Configurazione dell'ID Microsoft Entra per il provisioning degli utenti in SAP ECC con NetWeaver AS ABAP 7.0 o versione successiva
La documentazione seguente fornisce informazioni sulla configurazione e sull'esercitazione che illustrano come effettuare il provisioning degli utenti da Microsoft Entra ID in SAP ERP Central Component (SAP ECC, in precedenza SAP R/3) con NetWeaver 7.0 o versione successiva. Se si usano altre versioni di SAP R/3, è comunque possibile usare le guide fornite nei Connessione ors per il download di Microsoft Identity Manager 2016 come riferimento per creare un modello personalizzato per il provisioning. Se si usa SAP S/4HANA o altre applicazioni SaaS SAP, seguire l'esercitazione per configurare SAP Cloud Identity Services per il provisioning utenti automatico. Per altre informazioni sulle integrazioni SAP, vedere Gestire l'accesso alle applicazioni SAP.
Il video seguente offre una panoramica del provisioning locale.
Capacità supportate
- Creare utenti in SAP ECC.
- Rimuovere gli utenti in SAP ECC quando non hanno più bisogno dell'accesso.
- Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e SAP ECC.
Fuori ambito
- Altri tipi di oggetto, inclusi i gruppi di attività locali, i ruoli e i profili, non sono supportati. Usare Microsoft Identity Manager se questi oggetti sono necessari.
- Le operazioni password non sono supportate. Usare Microsoft Identity Manager se è necessaria la gestione delle password.
Prerequisiti per il provisioning in SAP ECC con NetWeaver AS ABAP 7.51
On-premises prerequisites (Prerequisiti locali)
Il computer che esegue l'agente di provisioning deve avere:
- Almeno 3 GB di RAM.
- Windows Server 2016 o una versione successiva di Windows Server.
- Connessione ivity a un sistema con SAP ECC NetWeaver AS ABAP 7.51
- Connettività in uscita a login.microsoftonline.com, altri servizi online Microsoft e domini di Azure . Un esempio è una macchina virtuale Windows Server 2016 ospitata in Azure IaaS o dietro un proxy.
- .NET Framework 4.7.2
Requisiti cloud
Tenant di Microsoft Entra con ID Microsoft Entra P1 o Premium P2 (o EMS E3 o E5).
L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
Ruolo Amministrazione istrator per la configurazione dell'agente di provisioning e dei ruoli application Amministrazione istrator o Cloud Application Amministrazione istrator per la configurazione del provisioning nell'interfaccia di amministrazione di Microsoft Entra.
Gli utenti di Microsoft Entra di cui eseguire il provisioning in SAP ECC devono essere già popolati con tutti gli attributi necessari per SAP ECC.
1. Installare e configurare Microsoft Entra Connessione Provisioning Agent
Se l'agente di provisioning è già stato scaricato e configurato per un'altra applicazione locale, continuare la lettura nella sezione successiva.
- Accedere all'interfaccia di amministrazione di Microsoft Entra.
- Passare ad Applicazioni aziendali e selezionare Nuova applicazione.
- Cercare l'applicazione dell'app ECMA locale, assegnare un nome all'app e selezionare Crea per aggiungerla al tenant.
- Dal menu passare alla pagina Provisioning dell'applicazione.
- Seleziona Inizia.
- Nella pagina Provisioning impostare la modalità su Automatico.
In Connessione ivity locale selezionare Scarica e installa e selezionare Accetta termini e download.
Lasciare il portale ed eseguire il programma di installazione dell'agente di provisioning, accettare le condizioni per il servizio e selezionare Installa.
Attendere la configurazione guidata dell'agente di provisioning di Microsoft Entra e quindi selezionare Avanti.
Nel passaggio Seleziona estensione selezionare Provisioning di applicazioni locali e quindi selezionare Avanti.
L'agente di provisioning userà il Web browser del sistema operativo per visualizzare una finestra popup per l'autenticazione con Microsoft Entra ID e potenzialmente anche il provider di identità dell'organizzazione. Se si usa Internet Explorer come browser in Windows Server, potrebbe essere necessario aggiungere siti Web Microsoft all'elenco di siti attendibili del browser per consentire l'esecuzione corretta di JavaScript.
Specificare le credenziali per un amministratore di Microsoft Entra quando viene richiesto di autorizzare. L'utente deve avere almeno il ruolo hybrid identity Amministrazione istrator.
