Samouczek: konfigurowanie usług SAP Cloud Identity Services na potrzeby automatycznej aprowizacji użytkowników

W tym samouczku przedstawiono kroki konfigurowania aprowizacji z usługi Microsoft Entra ID do usług SAP Cloud Identity Services. Celem jest skonfigurowanie identyfikatora Entra firmy Microsoft w celu automatycznego aprowizowania i anulowania aprowizacji użytkowników w usługach SAP Cloud Identity Services, dzięki czemu ci użytkownicy mogą uwierzytelniać się w usługach SAP Cloud Identity Services i mieć dostęp do innych obciążeń SAP. Usługa SAP Cloud Identity Services obsługuje aprowizowanie z lokalnego katalogu tożsamości do innych aplikacji SAP jako systemów docelowych.

Uwaga

W tym samouczku opisano łącznik wbudowany w usługę aprowizacji użytkowników firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft. Usługa SAP Cloud Identity Services ma również własny oddzielny łącznik do odczytywania użytkowników i grup z identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz SAP Cloud Identity Services — Identity Provisioning — Microsoft Entra ID jako system źródłowy.

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:

• Dzierżawa Microsoft Entra
• Dzierżawa usług SAP Cloud Identity Services
• Konto użytkownika w usługach SAP Cloud Identity Services z uprawnieniami Administracja.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w środowisku chmury publicznej.

Jeśli konfigurujesz aprowizację w usługach SAP Cloud Identity Services w środowisku produkcyjnym, w którym będziesz zarządzać dostępem do obciążeń SAP przy użyciu Zarządzanie tożsamością Microsoft Entra, przed skonfigurowaniem identyfikatora Entra firmy Microsoft pod kątem ładu tożsamości przed kontynuowaniem zapoznaj się z wymaganiami wstępnymi.

Konfigurowanie usług SAP Cloud Identity Services na potrzeby aprowizacji

1. Zaloguj się do konsoli https://<tenantID>.accounts.ondemand.com/admin Administracja usług SAP Cloud Identity Services lub https://<tenantID>.trial-accounts.ondemand.com/admin wersji próbnej. Przejdź do pozycji Użytkownicy i autoryzacje Administracja istratory>.

   

2. Naciśnij przycisk +Dodaj na panelu po lewej stronie, aby dodać nowego administratora do listy. Wybierz pozycję Dodaj system i wprowadź nazwę systemu.

   Uwaga

   Tożsamość administratora w usługach SAP Cloud Identity Services musi być typu System. Podczas aprowizacji użytkownik administratora nie będzie mógł uwierzytelniać się w interfejsie API SCIM SAP. Usługa SAP Cloud Identity Services nie zezwala na zmianę nazwy systemu po jego utworzeniu.

3. W obszarze Konfigurowanie autoryzacji włącz przycisk przełączania względem pozycji Zarządzaj użytkownikami. Następnie kliknij przycisk Zapisz , aby utworzyć system.

   

4. Po utworzeniu systemu administratora dodaj nowy wpis tajny do tego systemu.

5. Skopiuj identyfikator klienta i klucz tajny klienta generowany przez oprogramowanie SAP. Te wartości zostaną wprowadzone odpowiednio w polach Nazwa użytkownika Administracja i hasło Administracja. Odbywa się to na karcie Aprowizacja aplikacji SAP Cloud Identity Services, którą skonfigurujesz w następnej sekcji.

6. Usługi SAP Cloud Identity Services mogą mieć mapowania na co najmniej jedną aplikację SAP jako systemy docelowe. Sprawdź, czy istnieją jakieś atrybuty dla użytkowników, których te aplikacje SAP wymagają aprowizacji za pośrednictwem usług SAP Cloud Identity Services. W tym samouczku założono, że usługi SAP Cloud Identity Services i podrzędne systemy docelowe wymagają dwóch atrybutów i userNameemails[type eq "work"].value. Jeśli systemy docelowe SAP wymagają innych atrybutów i nie są one częścią schematu użytkownika identyfikatora Entra firmy Microsoft, może być konieczne skonfigurowanie atrybutów rozszerzenia synchronizacji.

Dodawanie usług SAP Cloud Identity Services z galerii

Przed skonfigurowaniem identyfikatora Entra firmy Microsoft w celu automatycznej aprowizacji użytkowników w usługach SAP Cloud Identity Services należy dodać usługi SAP Cloud Identity Services z galerii aplikacji Microsoft Entra do listy aplikacji dla przedsiębiorstw w dzierżawie. Ten krok można wykonać w centrum administracyjnym firmy Microsoft Entra lub za pośrednictwem interfejsu API programu Graph.

