Sdílet prostřednictvím

Konfigurace ID Microsoft Entra pro zřízení uživatelů v SAP ECC pomocí NetWeaver AS ABAP 7.0 nebo novější

  • Článek

Následující dokumentace obsahuje informace o konfiguraci a kurzu, které ukazují, jak zřizovat uživatele z Microsoft Entra ID do sap ERP Central Component (SAP ECC, dříve SAP R/3) s NetWeaverem 7.0 nebo novějším. Pokud používáte jiné verze SAP R/3, můžete i nadále používat příručky uvedené ve stažených konektorech pro Microsoft Identity Manager 2016 jako referenci k vytvoření vlastní šablony pro provisioning. Pokud používáte SAP S/4HANA nebo jiné aplikace SAP SaaS, postupujte podle kurzu a nakonfigurujte službu SAP Cloud Identity Services pro automatické zřizování uživatelů. Další informace o integracích SAP najdete v tématu správa přístupu k aplikacím SAP.

Následující video obsahuje přehled místního zřizování.

Podporované funkce

  • Vytváření uživatelů v SAP ECC
  • Odeberte uživatele v SAP ECC, když už nepotřebují přístup.
  • Udržujte atributy uživatelů synchronizované mezi ID Microsoft Entra a SAP ECC.

Mimo rozsah

  • Jiné typy objektů, včetně místních skupin aktivit, rolí a profilů, se nepodporují. Pokud jsou tyto objekty potřeba, použijte Microsoft Identity Manager.
  • Operace s heslem se nepodporují. Pokud se vyžaduje správa hesel, použijte Microsoft Identity Manager.

Požadavky na zřízení SAP ECC s využitím NetWeaver AS ABAP 7.51

Místní požadavky

Počítač, na kterém běží agent zřizování, by měl mít:

  • Minimálně 3 GB paměti RAM.
  • Windows Server 2016 nebo novější verze Windows Serveru
  • Připojení k systému pomocí SAP ECC NetWeaver AS ABAP 7.51
  • Odchozí připojení k login.microsoftonline.com, dalším online službám Microsoftu a doménám Azure . Příkladem je virtuální počítač s Windows Serverem 2016 hostovaným v Azure IaaS nebo za proxy serverem.
  • .NET Framework 4.7.2

Požadavky na cloud

  • Tenant Microsoft Entra s Microsoft Entra ID P1 nebo Premium P2 (nebo EMS E3 nebo E5).

    Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.

  • Role Správce hybridní identity pro konfiguraci agenta zřizování a rolí Správce aplikací nebo Správce cloudových aplikací pro konfiguraci zřizování v Centru pro správu Microsoft Entra.

  • Uživatelé Microsoft Entra, kteří mají být zřízeni pro SAP ECC, už musí být naplněni všemi atributy, které bude SAP ECC vyžadovat.

1. Instalace a konfigurace agenta zřizování Microsoft Entra Connect

Pokud jste už stáhli agenta zřizování a nakonfigurovali ho pro jinou místní aplikaci, pokračujte ve čtení v další části.

  1. Přihlaste se do Centra pro správu Microsoft Entra.
  2. Přejděte do podnikových aplikací a vyberte Nová aplikace.
  3. Vyhledejte místní aplikaci aplikace ECMA, pojmenujte ji a vyberte Vytvořit a přidejte ji do svého tenanta.
  4. V nabídce přejděte na stránku Zřizování vaší aplikace.
  5. Vyberte Začínáme.
  6. Na stránce Zřizování změňte režim na Automatický.

Snímek obrazovky s výběrem možnosti Automaticky

  1. V části Místní připojení vyberte Stáhnout a nainstalovat a vyberte Přijmout podmínky a stáhnout.

  2. Nechte portál a spusťte instalační program agenta zřizování, odsouhlaste podmínky služby a vyberte Nainstalovat.

  3. Počkejte na průvodce konfigurací agenta zřizování Microsoft Entra a pak vyberte Další.

  4. V kroku Vybrat rozšíření vyberte místní zřizování aplikací a pak vyberte Další.

  5. Agent zřizování použije webový prohlížeč operačního systému k zobrazení automaticky otevíraného okna pro ověření v Microsoft Entra ID a potenciálně také zprostředkovatele identity vaší organizace. Pokud používáte Internet Explorer jako prohlížeč na Windows Serveru, možná budete muset přidat weby Microsoftu do seznamu důvěryhodných webů prohlížeče, aby se JavaScript správně spustil.

