HANA o altre applicazioni SaaS SAP, seguire l'esercitazione per configurare SAP Cloud Identity Services per il provisioning utenti automatico. Per altre informazioni sulle integrazioni SAP, vedere Gestire l'accesso alle applicazioni SAP.

Il video seguente offre una panoramica del provisioning locale.

Capacità supportate

  • Creare utenti in SAP ECC.
  • Rimuovere gli utenti in SAP ECC quando non hanno più bisogno dell'accesso.
  • Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e SAP ECC.

Fuori ambito

  • Altri tipi di oggetto, inclusi i gruppi di attività locali, i ruoli e i profili, non sono supportati. Usare Microsoft Identity Manager se questi oggetti sono necessari.
  • Le operazioni password non sono supportate. Usare Microsoft Identity Manager se è necessaria la gestione delle password.

Prerequisiti per il provisioning in SAP ECC con NetWeaver AS ABAP 7.51

On-premises prerequisites (Prerequisiti locali)

Il computer che esegue l'agente di provisioning deve avere:

  • Almeno 3 GB di RAM.
  • Windows Server 2016 o una versione successiva di Windows Server.
  • Connessione ivity a un sistema con SAP ECC NetWeaver AS ABAP 7.51
  • Connettività in uscita a login.microsoftonline.com, altri servizi online Microsoft e domini di Azure . Un esempio è una macchina virtuale Windows Server 2016 ospitata in Azure IaaS o dietro un proxy.
  • .NET Framework 4.7.2

Requisiti cloud

  • Tenant di Microsoft Entra con ID Microsoft Entra P1 o Premium P2 (o EMS E3 o E5).

    L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

  • Ruolo Amministrazione istrator per la configurazione dell'agente di provisioning e dei ruoli application Amministrazione istrator o Cloud Application Amministrazione istrator per la configurazione del provisioning nell'interfaccia di amministrazione di Microsoft Entra.

  • Gli utenti di Microsoft Entra di cui eseguire il provisioning in SAP ECC devono essere già popolati con tutti gli attributi necessari per SAP ECC.

1. Installare e configurare Microsoft Entra Connessione Provisioning Agent

Se l'agente di provisioning è già stato scaricato e configurato per un'altra applicazione locale, continuare la lettura nella sezione successiva.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra.
  2. Passare ad Applicazioni aziendali e selezionare Nuova applicazione.
  3. Cercare l'applicazione dell'app ECMA locale, assegnare un nome all'app e selezionare Crea per aggiungerla al tenant.
  4. Dal menu passare alla pagina Provisioning dell'applicazione.
  5. Seleziona Inizia.
  6. Nella pagina Provisioning impostare la modalità su Automatico.

Screenshot della selezione automatica.

  1. In Connessione ivity locale selezionare Scarica e installa e selezionare Accetta termini e download.

  2. Lasciare il portale ed eseguire il programma di installazione dell'agente di provisioning, accettare le condizioni per il servizio e selezionare Installa.

  3. Attendere la configurazione guidata dell'agente di provisioning di Microsoft Entra e quindi selezionare Avanti.

  4. Nel passaggio Seleziona estensione selezionare Provisioning di applicazioni locali e quindi selezionare Avanti.

  5. L'agente di provisioning userà il Web browser del sistema operativo per visualizzare una finestra popup per l'autenticazione con Microsoft Entra ID e potenzialmente anche il provider di identità dell'organizzazione. Se si usa Internet Explorer come browser in Windows Server, potrebbe essere necessario aggiungere siti Web Microsoft all'elenco di siti attendibili del browser per consentire l'esecuzione corretta di JavaScript.

  6. Specificare le credenziali per un amministratore di Microsoft Entra quando viene richiesto di autorizzare. L'utente deve avere almeno il ruolo hybrid identity Amministrazione istrator.

  7. Selezionare Conferma per confermare l'impostazione. Al termine dell'installazione, è possibile selezionare Esci e chiudere anche il programma di installazione del pacchetto dell'agente di provisioning.

2. Esporre le API SAP necessarie

Esporre le API necessarie in SAP ECC NetWeaver 7.51 per creare, aggiornare ed eliminare utenti. Il file Connessione ors per Microsoft Identity Manager 2016 illustra Deploying SAP NetWeaver AS ABAP 7.pdf come esporre le API necessarie.

3. Creare un modello di connettore di servizi Web

Se non si esegue la migrazione da un Connessione or di servizi Web esistente in MIM, sarà necessario creare un modello di connettore di servizi Web per l'host ECMA. Se si dispone già di un modello di connettore di servizi Web da MIM, continuare con la sezione successiva.