Jeśli usługi SAP Cloud Identity Services są już skonfigurowane do logowania jednokrotnego z firmy Microsoft Entra, a aplikacja jest już obecna na liście aplikacji firmy Microsoft Entra, przejdź do następnej sekcji.

Aby dodać usługi SAP Cloud Identity Services z galerii aplikacji Firmy Microsoft Entra przy użyciu centrum administracyjnego firmy Microsoft Entra, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
3. Aby dodać aplikację z galerii, wpisz SAP Cloud Identity Services w polu wyszukiwania.
4. Wybierz pozycję SAP Cloud Identity Services z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Konfigurowanie automatycznej aprowizacji użytkowników w usługach SAP Cloud Identity Services

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników w usługach SAP Cloud Identity Services na podstawie przypisań użytkowników do aplikacji w usłudze Microsoft Entra ID.

Aby skonfigurować automatyczną aprowizację użytkowników dla usług SAP Cloud Identity Services w usłudze Microsoft Entra ID:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>>

   

3. Na liście aplikacji wybierz aplikację SAP Cloud Identity Services.

   

4. Wybierz kartę Właściwości.

5. Sprawdź, czy opcja Przypisania jest wymagana? jest ustawiona na Wartość Tak. Jeśli jest ustawiona wartość Nie, wszyscy użytkownicy w katalogu, w tym tożsamości zewnętrzne, mogą uzyskiwać dostęp do aplikacji i nie możesz przeglądać dostępu do aplikacji.

6. Wybierz kartę Aprowizacja.

   

7. Ustaw Tryb aprowizacji na Automatyczny.

   

8. W sekcji Administracja Credentials (Poświadczenia) wprowadź wartość https://<tenantID>.accounts.ondemand.com/service/scim, lub https://<tenantid>.trial-accounts.ondemand.com/service/scim jeśli wersja próbna będzie zawierać identyfikator dzierżawy usług SAP Cloud Identity Services w adresie URL dzierżawy. Wprowadź wartości Identyfikator klienta i Klucz tajny klienta pobrane wcześniej w Administracja Nazwa użytkownika i hasło Administracja. Kliknij pozycję Test Połączenie ion, aby upewnić się, że identyfikator entra firmy Microsoft może nawiązać połączenie z usługami SAP Cloud Identity Services. Jeśli połączenie nie powiedzie się, upewnij się, że konto systemowe usług SAP Cloud Identity Services ma Administracja uprawnienia, wpis tajny jest nadal prawidłowy i spróbuj ponownie.

   

9. W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji, i zaznacz pole wyboru — Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

   

10. Kliknij przycisk Zapisz.

11. W sekcji Mapowania wybierz pozycję Aprowizuj użytkowników identyfikatora Entra firmy Microsoft.

    

12. Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do usług SAP Cloud Identity Services w sekcji Mapowanie atrybutów. Jeśli atrybuty w usługach SAP Cloud Identity Services nie są widoczne jako element docelowy do mapowania, wybierz pozycję Pokaż opcje zaawansowane i wybierz pozycję Edytuj listę atrybutów dla usługi SAP Cloud Platform Identity Authentication, aby edytować listę obsługiwanych atrybutów. Dodaj atrybuty dzierżawy usług SAP Cloud Identity Services.

13. Przejrzyj i zarejestruj atrybuty źródłowe i docelowe wybrane jako Pasujące właściwości, mapowania, które mają pierwszeństwo dopasowywania, ponieważ te atrybuty są używane do dopasowania kont użytkowników w usługach SAP Cloud Identity Services dla usługi aprowizacji firmy Microsoft w celu określenia, czy utworzyć nowego użytkownika, czy zaktualizować istniejącego użytkownika. Aby uzyskać więcej informacji na temat dopasowywania, zobacz dopasowywanie użytkowników w systemach źródłowych i docelowych. W kolejnym kroku upewnisz się, że wszyscy użytkownicy już w usługach SAP Cloud Identity Services mają wybrane atrybuty jako wypełnione właściwości dopasowywania , aby zapobiec tworzeniu zduplikowanych użytkowników.

14. Upewnij się, że istnieje mapowanie atrybutów dla IsSoftDeletedelementu lub funkcji zawierającej IsSoftDeletedelement , zamapowany na atrybut aplikacji. Gdy użytkownik nie jest przypisywany z aplikacji, usunięty nietrwale w identyfikatorze Microsoft Entra ID lub zablokowany przed logowaniem, usługa aprowizacji firmy Microsoft zaktualizuje atrybut zamapowany na isSoftDeleted. Jeśli atrybut nie zostanie zamapowany, użytkownicy, którzy później nie są przypisani z roli aplikacji, będą nadal istnieć w magazynie danych aplikacji.