  6. Po zobrazení výzvy k autorizaci zadejte přihlašovací údaje pro správce Microsoft Entra. Uživatel musí mít alespoň roli Správce hybridní identity.

  7. Výběrem možnosti Potvrdit potvrďte nastavení. Po úspěšném dokončení instalace můžete vybrat možnost Ukončit a také zavřít instalační program balíčku agenta zřizování.

2. Zveřejnění potřebných rozhraní SAP API

Zveřejnění potřebných rozhraní API v SAP ECC NetWeaver 7.51 pro vytváření, aktualizaci a odstraňování uživatelů Dokument Deploy SAP NetWeaver AS ABAP 7.51 vás provede tím, jak můžete zpřístupnit potřebná rozhraní API.

3. Vytvoření šablony konektoru webových služeb

Pokud migrujete z existujícího konektoru webových služeb v MIM, budete muset vytvořit šablonu konektoru webových služeb pro hostitele ECMA. Pokud už máte šablonu konektoru webových služeb z MIM, pokračujte v další části.

Jako referenci k sestavení šablony můžete použít šablonu konektoru webové služby SAP ECC 7.51 pro dokument ECMA2Host . Konektory pro Microsoft Identity Manager 2016 také poskytují šablonu sapecc.wsconfig jako referenci. Před nasazením v produkčním prostředí budete muset šablonu přizpůsobit tak, aby vyhovovala potřebám vašeho konkrétního prostředí. Ujistěte se, že název služby, název_koncového bodu a název_operace jsou správné.

4. Konfigurace místní aplikace ECMA

  1. Na portálu v části Místní připojení vyberte agenta, kterého jste nasadili, a vyberte Přiřadit agenty.

    Snímek obrazovky, který ukazuje, jak vybrat a přiřadit agenta

  2. Nechte toto okno prohlížeče otevřené, až dokončíte další krok konfigurace pomocí průvodce konfigurací.

5. Konfigurace certifikátu hostitele konektoru Microsoft Entra ECMA

  1. Na Windows Serveru, kde je nainstalován agent zřizování, klikněte pravým tlačítkem na Průvodce konfigurací Microsoft ECMA2Host z nabídky Start a spusťte ho jako správce. Spuštění jako správce Systému Windows je nezbytné k vytvoření potřebných protokolů událostí systému Windows průvodce.

  2. Po spuštění konfigurace hostitele konektoru ECMA se při prvním spuštění průvodce zobrazí žádost o vytvoření certifikátu. Ponechte výchozí port 8585 a vyberte Vygenerovat certifikát a vygenerujte certifikát. Automaticky vygenerovaný certifikát bude podepsaný svým držitelem jako součást důvěryhodného kořenového adresáře. Síť SAN certifikátu odpovídá názvu hostitele.

    Snímek obrazovky znázorňující konfiguraci nastavení

  3. Zvolte Uložit.

6. Konfigurace obecného konektoru webových služeb

V této části vytvoříte konfiguraci konektoru pro SAP ECC.

Konfigurace připojení k SAP ECC se provádí pomocí průvodce. V závislosti na vybraných možnostech nemusí být některé obrazovky průvodce dostupné a informace se můžou mírně lišit. Následující informace vám povedou v konfiguraci.

6.1 Připojení agenta zřizování k SAP ECC

Pokud chcete připojit agenta zřizování Microsoft Entra s SAP ECC, postupujte takto:

  1. Zkopírujte soubor sapecc.wsconfig šablony konektoru C:\Program Files\Microsoft ECMA2Host\Service\ECMA webové služby do složky.

  2. Vygenerujte tajný token, který se použije k ověřování ID Microsoft Entra pro konektor. Pro každou aplikaci by mělo být minimálně 12 znaků a jedinečné.