È possibile usare la guida Authoring SAP ECC 7 Template for ECMA2Host.pdf Connessione ors per Microsoft Identity Manager 2016 come riferimento per compilare il modello. Gli Connessione ors per Microsoft Identity Manager 2016 forniscono anche un modello sapecc.wsconfig come riferimento. Prima di eseguire la distribuzione nell'ambiente di produzione, è necessario personalizzare il modello per soddisfare le esigenze dell'ambiente specifico. Assicurarsi che ServiceName, EndpointName e OperationName siano corretti.

4. Configurare l'app ECMA locale

  1. Nella sezione Connessione ivity locale del portale selezionare l'agente distribuito e selezionare Assegna agenti.

    Screenshot che mostra come selezionare e assegnare un agente.

  2. Mantenere aperta questa finestra del browser, mentre si completa il passaggio successivo della configurazione usando la configurazione guidata.

5. Configurare il certificato host Connessione or di Microsoft Entra ECMA

  1. In Windows Server in cui è installato l'agente di provisioning fare clic con il pulsante destro del mouse sulla Configurazione guidata Microsoft ECMA2Host dal menu Start ed eseguire come amministratore. L'esecuzione come amministratore di Windows è necessaria per la procedura guidata per creare i registri eventi di Windows necessari.

  2. Dopo l'avvio della configurazione host di ECMA Connessione or, se è la prima volta che si esegue la procedura guidata, verrà chiesto di creare un certificato. Lasciare la porta predefinita 8585 e selezionare Genera certificato per generare un certificato. Il certificato generato automaticamente verrà autofirmato come parte della radice attendibile. Il certificato SAN corrisponde al nome host.

    Screenshot che mostra la configurazione delle impostazioni.

  3. Seleziona Salva.

6. Configurare il connettore di servizi Web generici

In questa sezione si creerà la configurazione del connettore per SAP ECC.

La configurazione della connessione a SAP ECC viene eseguita tramite una procedura guidata. A seconda delle opzioni selezionate, alcune schermate della procedura guidata potrebbero non essere disponibili e le informazioni potrebbero essere leggermente diverse. Usare le informazioni seguenti per guidare l'utente nella configurazione.

6.1 Connessione l'agente di provisioning in SAP ECC

Per connettere l'agente di provisioning Di Microsoft Entra con SAP ECC, seguire questa procedura:

  1. Copiare il file sapecc.wsconfig del modello del connettore di servizi Web nella C:\Program Files\Microsoft ECMA2Host\Service\ECMA cartella .

  2. Generare un token segreto che verrà usato per l'autenticazione dell'ID Microsoft Entra nel connettore. Deve contenere almeno 12 caratteri e univoci per ogni applicazione.

  3. Se non è già stato fatto, avviare la Configurazione guidata Microsoft ECMA2Host da Windows menu Start.

  4. Selezionare Nuovo connettore.

    Screenshot che mostra la scelta di Nuovo Connessione or.

  5. Nella pagina Proprietà compilare le caselle con i valori specificati nella tabella che segue l'immagine e selezionare Avanti.

    Screenshot che mostra l'immissione delle proprietà.

    Proprietà valore
    Nome Nome scelto per il connettore, che deve essere univoco in tutti i connettori nell'ambiente. Ad esempio, se si dispone di una sola istanza SAP, SAPECC7.
    Timer asincrono automatico (minuti) 120
    Token segreto Immettere il token segreto generato per questo connettore. La chiave deve contenere almeno 12 caratteri.
    DLL di estensione Per il connettore di servizi Web selezionare Microsoft.IdentityManagement.MA.WebServices.dll.

  6. Nella pagina Connessione ivity compilare le caselle con i valori specificati nella tabella che segue l'immagine e selezionare Avanti.

    Screenshot che mostra la pagina Connessione ivity.

    Proprietà Descrizione
    Progetto di servizio Web Nome del modello SAP ECC, sapecc.
    Host Nome host dell'endpoint SOAP SAP ECC, ad esempio vhcalnplci.dummy.nodomain
    Porta Porta endpoint SOAP SAP ECC, ad esempio 8000

  7. Nella pagina Funzionalità compilare le caselle con i valori specificati nella tabella seguente e selezionare Avanti.

    Proprietà valore
    Distinguished Name Style (Stile di nome distinto) Generica
    Export Type (Tipo di esportazione) ObjectReplace
    Data Normalization (Normalizzazione dei dati) None
    Object Confirmation (Conferma degli oggetti) Normale
    Enable Import Selezionato
    Importazione differenziale abilitata Non selezionato
    Enable Export Selezionato
    Enable Full Export Non selezionato
    Abilitare l'esportazione della password nel primo passaggio Selezionato
    Nessun valore di riferimento nel primo passaggio di esportazione Non selezionato
    Enable Object Rename Non selezionato
    Delete-Add as Replace Non selezionato

Nota

Se il modello sapecc.wsconfig di connettore dei servizi Web viene aperto per la modifica nello strumento di configurazione del servizio Web, verrà visualizzato un errore.