15. Dodaj wszelkie dodatkowe mapowania wymagane przez usługi SAP Cloud Identity Services lub podrzędne docelowe systemy SAP.

16. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ	Obsługiwane do filtrowania	Wymagane przez usługę SAP Cloud Identity Services
    userName	String	✓	✓
    emails[type eq "work"].value	String		✓
    active	Wartość logiczna
    displayName	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager	Odwołanie
    addresses[type eq "work"].country	String
    addresses[type eq "work"].locality	String
    addresses[type eq "work"].postalCode	String
    addresses[type eq "work"].region	String
    addresses[type eq "work"].streetAddress	String
    name.givenName	String
    name.familyName	String
    name.honorificPrefix	String
    phoneNumbers[type eq "fax"].value	String
    phoneNumbers[type eq "mobile"].value	String
    phoneNumbers[type eq "work"].value	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	String
    locale	String
    timezone	String
    userType	String
    company	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute1	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute2	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute3	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute4	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute5	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute6	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute7	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute8	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute9	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute10	String
    sendMail	String
    mailVerified	String

17. Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.

18. Aby włączyć usługę aprowizacji firmy Microsoft dla usług SAP Cloud Identity Services, zmień stan aprowizacji na Wł. w sekcji Ustawienia.

    

19. Dla wartości Zakres w sekcji Ustawienia wybierz pozycję Synchronizuj tylko przypisanych użytkowników i grup.

    

20. Gdy wszystko będzie gotowe do aprowizacji, kliknij przycisk Zapisz.

    

Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników zdefiniowanych w sekcji Zakres w sekcji Ustawienia. Jeśli masz ustawiony zakres na Synchronizacja tylko przypisanych użytkowników i grup, a do aplikacji nie przypisano żadnych użytkowników lub grup , synchronizacja nie zostanie wykonana, dopóki użytkownicy nie zostaną przypisani do aplikacji.

Aprowizuj nowego użytkownika testowego z identyfikatora Entra firmy Microsoft do usług SAP Cloud Identity Services

Zaleca się przypisanie jednego nowego użytkownika testowego firmy Microsoft Entra do usług SAP Cloud Identity Services w celu przetestowania automatycznej konfiguracji aprowizacji użytkowników.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze i Administracja istrator użytkownika.
2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
3. Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownika.
4. Wpisz główną nazwę użytkownika i nazwę wyświetlaną nowego użytkownika testowego. Główna nazwa użytkownika musi być unikatowa, a nie taka sama jak bieżący lub poprzedni użytkownik firmy Microsoft Entra lub użytkownik sap Cloud Identity Services. Wybierz pozycję Przeglądanie + tworzenie i pozycję Utwórz.
5. Po utworzeniu użytkownika testowego przejdź do sekcji Identity>Applications Enterprise Applications>.
6. Wybierz aplikację SAP Cloud Identity Services.
7. Wybierz pozycję Użytkownicy i grupy , a następnie wybierz pozycję Dodaj użytkownika/grupę.
8. W obszarze Użytkownicy i grupy wybierz pozycję Brak zaznaczone, a w polu tekstowym wpisz główną nazwę użytkownika testowego.
9. Wybierz pozycję Wybierz, a następnie przypisz.
10. Wybierz pozycję Aprowizowanie, a następnie wybierz pozycję Aprowizowanie na żądanie.
11. W polu tekstowym Wybierz użytkownika lub grupę wpisz główną nazwę użytkownika testowego.
12. Kliknij pozycję Aprowizuj.
13. Poczekaj na zakończenie aprowizacji. Jeśli operacja powiedzie się, zostanie wyświetlony komunikat Modified attributes (successful).

Opcjonalnie możesz również sprawdzić, co usługa aprowizacji firmy Microsoft będzie aprowizować, gdy użytkownik wykracza poza zakres aplikacji.

1. Wybierz pozycję Użytkownicy i grupy.
2. Wybierz użytkownika testowego, a następnie wybierz pozycję Usuń.
3. Po usunięciu użytkownika testowego wybierz pozycję Aprowizowanie , a następnie wybierz pozycję Aprowizacja na żądanie.
4. W polu tekstowym Select a user or group (Wybierz użytkownika lub grupę ) wpisz nazwę główną użytkownika testowego.
5. Kliknij pozycję Aprowizuj.
6. Poczekaj na zakończenie aprowizacji.

Na koniec możesz usunąć użytkownika testowego z identyfikatora Entra firmy Microsoft.

1. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
2. Wybierz użytkownika testowego, wybierz pozycję Usuń, a następnie wybierz przycisk OK. Ta akcja nietrwała usuwa użytkownika testowego z identyfikatora Entra firmy Microsoft.