  3. Pokud jste to ještě neudělali, spusťte Průvodce konfigurací Microsoft ECMA2Host z windows nabídka Start.

  4. Vyberte Nový konektor.

    Snímek obrazovky znázorňující volbu Nový konektor

  5. Na stránce Vlastnosti vyplňte pole hodnotami uvedenými v tabulce, která následuje za obrázkem, a vyberte Další.

    Snímek obrazovky znázorňující zadávání vlastností

    Vlastnost Hodnota
    Name Název, který jste zvolili pro konektor, by měl být jedinečný pro všechny konektory ve vašem prostředí. Například pokud máte pouze jednu instanci SAP, SAPECC7.
    Časovač automatické synchronizace (minuty) 120
    Token tajného kódu Zadejte tajný token, který jste pro tento konektor vygenerovali. Klíč by měl obsahovat minimálně 12 znaků.
    Rozšiřující knihovna DLL Pro konektor webových služeb vyberte Microsoft.IdentityManagement.MA.WebServices.dll.

  6. Na stránce Připojení vyplňte pole hodnotami zadanými v tabulce, která následuje za obrázkem, a vyberte Další.

    Snímek obrazovky se stránkou Připojení

    Vlastnost Popis
    Projekt webové služby Název šablony SAP ECC. sapecc
    Hostitelský počítač Název hostitele koncového bodu SAP ECC SOAP, např. vhcalnplci.dummy.nodomain
    Port Port koncového bodu SAP ECC SOAP, např. 8000

  7. Na stránce Schopnosti vyplňte pole hodnotami uvedenými v následující tabulce a vyberte Další.

    Vlastnost Hodnota
    Rozlišující styl názvu Obecná
    Typ exportu ObjectReplace
    Normalizace dat Nic
    Potvrzení objektu Normální
    Povolit import Zkontrolováno
    Povolení rozdílového importu Nezaškrtnuto
    Povolit export Zkontrolováno
    Povolit úplný export Nezaškrtnuto
    Povolení exportu hesla v prvním průchodu Zkontrolováno
    Žádné referenční hodnoty v prvním průchodu exportu Nezaškrtnuto
    Povolit přejmenování objektu Nezaškrtnuto
    Delete-Add as Replace Nezaškrtnuto

Poznámka:

Pokud je šablona sapecc.wsconfig konektoru webových služeb otevřena pro úpravy v nástroji konfigurace webové služby, zobrazí se chyba.

  1. Na stránce Globální vyplňte pole hodnotami uvedenými v tabulce, která následuje za obrázkem, a vyberte Další.

    Vlastnost Hodnota
    ClientCredentialType Basic
    Jméno uživatele Uživatelské jméno účtu s právy k volání rozhraní BAPI použitých v šabloně SAP ECC.
    Heslo Heslo zadaného uživatelského jména.
    Testovat připojení Nezaškrtnuto, pokud nemáte v šabloně implementovaný žádný pracovní postup testovacího připojení

  2. Na stránce Oddíly vyberte Další.

  3. Na stránce Profily spuštění ponechte políčko Exportovat zaškrtnuté. Zaškrtněte políčko Úplný import a vyberte Další. Profil spuštění exportu se použije, když hostitel konektoru ECMA potřebuje odesílat změny z ID Microsoft Entra do SAP ECC, vkládat, aktualizovat a odstraňovat záznamy. Profil úplného spuštění importu se použije při spuštění hostitelské služby konektoru ECMA ke čtení v aktuálním obsahu SAP ECC.

    Vlastnost Hodnota
    Export Spusťte profil, který exportuje data do instance SAP ECC. Tento profil spuštění je povinný.
    Úplný import Spustit profil, který naimportuje všechna data z instance SAP ECC zadanou dříve.
    Rozdílový import Spustit profil, který bude importovat pouze změny z instance SAP ECC od posledního úplného nebo rozdílového importu.

  4. Na stránce Typy objektů vyplňte pole a vyberte Další. Pro pokyny k jednotlivým polím použijte tabulku, která následuje za obrázkem.

    • Ukotvení : Hodnoty tohoto atributu by měly být jedinečné pro každý objekt v cílovém systému. Služba zřizování Microsoft Entra provede dotaz na hostitele konektoru ECMA pomocí tohoto atributu po počátečním cyklu. Tato hodnota je definována v šabloně konektoru webových služeb.

    • DN : Ve většině případů by měla být vybrána možnost Automaticky vygenerovaná. Pokud není vybraná, ujistěte se, že je atribut DN namapován na atribut v Microsoft Entra ID, který ukládá DN v tomto formátu: CN = anchorValue, Object = objectType. Další informace o ukotvení a DN naleznete v tématu o atributech ukotvení a rozlišujících názvech.