Selezionare Conferma per confermare l'impostazione. Al termine dell'installazione, è possibile selezionare Esci e chiudere anche il programma di installazione del pacchetto dell'agente di provisioning.
2. Esporre le API SAP necessarie
Esporre le API necessarie in SAP ECC NetWeaver 7.51 per creare, aggiornare ed eliminare utenti. Il file Connessione ors per Microsoft Identity Manager 2016 illustra Deploying SAP NetWeaver AS ABAP 7.pdf
come esporre le API necessarie.
3. Creare un modello di connettore di servizi Web
Se non si esegue la migrazione da un Connessione or di servizi Web esistente in MIM, sarà necessario creare un modello di connettore di servizi Web per l'host ECMA. Se si dispone già di un modello di connettore di servizi Web da MIM, continuare con la sezione successiva.
È possibile usare la guida Authoring SAP ECC 7 Template for ECMA2Host.pdf
Connessione ors per Microsoft Identity Manager 2016 come riferimento per compilare il modello. Gli Connessione ors per Microsoft Identity Manager 2016 forniscono anche un modello sapecc.wsconfig
come riferimento. Prima di eseguire la distribuzione nell'ambiente di produzione, è necessario personalizzare il modello per soddisfare le esigenze dell'ambiente specifico. Assicurarsi che ServiceName, EndpointName e OperationName siano corretti.
4. Configurare l'app ECMA locale
Nella sezione Connessione ivity locale del portale selezionare l'agente distribuito e selezionare Assegna agenti.
Mantenere aperta questa finestra del browser, mentre si completa il passaggio successivo della configurazione usando la configurazione guidata.
5. Configurare il certificato host Connessione or di Microsoft Entra ECMA
In Windows Server in cui è installato l'agente di provisioning fare clic con il pulsante destro del mouse sulla Configurazione guidata Microsoft ECMA2Host dal menu Start ed eseguire come amministratore. L'esecuzione come amministratore di Windows è necessaria per la procedura guidata per creare i registri eventi di Windows necessari.
Dopo l'avvio della configurazione host di ECMA Connessione or, se è la prima volta che si esegue la procedura guidata, verrà chiesto di creare un certificato. Lasciare la porta predefinita 8585 e selezionare Genera certificato per generare un certificato. Il certificato generato automaticamente verrà autofirmato come parte della radice attendibile. Il certificato SAN corrisponde al nome host.
Seleziona Salva.
6. Configurare il connettore di servizi Web generici
In questa sezione si creerà la configurazione del connettore per SAP ECC.
La configurazione della connessione a SAP ECC viene eseguita tramite una procedura guidata. A seconda delle opzioni selezionate, alcune schermate della procedura guidata potrebbero non essere disponibili e le informazioni potrebbero essere leggermente diverse. Usare le informazioni seguenti per guidare l'utente nella configurazione.
6.1 Connessione l'agente di provisioning in SAP ECC
Per connettere l'agente di provisioning Di Microsoft Entra con SAP ECC, seguire questa procedura:
Copiare il file
sapecc.wsconfig
del modello del connettore di servizi Web nellaC:\Program Files\Microsoft ECMA2Host\Service\ECMA
cartella .Generare un token segreto che verrà usato per l'autenticazione dell'ID Microsoft Entra nel connettore. Deve contenere almeno 12 caratteri e univoci per ogni applicazione.
Se non è già stato fatto, avviare la Configurazione guidata Microsoft ECMA2Host da Windows menu Start.
Selezionare Nuovo connettore.
Nella pagina Proprietà compilare le caselle con i valori specificati nella tabella che segue l'immagine e selezionare Avanti.
Proprietà valore Nome Nome scelto per il connettore, che deve essere univoco in tutti i connettori nell'ambiente. Ad esempio, se si dispone di una sola istanza SAP, SAPECC7
.Timer asincrono automatico (minuti) 120 Token segreto Immettere il token segreto generato per questo connettore. La chiave deve contenere almeno 12 caratteri. DLL di estensione Per il connettore di servizi Web selezionare Microsoft.IdentityManagement.MA.WebServices.dll. Nella pagina Connessione ivity compilare le caselle con i valori specificati nella tabella che segue l'immagine e selezionare Avanti.