Następnie możesz usunąć użytkownika testowego z usług SAP Cloud Identity Services.

Upewnij się, że istniejący użytkownicy usług SAP Cloud Identity Services mają niezbędne pasujące atrybuty

Przed przypisanie użytkowników niebędących testami do aplikacji SAP Cloud Identity Services w usłudze Microsoft Entra ID należy upewnić się, że wszyscy użytkownicy już w usługach SAP Cloud Identity Services reprezentujących te same osoby co użytkownicy w usłudze Microsoft Entra ID mają atrybuty mapowania wypełnione w usługach SAP Cloud Identity Services.

W mapowaniu aprowizacji atrybuty wybrane jako Pasujące właściwości są używane do dopasowania kont użytkowników w usłudze Microsoft Entra ID z kontami użytkowników w usługach SAP Cloud Identity Services. Jeśli użytkownik w usłudze Microsoft Entra ID nie jest zgodny z usługami SAP Cloud Identity Services, usługa aprowizacji Firmy Microsoft podejmie próbę utworzenia nowego użytkownika. Jeśli w usłudze SAP Cloud Identity Services istnieje użytkownik w usłudze Microsoft Entra ID i dopasowanie, usługa aprowizacji firmy Microsoft zaktualizuje użytkownika usług SAP Cloud Identity Services. Z tego powodu należy upewnić się, że wszyscy użytkownicy już w usługach SAP Cloud Identity Services mają wybrane atrybuty jako wypełnione pasujące właściwości. W przeciwnym razie można utworzyć zduplikowanych użytkowników. Jeśli musisz zmienić pasujący atrybut w mapowaniu atrybutów aplikacji Microsoft Entra, zobacz dopasowywanie użytkowników w systemach źródłowych i docelowych.

1. Zaloguj się do konsoli https://<tenantID>.accounts.ondemand.com/admin Administracja usług SAP Cloud Identity Services lub https://<tenantID>.trial-accounts.ondemand.com/admin wersji próbnej.

2. Przejdź do pozycji Użytkownicy i autoryzacje > Eksportuj użytkowników.

3. Wybierz wszystkie atrybuty wymagane do dopasowania użytkowników firmy Microsoft Entra z tymi w oprogramowaniu SAP. Te atrybuty obejmują SCIM IDatrybuty , userName, emailsi inne, które mogą być używane w systemach SAP jako identyfikatory.

4. Wybierz pozycję Eksportuj i poczekaj na pobranie pliku CSV w przeglądarce.

5. Otwórz okno programu PowerShell.

6. Wpisz następujący skrypt w edytorze. W wierszu jeden, jeśli wybrano inny zgodny atrybut inny niż userName, zmień wartość sapScimUserNameField zmiennej na nazwę atrybutu SAP Cloud Identity Services. W wierszu dwa zmień argument na nazwę wyeksportowanego pliku CSV z Users-exported-from-sap.csv na nazwę pobranego pliku.

   $sapScimUserNameField = "userName"
   $existingSapUsers = import-csv -Path ".\Users-exported-from-sap.csv" -Encoding UTF8
   $count = 0
   $warn = 0
   foreach ($u in $existingSapUsers) {
    $id = $u.id
    if (($null -eq $id) -or ($id.length -eq 0)) {
        write-error "Exported CSV file does not contain the id attribute of SAP Cloud Identity Services users."
        throw "id attribute not available, re-export"
        return
    }
    $count++
    $userName = $u.$sapScimUserNameField
    if (($null -eq $userName) -or ($userName.length -eq 0)) {
        write-warning "SAP Cloud Identity Services user $id does not have a $sapScimUserNameField attribute populated"
        $warn++
    }
   }
   write-output "$warn of $count users in SAP Cloud Identity Services did not have the $sapScimUserNameFIeld attribute populated."
   

7. Uruchom skrypt. Po zakończeniu działania skryptu, jeśli brakuje co najmniej jednego użytkownika, którzy nie mieli wymaganego atrybutu dopasowania, wyszukaj tych użytkowników w wyeksportowanym pliku CSV lub w konsoli Administracja usług SAP Cloud Identity Services. Jeśli ci użytkownicy są również obecni w firmie Microsoft Entra, należy najpierw zaktualizować reprezentację tych użytkowników w usłudze SAP Cloud Identity Services, aby mieli wypełniony odpowiedni atrybut.

8. Po zaktualizowaniu atrybutów tych użytkowników w usługach SAP Cloud Identity Services ponownie wyeksportuj użytkowników z usług SAP Cloud Identity Services, zgodnie z opisem w krokach 2–5 i krokach programu PowerShell w tej sekcji, aby potwierdzić, że żaden użytkownik w usługach SAP Cloud Identity Services nie ma pasujących atrybutów, które uniemożliwiłyby aprowizowanie tych użytkowników.