  1. Nella pagina Globale compilare le caselle con i valori specificati nella tabella che segue l'immagine e selezionare Avanti.

    Proprietà valore
    Clientcredentialtype Di base
    Nome utente Nome utente di un account con diritti per effettuare chiamate ai BAPI usati nel modello SAP ECC.
    Password Password del nome utente specificato.
    Test connessione Deselezionato, se non è stato implementato alcun flusso di lavoro test Connessione ion nel modello

  2. Nella pagina Partizioni selezionare Avanti.

  3. Nella pagina Esegui profili mantenere selezionata la casella di controllo Esporta . Selezionare la casella di controllo Importazione completa e selezionare Avanti. Il profilo di esecuzione di esportazione verrà usato quando l'host ecma Connessione or deve inviare modifiche da Microsoft Entra ID a SAP ECC, per inserire, aggiornare ed eliminare record. Il profilo di esecuzione importazione completa verrà usato all'avvio del servizio host ECMA Connessione or per leggere il contenuto corrente di SAP ECC.

    Proprietà valore
    Esportazione Profilo di esecuzione che esporta i dati nell'istanza di SAP ECC. Questo profilo di esecuzione è obbligatorio.
    Importazione completa Profilo di esecuzione che importerà tutti i dati dall'istanza di SAP ECC specificata in precedenza.
    Importazione delta Profilo di esecuzione che importerà solo le modifiche dall'istanza di SAP ECC dall'ultima importazione completa o differenziale.

  4. Nella pagina Tipi di oggetto compilare le caselle e selezionare Avanti. Usare la tabella che segue l'immagine per indicazioni sulle singole caselle.

    • Ancoraggio : i valori di questo attributo devono essere univoci per ogni oggetto nel sistema di destinazione. Il servizio di provisioning Di Microsoft Entra eseguirà una query sull'host del connettore ECMA usando questo attributo dopo il ciclo iniziale. Questo valore viene definito nel modello del connettore di servizi Web.

    • DN : l'opzione Generata automaticamente deve essere selezionata nella maggior parte dei casi. Se non è selezionata, verificare che l'attributo DN sia mappato a un attributo in Microsoft Entra ID che archivia il DN in questo formato: CN = anchorValue, Object = objectType. Per altre informazioni sugli ancoraggi e sul DN, vedere Informazioni sugli attributi di ancoraggio e sui nomi distinti.

      Proprietà valore
      Oggetti di destinazione User
      Ancora userName
      DN userName
      Generato automaticamente Selezionato

  5. L'host del connettore ECMA individua gli attributi supportati da SAP ECC. È quindi possibile scegliere quale degli attributi individuati si vuole esporre all'ID Microsoft Entra. Questi attributi possono quindi essere configurati nell'interfaccia di amministrazione di Microsoft Entra per il provisioning. Nella pagina Seleziona attributi aggiungere tutti gli attributi nell'elenco a discesa uno alla volta. L'elenco a discesa Attributo mostra qualsiasi attributo individuato in SAP ECC e non è stato scelto nella pagina Seleziona attributi precedente. Dopo aver aggiunto tutti gli attributi pertinenti, selezionare Avanti.

    Screenshot che mostra la pagina Seleziona attributi.

  6. Nella pagina Deprovisioning, in Disabilita flusso, selezionare Elimina. Gli attributi selezionati nella pagina precedente non saranno disponibili per la selezione nella pagina Deprovisioning. Selezionare Fine.

Nota

Se si usa il valore dell'attributo Set tenere presente che sono consentiti solo valori booleani.

Nella pagina Deprovisioning, in Disabilita flusso selezionare Nessuno. Lo stato dell'account utente verrà controllato con la proprietà expirationTime . In Elimina flusso selezionare Nessuno se non si desidera eliminare gli utenti SAP o Eliminare se si esegue questa operazione. Selezionare Fine.