Proprietà Descrizione Progetto di servizio Web Nome del modello SAP ECC, sapecc
.Host Nome host dell'endpoint SOAP SAP ECC, ad esempio vhcalnplci.dummy.nodomain
Porta Porta endpoint SOAP SAP ECC, ad esempio 8000
Nella pagina Funzionalità compilare le caselle con i valori specificati nella tabella seguente e selezionare Avanti.
Proprietà valore Distinguished Name Style (Stile di nome distinto) Generica Export Type (Tipo di esportazione) ObjectReplace Data Normalization (Normalizzazione dei dati) None Object Confirmation (Conferma degli oggetti) Normale Enable Import Selezionato Importazione differenziale abilitata Non selezionato Enable Export Selezionato Enable Full Export Non selezionato Abilitare l'esportazione della password nel primo passaggio Selezionato Nessun valore di riferimento nel primo passaggio di esportazione Non selezionato Enable Object Rename Non selezionato Delete-Add as Replace Non selezionato
Nota
Se il modello sapecc.wsconfig
di connettore dei servizi Web viene aperto per la modifica nello strumento di configurazione del servizio Web, verrà visualizzato un errore.
Nella pagina Globale compilare le caselle con i valori specificati nella tabella che segue l'immagine e selezionare Avanti.
Proprietà valore Clientcredentialtype Di base Nome utente Nome utente di un account con diritti per effettuare chiamate ai BAPI usati nel modello SAP ECC. Password Password del nome utente specificato. Test connessione Deselezionato, se non è stato implementato alcun flusso di lavoro test Connessione ion nel modello Nella pagina Partizioni selezionare Avanti.
Nella pagina Esegui profili mantenere selezionata la casella di controllo Esporta . Selezionare la casella di controllo Importazione completa e selezionare Avanti. Il profilo di esecuzione di esportazione verrà usato quando l'host ecma Connessione or deve inviare modifiche da Microsoft Entra ID a SAP ECC, per inserire, aggiornare ed eliminare record. Il profilo di esecuzione importazione completa verrà usato all'avvio del servizio host ECMA Connessione or per leggere il contenuto corrente di SAP ECC.
Proprietà valore Esportazione Profilo di esecuzione che esporta i dati nell'istanza di SAP ECC. Questo profilo di esecuzione è obbligatorio. Importazione completa Profilo di esecuzione che importerà tutti i dati dall'istanza di SAP ECC specificata in precedenza. Importazione delta Profilo di esecuzione che importerà solo le modifiche dall'istanza di SAP ECC dall'ultima importazione completa o differenziale. Nella pagina Tipi di oggetto compilare le caselle e selezionare Avanti. Usare la tabella che segue l'immagine per indicazioni sulle singole caselle.
Ancoraggio : i valori di questo attributo devono essere univoci per ogni oggetto nel sistema di destinazione. Il servizio di provisioning Di Microsoft Entra eseguirà una query sull'host del connettore ECMA usando questo attributo dopo il ciclo iniziale. Questo valore viene definito nel modello del connettore di servizi Web.
DN : l'opzione Generata automaticamente deve essere selezionata nella maggior parte dei casi. Se non è selezionata, verificare che l'attributo DN sia mappato a un attributo in Microsoft Entra ID che archivia il DN in questo formato:
CN = anchorValue, Object = objectType
. Per altre informazioni sugli ancoraggi e sul DN, vedere Informazioni sugli attributi di ancoraggio e sui nomi distinti.Proprietà valore Oggetti di destinazione User
Ancora userName
DN userName
Generato automaticamente Selezionato
L'host del connettore ECMA individua gli attributi supportati da SAP ECC. È quindi possibile scegliere quale degli attributi individuati si vuole esporre all'ID Microsoft Entra. Questi attributi possono quindi essere configurati nell'interfaccia di amministrazione di Microsoft Entra per il provisioning. Nella pagina Seleziona attributi aggiungere tutti gli attributi nell'elenco a discesa uno alla volta. L'elenco a discesa Attributo mostra qualsiasi attributo individuato in SAP ECC e non è stato scelto nella pagina Seleziona attributi precedente. Dopo aver aggiunto tutti gli attributi pertinenti, selezionare Avanti.
Nella pagina Deprovisioning, in Disabilita flusso, selezionare Elimina. Gli attributi selezionati nella pagina precedente non saranno disponibili per la selezione nella pagina Deprovisioning. Selezionare Fine.
Nota
Se si usa il valore dell'attributo Set tenere presente che sono consentiti solo valori booleani.