Teraz, gdy masz listę wszystkich użytkowników uzyskanych z usług SAP Cloud Identity Services, dopasujesz tych użytkowników z magazynu danych aplikacji, z użytkownikami już w usłudze Microsoft Entra ID, aby określić, którzy użytkownicy powinni być w zakresie aprowizacji.

Pobieranie identyfikatorów użytkowników w identyfikatorze entra firmy Microsoft

W tej sekcji przedstawiono sposób interakcji z identyfikatorem Entra firmy Microsoft przy użyciu poleceń cmdlet programu PowerShell programu Microsoft Graph.

Przy pierwszym użyciu tych poleceń cmdlet w organizacji w tym scenariuszu musisz mieć rolę globalnego Administracja istratora, aby umożliwić programowi Microsoft Graph używanie programu PowerShell w dzierżawie. Kolejne interakcje mogą używać roli o niższych uprawnieniach, takich jak:

• Użytkownik Administracja istrator, jeśli przewidujesz tworzenie nowych użytkowników.
• Administracja istrator aplikacji lub Administracja istrator zarządzania tożsamościami, jeśli zarządzasz przypisaniami ról aplikacji.

1. Otwórz program PowerShell.

2. Jeśli nie masz już zainstalowanych modułów programu PowerShell programu Microsoft Graph, zainstaluj Microsoft.Graph.Users moduł i inne za pomocą tego polecenia:

   Install-Module Microsoft.Graph
   

   Jeśli masz już zainstalowane moduły, upewnij się, że używasz najnowszej wersji:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Połączenie do identyfikatora Entra firmy Microsoft:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Jeśli używasz tego polecenia po raz pierwszy, może być konieczne wyrażenie zgody na zezwolenie narzędziom wiersza polecenia programu Microsoft Graph na te uprawnienia.

5. Przeczytaj listę użytkowników uzyskanych z magazynu danych aplikacji do sesji programu PowerShell. Jeśli lista użytkowników znajdowała się w pliku CSV, możesz użyć polecenia cmdlet Import-Csv programu PowerShell i podać nazwę pliku z poprzedniej sekcji jako argument.

   Jeśli na przykład plik uzyskany z usług SAP Cloud Identity Services nosi nazwę Users-exported-from-sap.csv i znajduje się w bieżącym katalogu, wprowadź to polecenie.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   W innym przykładzie, jeśli używasz bazy danych lub katalogu, jeśli plik ma nazwę users.csv i znajduje się w bieżącym katalogu, wprowadź następujące polecenie:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Wybierz kolumnę pliku users.csv , który będzie zgodny z atrybutem użytkownika w usłudze Microsoft Entra ID.

   Jeśli używasz usług SAP Cloud Identity Services, domyślne mapowanie to atrybut SAP SCIM z atrybutem userNameuserPrincipalNameMicrosoft Entra ID :

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   W innym przykładzie, jeśli używasz bazy danych lub katalogu, być może użytkownicy w bazie danych, w której wartość w kolumnie o nazwie EMail jest taka sama jak w atrybucie userPrincipalNameMicrosoft Entra :

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Pobierz identyfikatory tych użytkowników w identyfikatorze Entra firmy Microsoft.

   Poniższy skrypt programu PowerShell używa $dbusersokreślonych wcześniej wartości , $db_match_column_namei $azuread_match_attr_name . Spowoduje to wysłanie zapytania do identyfikatora Entra firmy Microsoft w celu zlokalizowania użytkownika, który ma atrybut z pasującą wartością dla każdego rekordu w pliku źródłowym. Jeśli w pliku uzyskanym ze źródłowej usługi SAP Cloud Identity Services, bazy danych lub katalogu istnieje wiele użytkowników, ten skrypt może potrwać kilka minut. Jeśli nie masz atrybutu w identyfikatorze Entra firmy Microsoft, który ma wartość i musisz użyć contains lub innego wyrażenia filtru, musisz dostosować ten skrypt i to w kroku 11 poniżej, aby użyć innego wyrażenia filtru.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Wyświetl wyniki poprzednich zapytań. Sprawdź, czy którykolwiek z użytkowników w usługach SAP Cloud Identity Services, bazie danych lub katalogu nie może znajdować się w identyfikatorze Entra firmy Microsoft z powodu błędów lub brakujących dopasowań.

   Poniższy skrypt programu PowerShell wyświetli liczbę rekordów, które nie zostały zlokalizowane:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Po zakończeniu działania skryptu będzie on wskazywać błąd, jeśli jakiekolwiek rekordy ze źródła danych nie znajdowały się w identyfikatorze Entra firmy Microsoft. Jeśli nie wszystkie rekordy użytkowników z magazynu danych aplikacji mogą znajdować się jako użytkownicy w usłudze Microsoft Entra ID, należy zbadać, które rekordy nie są zgodne i dlaczego.