7. Verificare che il servizio ECMA2Host sia in esecuzione

  1. Nel server che esegue Microsoft Entra ECMA Connessione or Host selezionare Avvia.

  2. Immettere run e immettere services.msc nella casella.

  3. Nell'elenco Servizi assicurarsi che Microsoft ECMA2Host sia presente e in esecuzione. In caso contrario, selezionare Avvia.

    Screenshot che mostra che il servizio è in esecuzione.

  4. Se il servizio è stato avviato di recente e sono presenti molti oggetti utente in SAP ECC, attendere alcuni minuti prima che il connettore stabilisca una connessione con SAP ECC.

8. Configurare la connessione dell'applicazione nell'interfaccia di amministrazione di Microsoft Entra

  1. Tornare alla finestra del Web browser in cui si stava configurando il provisioning dell'applicazione.

    Nota

    Se si è verificato il timeout della finestra, sarà necessario selezionare nuovamente l'agente.

    1. Accedere all'interfaccia di amministrazione di Microsoft Entra.
    2. Passare ad Applicazioni aziendali e all'applicazione dell'app ECMA locale.
    3. Selezionare Provisioning.
    4. Selezionare Inizia e quindi impostare la modalità su Automatico, nella sezione Connessione ivity locale selezionare l'agente distribuito e selezionare Assegna agenti. In caso contrario, passare a Modifica provisioning.

  2. Nella sezione Amministrazione credenziali immettere l'URL seguente. Sostituire la {connectorName} parte con il nome del connettore nell'host del connettore ECMA, ad esempio SAPECC7. Il nome del connettore fa distinzione tra maiuscole e minuscole e deve corrispondere a quello configurato nella procedura guidata. È anche possibile sostituire localhost con il nome host del computer.

    Proprietà valore
    Tenant URL https://localhost:8585/ecma2host_SAPECC7/scim

  3. Immettere il valore token segreto definito al momento della creazione del connettore.

    Nota

    Se l'agente è stato appena assegnato all'applicazione, attendere 10 minuti per il completamento della registrazione. Il test di connettività non funzionerà fino al completamento della registrazione. Forzare il completamento della registrazione dell'agente riavviando l'agente di provisioning nel server può velocizzare il processo di registrazione. Passare al server, cercare i servizi nella barra di ricerca di Windows, identificare il servizio Microsoft Entra Connessione Provisioning Agent, fare clic con il pulsante destro del mouse sul servizio e riavviare.

  4. Selezionare Test Connessione ion e attendere un minuto.

  5. Dopo che il test di connessione ha esito positivo e indica che le credenziali fornite sono autorizzate ad abilitare il provisioning, selezionare Salva.

    Screenshot che mostra il test di un agente.

9. Configurare i mapping degli attributi

Ora si eseguirà il mapping degli attributi tra la rappresentazione dell'utente in Microsoft Entra ID e la rappresentazione dell'utente in SAP ECC.

Si userà l'interfaccia di amministrazione di Microsoft Entra per configurare il mapping tra gli attributi dell'utente di Microsoft Entra e gli attributi selezionati in precedenza nella configurazione guidata dell'host ECMA.

  1. Assicurarsi che lo schema di Microsoft Entra includa gli attributi richiesti da SAP ECC. Se richiede agli utenti di avere un attributo e tale attributo non fa già parte dello schema di Microsoft Entra per un utente, sarà necessario usare la funzionalità di estensione della directory per aggiungere tale attributo come estensione.

  2. Nell'interfaccia di amministrazione di Microsoft Entra, in Applicazioni aziendali selezionare l'applicazione dell'app ECMA locale e quindi la pagina Provisioning .

  3. Selezionare Modifica provisioning e attendere 10 secondi.

  4. Espandere Mapping e selezionare Provisioning utenti di Microsoft Entra. Se questa è la prima volta che sono stati configurati i mapping degli attributi per questa applicazione, per un segnaposto sarà presente un solo mapping.

    Screenshot che mostra il provisioning di un utente.

  5. Per verificare che lo schema di SAP ECC sia disponibile in Microsoft Entra ID, selezionare la casella di controllo Mostra opzioni avanzate e selezionare Modifica elenco attributi per ScimOnPremises. Assicurarsi che tutti gli attributi selezionati nella configurazione guidata siano elencati. In caso contrario, attendere alcuni minuti per l'aggiornamento dello schema e quindi ricaricare la pagina. Dopo aver visualizzato gli attributi elencati, annullare da questa pagina per tornare all'elenco dei mapping.