Nella pagina Deprovisioning, in Disabilita flusso selezionare Nessuno. Lo stato dell'account utente verrà controllato con la proprietà expirationTime . In Elimina flusso selezionare Nessuno se non si desidera eliminare gli utenti SAP o Eliminare se si esegue questa operazione. Selezionare Fine.
7. Verificare che il servizio ECMA2Host sia in esecuzione
Nel server che esegue Microsoft Entra ECMA Connessione or Host selezionare Avvia.
Immettere run e immettere services.msc nella casella.
Nell'elenco Servizi assicurarsi che Microsoft ECMA2Host sia presente e in esecuzione. In caso contrario, selezionare Avvia.
Se il servizio è stato avviato di recente e sono presenti molti oggetti utente in SAP ECC, attendere alcuni minuti prima che il connettore stabilisca una connessione con SAP ECC.
8. Configurare la connessione dell'applicazione nell'interfaccia di amministrazione di Microsoft Entra
Tornare alla finestra del Web browser in cui si stava configurando il provisioning dell'applicazione.
Nota
Se si è verificato il timeout della finestra, sarà necessario selezionare nuovamente l'agente.
- Accedere all'interfaccia di amministrazione di Microsoft Entra.
- Passare ad Applicazioni aziendali e all'applicazione dell'app ECMA locale.
- Selezionare Provisioning.
- Selezionare Inizia e quindi impostare la modalità su Automatico, nella sezione Connessione ivity locale selezionare l'agente distribuito e selezionare Assegna agenti. In caso contrario, passare a Modifica provisioning.
Nella sezione Amministrazione credenziali immettere l'URL seguente. Sostituire la
{connectorName}
parte con il nome del connettore nell'host del connettore ECMA, ad esempio SAPECC7. Il nome del connettore fa distinzione tra maiuscole e minuscole e deve corrispondere a quello configurato nella procedura guidata. È anche possibile sostituirelocalhost
con il nome host del computer.Proprietà valore Tenant URL https://localhost:8585/ecma2host_SAPECC7/scim
Immettere il valore token segreto definito al momento della creazione del connettore.
Nota
Se l'agente è stato appena assegnato all'applicazione, attendere 10 minuti per il completamento della registrazione. Il test di connettività non funzionerà fino al completamento della registrazione. Forzare il completamento della registrazione dell'agente riavviando l'agente di provisioning nel server può velocizzare il processo di registrazione. Passare al server, cercare i servizi nella barra di ricerca di Windows, identificare il servizio Microsoft Entra Connessione Provisioning Agent, fare clic con il pulsante destro del mouse sul servizio e riavviare.
Selezionare Test Connessione ion e attendere un minuto.
Dopo che il test di connessione ha esito positivo e indica che le credenziali fornite sono autorizzate ad abilitare il provisioning, selezionare Salva.
9. Configurare i mapping degli attributi
Ora si eseguirà il mapping degli attributi tra la rappresentazione dell'utente in Microsoft Entra ID e la rappresentazione dell'utente in SAP ECC.
Si userà l'interfaccia di amministrazione di Microsoft Entra per configurare il mapping tra gli attributi dell'utente di Microsoft Entra e gli attributi selezionati in precedenza nella configurazione guidata dell'host ECMA.
Assicurarsi che lo schema di Microsoft Entra includa gli attributi richiesti da SAP ECC. Se richiede agli utenti di avere un attributo e tale attributo non fa già parte dello schema di Microsoft Entra per un utente, sarà necessario usare la funzionalità di estensione della directory per aggiungere tale attributo come estensione.
Nell'interfaccia di amministrazione di Microsoft Entra, in Applicazioni aziendali selezionare l'applicazione dell'app ECMA locale e quindi la pagina Provisioning .
Selezionare Modifica provisioning e attendere 10 secondi.
Espandere Mapping e selezionare Provisioning utenti di Microsoft Entra. Se questa è la prima volta che sono stati configurati i mapping degli attributi per questa applicazione, per un segnaposto sarà presente un solo mapping.
Per verificare che lo schema di SAP ECC sia disponibile in Microsoft Entra ID, selezionare la casella di controllo Mostra opzioni avanzate e selezionare Modifica elenco attributi per ScimOnPremises. Assicurarsi che tutti gli attributi selezionati nella configurazione guidata siano elencati. In caso contrario, attendere alcuni minuti per l'aggiornamento dello schema e quindi ricaricare la pagina. Dopo aver visualizzato gli attributi elencati, annullare da questa pagina per tornare all'elenco dei mapping.