   Na przykład adres e-mail użytkownika i userPrincipalName mogły zostać zmienione w identyfikatorze Entra firmy Microsoft bez aktualizowania odpowiedniej mail właściwości w źródle danych aplikacji. Lub użytkownik mógł już opuścił organizację, ale nadal znajduje się w źródle danych aplikacji. Może też istnieć konto dostawcy lub administratora w źródle danych aplikacji, które nie odpowiada żadnej konkretnej osobie w identyfikatorze Entra firmy Microsoft.

10. Jeśli nie było użytkowników, którzy nie mogli znajdować się w identyfikatorze Entra firmy Microsoft lub nie byli aktywni i mogli się zalogować, ale chcesz mieć przeglądany dostęp lub ich atrybuty zaktualizowane w usługach SAP Cloud Identity Services, bazie danych lub katalogu, musisz zaktualizować aplikację, regułę dopasowania lub zaktualizować lub utworzyć dla nich użytkowników firmy Microsoft Entra. Aby uzyskać więcej informacji na temat wprowadzania zmian, zobacz Zarządzanie mapowaniami i kontami użytkowników w aplikacjach, które nie są zgodne z użytkownikami w identyfikatorze Entra firmy Microsoft.

    Jeśli wybierzesz opcję tworzenia użytkowników w usłudze Microsoft Entra ID, możesz utworzyć użytkowników zbiorczo przy użyciu jednego z następujących elementów:

    • Plik CSV, zgodnie z opisem w artykule Zbiorcze tworzenie użytkowników w centrum administracyjnym firmy Microsoft Entra
    • Polecenie cmdlet New-MgUser

    Upewnij się, że ci nowi użytkownicy są wypełniani atrybutami wymaganymi przez identyfikator Entra firmy Microsoft, aby później dopasować je do istniejących użytkowników w aplikacji, oraz atrybuty wymagane przez identyfikator Entra firmy Microsoft, w tym userPrincipalNamemailNickname , i displayName. Element userPrincipalName musi być unikatowy dla wszystkich użytkowników w katalogu.

    Możesz na przykład mieć użytkowników w bazie danych, w której wartość w kolumnie o nazwie EMail jest wartością, której chcesz użyć jako głównej nazwy użytkownika Microsoft Entra, wartość w kolumnie Alias zawiera pseudonim poczty Microsoft Entra ID, a wartość w kolumnie Full name zawiera nazwę wyświetlaną użytkownika:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Następnie możesz użyć tego skryptu, aby utworzyć użytkowników usługi Microsoft Entra dla użytkowników w usługach SAP Cloud Identity Services, bazie danych lub katalogu, który nie był zgodny z użytkownikami w usłudze Microsoft Entra ID. Należy pamiętać, że może być konieczne zmodyfikowanie tego skryptu w celu dodania dodatkowych atrybutów firmy Microsoft Entra wymaganych w organizacji lub jeśli $azuread_match_attr_name parametr nie mailNickname jest ani userPrincipalName, aby podać ten atrybut Entra firmy Microsoft.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Po dodaniu wszystkich brakujących użytkowników do identyfikatora Entra firmy Microsoft ponownie uruchom skrypt z kroku 7. Następnie uruchom skrypt z kroku 8. Sprawdź, czy nie zgłoszono żadnych błędów.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Upewnij się, że istniejący użytkownicy firmy Microsoft Entra mają niezbędne atrybuty

Przed włączeniem automatycznej aprowizacji użytkowników musisz zdecydować, którzy użytkownicy w usłudze Microsoft Entra ID potrzebują dostępu do usług SAP Cloud Identity Services, a następnie należy sprawdzić, czy ci użytkownicy mają niezbędne atrybuty w identyfikatorze Firmy Microsoft Entra, a te atrybuty są mapowane na oczekiwany schemat usług SAP Cloud Identity Services.

• Domyślnie wartość atrybutu użytkownika userPrincipalName Entra firmy Microsoft jest mapowana na userName atrybuty i emails[type eq "work"].value usług SAP Cloud Identity Services. Jeśli adresy e-mail użytkownika różnią się od głównych nazw użytkowników, może być konieczne zmianę tego mapowania.
• Usługi SAP Cloud Identity Services mogą ignorować wartości atrybutu postalCode , jeśli format kodu pocztowego/pocztowego firmy nie jest zgodny z krajem firmy.
• Domyślnie atrybut department Microsoft Entra jest mapowany na atrybut SAP Cloud Identity Services urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department . Jeśli użytkownicy firmy Microsoft Entra mają wartości atrybutu department , te wartości muszą być zgodne z tymi działami skonfigurowanymi już w usługach SAP Cloud Identity Services, w przeciwnym razie tworzenie lub aktualizowanie użytkownika zakończy się niepowodzeniem. department Jeśli wartości użytkowników firmy Microsoft Entra nie są zgodne z tymi w środowisku SAP, usuń mapowanie przed przypisaniem użytkowników.
• Punkt końcowy SCIM usług SAP Cloud Identity Services wymaga określonego formatu niektórych atrybutów. Więcej informacji na temat tych atrybutów i ich konkretnego formatu można znaleźć tutaj.