  6. Fare clic sul mapping PLACEHOLDER userPrincipalName . Questo mapping viene aggiunto per impostazione predefinita quando si configura per la prima volta il provisioning locale.

Screenshot del segnaposto.

Modificare il valore in modo che corrisponda al seguente:

Tipo di mapping Attributo di origine Attributo di destinazione
Diretto userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

  1. A questo punto selezionare Aggiungi nuovo mapping e ripetere il passaggio successivo per ogni mapping.

  2. Specificare gli attributi di origine e di destinazione per ognuno dei mapping nella tabella seguente.

    Attributo Microsoft Entra Attributo ScimOnPremises Precedenza corrispondente Applica questo mapping
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Solo durante la creazione di oggetti
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Solo durante la creazione di oggetti
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Sempre
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Sempre
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Sempre
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Sempre
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Sempre
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Sempre
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Sempre
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Sempre
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Sempre

  3. Dopo aver aggiunto tutti i mapping, selezionare Salva.

10. Assegnare utenti all'applicazione

Ora che si dispone di Microsoft Entra ECMA Connessione or Host che comunica con Microsoft Entra ID e il mapping degli attributi configurato, è possibile passare alla configurazione di chi è nell'ambito del provisioning.

Importante

Se è stato eseguito l'accesso usando un ruolo di Amministrazione istrator di identità ibrida, è necessario disconnettersi e accedere con un account con almeno il ruolo Application Amministrazione istrator per questa sezione. Il ruolo Hybrid Identity Amministrazione istrator non dispone delle autorizzazioni per assegnare utenti alle applicazioni.

Se esistono utenti esistenti in SAP ECC, è necessario creare assegnazioni di ruolo dell'applicazione per tali utenti esistenti. Per altre informazioni su come creare assegnazioni di ruolo dell'applicazione in blocco, vedere Governance degli utenti esistenti di un'applicazione in Microsoft Entra ID.

In caso contrario, se non sono presenti utenti correnti dell'applicazione, selezionare un utente di test da Microsoft Entra che verrà sottoposto a provisioning nell'applicazione.

  1. Assicurarsi che l'utente selezionato abbia tutte le proprietà di cui verrà eseguito il mapping agli attributi necessari di SAP ECC.

  2. Nell'interfaccia di amministrazione di Microsoft Entra selezionare Applicazioni aziendali.

  3. Selezionare l'applicazione dell'app ECMA locale.

  4. A sinistra, in Gestisci selezionare Utenti e gruppi.

  5. Selezionare Aggiungi utente/gruppo.

    Screenshot che mostra l'aggiunta di un utente.

  6. In Utenti selezionare Nessuno selezionato.

    Screenshot che mostra Nessuno selezionato.

  7. Selezionare gli utenti a destra e selezionare il pulsante Seleziona .

    Screenshot che mostra Selezionare gli utenti.

  8. Selezionare Ora Assegna.

    Screenshot che mostra Assegna utenti.

11. Testare il provisioning

Ora che gli attributi sono mappati e gli utenti sono assegnati, è possibile testare il provisioning su richiesta con uno degli utenti.

  1. Nell'interfaccia di amministrazione di Microsoft Entra selezionare Applicazioni aziendali.

  2. Selezionare l'applicazione dell'app ECMA locale.

  3. A sinistra selezionare Provisioning.

  4. Selezionare Provision on demand (Provision on demand).

  5. Cercare uno degli utenti di test e selezionare Provision (Provision).

    Screenshot che mostra il provisioning dei test.

  6. Dopo alcuni secondi, viene visualizzato il messaggio Utente creato correttamente nel sistema di destinazione, con un elenco degli attributi utente.

12. Avviare il provisioning degli utenti

  1. Al termine del provisioning su richiesta, tornare alla pagina di configurazione del provisioning. Assicurarsi che l'ambito sia impostato solo su utenti e gruppi assegnati, attivare il provisioning e selezionare Salva.

    Screenshot che mostra start provisioning.

  2. Attendere fino a 40 minuti per l'avvio del servizio di provisioning. Al termine del processo di provisioning, come descritto nella sezione successiva, se si esegue il test, è possibile modificare lo stato del provisioning su Disattivato e selezionare Salva. Questa azione impedisce l'esecuzione del servizio di provisioning in futuro.

Risoluzione degli errori di provisioning

Se viene visualizzato un errore, selezionare Visualizza log di provisioning. Cercare nel log una riga in cui lo stato è Errore e selezionare in tale riga.

Per altre informazioni, passare alla scheda Risoluzione dei problemi e Consigli.

Passaggi successivi