Fare clic sul mapping PLACEHOLDER userPrincipalName . Questo mapping viene aggiunto per impostazione predefinita quando si configura per la prima volta il provisioning locale.
Modificare il valore in modo che corrisponda al seguente:
Tipo di mapping | Attributo di origine | Attributo di destinazione |
---|---|---|
Diretto | userPrincipalName | urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName |
A questo punto selezionare Aggiungi nuovo mapping e ripetere il passaggio successivo per ogni mapping.
Specificare gli attributi di origine e di destinazione per ognuno dei mapping nella tabella seguente.
Attributo Microsoft Entra Attributo ScimOnPremises Precedenza corrispondente Applica questo mapping ToUpper(Word([userPrincipalName], 1, "@"), )
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Solo durante la creazione di oggetti Redact("Pass@w0rd1")
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Solo durante la creazione di oggetti city
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Sempre companyName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Sempre department
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Sempre mail
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Sempre Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01")
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Sempre givenName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Sempre surname
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Sempre telephoneNumber
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Sempre jobTitle
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Sempre Dopo aver aggiunto tutti i mapping, selezionare Salva.
10. Assegnare utenti all'applicazione
Ora che si dispone di Microsoft Entra ECMA Connessione or Host che comunica con Microsoft Entra ID e il mapping degli attributi configurato, è possibile passare alla configurazione di chi è nell'ambito del provisioning.
Importante
Se è stato eseguito l'accesso usando un ruolo di Amministrazione istrator di identità ibrida, è necessario disconnettersi e accedere con un account con almeno il ruolo Application Amministrazione istrator per questa sezione. Il ruolo Hybrid Identity Amministrazione istrator non dispone delle autorizzazioni per assegnare utenti alle applicazioni.
Se esistono utenti esistenti in SAP ECC, è necessario creare assegnazioni di ruolo dell'applicazione per tali utenti esistenti. Per altre informazioni su come creare assegnazioni di ruolo dell'applicazione in blocco, vedere Governance degli utenti esistenti di un'applicazione in Microsoft Entra ID.
In caso contrario, se non sono presenti utenti correnti dell'applicazione, selezionare un utente di test da Microsoft Entra che verrà sottoposto a provisioning nell'applicazione.
Assicurarsi che l'utente selezionato abbia tutte le proprietà di cui verrà eseguito il mapping agli attributi necessari di SAP ECC.
Nell'interfaccia di amministrazione di Microsoft Entra selezionare Applicazioni aziendali.
Selezionare l'applicazione dell'app ECMA locale.
A sinistra, in Gestisci selezionare Utenti e gruppi.
Selezionare Aggiungi utente/gruppo.
In Utenti selezionare Nessuno selezionato.
Selezionare gli utenti a destra e selezionare il pulsante Seleziona .
Selezionare Ora Assegna.
11. Testare il provisioning
Ora che gli attributi sono mappati e gli utenti sono assegnati, è possibile testare il provisioning su richiesta con uno degli utenti.
Nell'interfaccia di amministrazione di Microsoft Entra selezionare Applicazioni aziendali.
Selezionare l'applicazione dell'app ECMA locale.
A sinistra selezionare Provisioning.
Selezionare Provision on demand (Provision on demand).
Cercare uno degli utenti di test e selezionare Provision (Provision).
Dopo alcuni secondi, viene visualizzato il messaggio Utente creato correttamente nel sistema di destinazione, con un elenco degli attributi utente.
12. Avviare il provisioning degli utenti
Al termine del provisioning su richiesta, tornare alla pagina di configurazione del provisioning. Assicurarsi che l'ambito sia impostato solo su utenti e gruppi assegnati, attivare il provisioning e selezionare Salva.
Attendere fino a 40 minuti per l'avvio del servizio di provisioning. Al termine del processo di provisioning, come descritto nella sezione successiva, se si esegue il test, è possibile modificare lo stato del provisioning su Disattivato e selezionare Salva. Questa azione impedisce l'esecuzione del servizio di provisioning in futuro.
Risoluzione degli errori di provisioning
Se viene visualizzato un errore, selezionare Visualizza log di provisioning. Cercare nel log una riga in cui lo stato è Errore e selezionare in tale riga.
Per altre informazioni, passare alla scheda Risoluzione dei problemi e Consigli.