Przypisywanie użytkowników do aplikacji SAP Cloud Identity Services w usłudze Microsoft Entra ID

Identyfikator Entra firmy Microsoft używa koncepcji nazywanej przypisaniami , aby określić, którzy użytkownicy powinni otrzymywać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji użytkowników, jeśli wartość Ustawienia zakresu jest synchronizowana tylko z przypisanymi użytkownikami i grupami, tylko użytkownicy i grupy przypisane do roli aplikacji tej aplikacji w usłudze Microsoft Entra ID są synchronizowane z usługami SAP Cloud Identity Services. Podczas przypisywania użytkownika do usług SAP Cloud Identity Services należy wybrać dowolną prawidłową rolę specyficzną dla aplikacji (jeśli jest dostępna) w oknie dialogowym przypisywania. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji. Obecnie jedyną dostępną rolą dla usług SAP Cloud Identity Services jest Użytkownik.

Jeśli aprowizacja została już włączona dla aplikacji, sprawdź, czy aprowizacja aplikacji nie znajduje się w kwarantannie przed przypisaniem większej liczby użytkowników do aplikacji. Przed kontynuowaniem rozwiąż wszelkie problemy powodujące kwarantannę.

Sprawdź użytkowników, którzy są obecni w usługach SAP Cloud Identity Services i nie są jeszcze przypisani do aplikacji w usłudze Microsoft Entra ID

Poprzednie kroki oceniły, czy użytkownicy w usługach SAP Cloud Identity Services również istnieją jako użytkownicy w identyfikatorze Entra firmy Microsoft. Jednak mogą one nie być obecnie przypisane do ról aplikacji w identyfikatorze Entra firmy Microsoft. Następnym krokiem jest sprawdzenie, którzy użytkownicy nie mają przypisań do ról aplikacji.

1. Za pomocą programu PowerShell wyszukaj identyfikator jednostki usługi dla jednostki usługi aplikacji.

   Jeśli na przykład aplikacja dla przedsiębiorstw ma nazwę SAP Cloud Identity Services, wprowadź następujące polecenia:

   $azuread_app_name = "SAP Cloud Identity Services"
   $azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'"
   $azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All
   

2. Pobierz użytkowników, którzy mają obecnie przypisania do aplikacji w identyfikatorze Entra firmy Microsoft.

   Opiera się to na zmiennej $azuread_sp ustawionej w poprzednim poleceniu.

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

3. Porównaj listę identyfikatorów użytkowników użytkowników już w usługach SAP Cloud Identity Services i Microsoft Entra ID do tych użytkowników, którzy są obecnie przypisani do aplikacji w usłudze Microsoft Entra ID. Ten skrypt opiera się na zmiennej $azuread_match_id_list ustawionej w poprzednich sekcjach:

   $azuread_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_not_in_role_list += $id }
   }
   $azuread_not_in_role_count = $azuread_not_in_role_list.Count
   Write-Output "$azuread_not_in_role_count users in the application's data store are not assigned to the application roles."
   

   Jeśli zerowi użytkownicy nie są przypisani do ról aplikacji, wskazując, że wszyscy użytkownicy są przypisani do ról aplikacji, oznacza to, że nie było żadnych użytkowników wspólnych w usługach Microsoft Entra ID i SAP Cloud Identity Services, więc nie są potrzebne żadne zmiany. Jeśli jednak co najmniej jeden użytkownik już w usługach SAP Cloud Identity Services nie jest obecnie przypisany do ról aplikacji, musisz kontynuować procedurę i dodać ich do jednej z ról aplikacji.

4. User Wybierz rolę jednostki usługi aplikacji.

   $azuread_app_role_name = "User"
   $azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq "User"}).Id
   if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}
   

5. Utwórz przypisania ról aplikacji dla użytkowników, którzy są już obecni w usługach SAP Cloud Identity Services i Microsoft Entra, i obecnie nie mają przypisań ról do aplikacji:

   foreach ($u in $azuread_not_in_role_list) {
      $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id
   }
   

6. Poczekaj minutę na propagację zmian w identyfikatorze Entra firmy Microsoft.

7. W następnym cyklu aprowizacji firmy Microsoft Entra usługa aprowizacji firmy Microsoft porówna reprezentację tych użytkowników przypisanych do aplikacji z reprezentacją w usługach SAP Cloud Identity Services i zaktualizuje użytkowników usług SAP Cloud Identity Services, aby mieć atrybuty z identyfikatora Entra firmy Microsoft.

Przypisywanie pozostałych użytkowników i monitorowanie synchronizacji początkowej

Po zakończeniu testowania użytkownik zostanie pomyślnie aprowizowany w usługach SAP Cloud Identity Services, a wszyscy istniejący użytkownicy usług SAP Cloud Identity Services zostaną przypisani do roli aplikacji, można przypisać wszystkich dodatkowych autoryzowanych użytkowników do aplikacji SAP Cloud Identity Services, wykonując jedną z instrukcji podanych tutaj:

• Każdy użytkownik można przypisać do aplikacji w centrum administracyjnym firmy Microsoft Entra.
• Możesz przypisać poszczególnych użytkowników do aplikacji za pomocą polecenia cmdlet New-MgServicePrincipalAppRoleAssignedTo programu PowerShell, jak pokazano w poprzedniej sekcji, lub
• Jeśli organizacja ma licencję na Zarządzanie tożsamością Microsoft Entra, możesz również wdrożyć zasady zarządzania upoważnieniami na potrzeby automatyzacji przypisywania dostępu.

Gdy użytkownicy zostaną przypisani do roli aplikacji i mają zakres aprowizacji, usługa aprowizacji firmy Microsoft będzie aprowizować je w usługach SAP Cloud Identity Services. Należy pamiętać, że synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.

Jeśli nie widzisz aprowizowania użytkowników, zapoznaj się z krokami w przewodniku rozwiązywania problemów, aby nie aprowizować użytkowników. Następnie sprawdź dziennik aprowizacji za pośrednictwem centrum administracyjnego firmy Microsoft lub interfejsów API programu Graph. Przefiltruj dziennik do stanu Niepowodzenie. Jeśli występują błędy z błędem ErrorCode of DuplicateTargetEntries, oznacza to niejednoznaczność w regułach dopasowywania aprowizacji i należy zaktualizować użytkowników usługi Microsoft Entra lub mapowania, które są używane do dopasowywania, aby upewnić się, że każdy użytkownik entra firmy Microsoft jest zgodny z jednym użytkownikiem aplikacji. Następnie przefiltruj dziennik do akcji Utwórz i stan Pominięto. Jeśli użytkownicy zostali pominięti przy użyciu kodu SkipReason notEffectivelyEntitled, może to wskazywać, że konta użytkowników w identyfikatorze Entra Firmy Microsoft nie były zgodne, ponieważ stan konta użytkownika był wyłączony.

Konfigurowanie logowania jednokrotnego

Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla usługi SAP Cloud Identity Services, postępując zgodnie z instrukcjami podanymi w samouczku dotyczącym logowania jednokrotnego usług SAP Cloud Identity Services. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji użytkowników, chociaż te dwie funkcje uzupełniają się wzajemnie.

Monitorowanie aprowizacji

Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do raportu aktywności aprowizacji, który opisuje wszystkie akcje wykonywane przez usługę aprowizacji firmy Microsoft w usługach SAP Cloud Identity Services. Projekt aprowizacji można również monitorować za pośrednictwem interfejsów API programu Microsoft Graph.

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.

Obsługa przypisań ról aplikacji

Ponieważ użytkownicy przypisani do aplikacji są aktualizowani w usłudze Microsoft Entra ID, te zmiany zostaną automatycznie aprowidowane w usługach SAP Cloud Identity Services.

Jeśli masz Zarządzanie tożsamością Microsoft Entra, możesz zautomatyzować zmiany przypisań ról aplikacji dla usług SAP Cloud Identity Services w usłudze Microsoft Entra ID, aby dodać lub usunąć przypisania jako osoby przyłączone do organizacji lub pozostawić lub zmienić role.

• Można przeprowadzić jednorazowy lub cyklicznych przeglądów przypisań ról aplikacji.
• Możesz utworzyć pakiet dostępu do zarządzania upoważnieniami dla tej aplikacji. Możesz mieć zasady, aby użytkownicy mogli mieć przypisany dostęp, gdy żądają, przez administratora, automatycznie na podstawie reguł lub za pośrednictwem przepływów pracy cyklu życia.

Więcej zasobów

• Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
• Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?
• Zarządzanie dostępem do aplikacji SAP
• Zarządzanie dostępem do aplikacji w środowisku

Następne kroki

• Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań aprowizacji