      Vlastnost Hodnota
      Cílový objekt User
      Záložka userName
      DN userName
      Automaticky vygenerováno Zkontrolováno

  5. Hostitel konektoru ECMA zjistí atributy podporované SAP ECC. Pak můžete zvolit, které z zjištěných atributů chcete zveřejnit pro ID Microsoft Entra. Tyto atributy je pak možné nakonfigurovat v Centru pro správu Microsoft Entra pro zřizování. Na stránce Vybrat atributy přidejte všechny atributy v rozevíracím seznamu po jednom. Rozevírací seznam Atribut zobrazuje všechny atributy, které byly zjištěny v SAP ECC a nebyly vybrány na předchozí stránce Vybrat atributy. Po přidání všech relevantních atributů vyberte Další.

    Snímek obrazovky se stránkou Vybrat atributy

  6. Na stránce Zrušení zřízení v části Zakázat tok vyberte Odstranit. Atributy vybrané na předchozí stránce nebudou k dispozici pro výběr na stránce Zrušení zřízení. Vyberte Dokončit.

Poznámka:

Pokud použijete hodnotu atributu Set, mějte na paměti, že jsou povoleny pouze logické hodnoty.

Na stránce Zrušení zřízení v části Zakázat tok vyberte Žádné. Stav uživatelského účtu budete řídit pomocí vlastnosti expirationTime . V části Odstranit tok vyberte Žádné, pokud nechcete odstranit uživatele SAP nebo Odstranit, pokud to uděláte. Vyberte Dokončit.

7. Ujistěte se, že je spuštěná služba ECMA2Host.

  1. Na serveru, na kterém běží hostitel konektoru Microsoft Entra ECMA, vyberte Spustit.

  2. Do pole zadejte spuštění a zadejte services.msc.

  3. V seznamu Služby se ujistěte, že je microsoft ECMA2Host přítomný a spuštěný. Pokud ne, vyberte Spustit.

    Snímek obrazovky znázorňující, že je služba spuštěná

  4. Pokud jste službu nedávno spustili a máte v SAP ECC mnoho uživatelských objektů, počkejte několik minut, než konektor vytvoří připojení k SAP ECC.

8. Konfigurace připojení aplikace v Centru pro správu Microsoft Entra

  1. Vraťte se do okna webového prohlížeče, ve kterém jste konfigurovali zřizování aplikací.

    Poznámka:

    Pokud časový limit okna vypršel, budete muset agenta znovu vybrat.

    1. Přihlaste se do Centra pro správu Microsoft Entra.
    2. Přejděte do podnikových aplikací a místní aplikace ECMA.
    3. Vyberte Zřizování.
    4. Vyberte Začínáme a pak změňte režim na Automatický, v části Místní připojení vyberte agenta, kterého jste nasadili, a vyberte Přiřadit agenty. V opačném případě přejděte ke zřizování pro úpravy.

  2. V části Přihlašovací údaje správce zadejte následující adresu URL. {connectorName} Část nahraďte názvem konektoru na hostiteli konektoru ECMA, například SAPECC7. V názvu konektoru se rozlišují malá a velká a malá písmena by měla být stejná jako v průvodci. Můžete také nahradit localhost názvem hostitele počítače.

    Vlastnost Hodnota
    Adresa URL tenanta https://localhost:8585/ecma2host_SAPECC7/scim

  3. Zadejte hodnotu tajného tokenu, kterou jste definovali při vytváření konektoru.

    Poznámka:

    Pokud jste agentovi právě přiřadili aplikaci, počkejte 10 minut, než se registrace dokončí. Test připojení nebude fungovat, dokud se registrace nedokončí. Vynucení registrace agenta k dokončení restartováním zřizovacího agenta na vašem serveru může proces registrace urychlit. Přejděte na svůj server, vyhledejte služby na panelu hledání systému Windows, identifikujte službu agenta zřizování Microsoft Entra Connect, klikněte pravým tlačítkem myši na službu a restartujte ji.

  4. Vyberte Test připojení a počkejte jednu minutu.

  5. Po úspěšném testu připojení a indikuje, že zadané přihlašovací údaje mají oprávnění k povolení zřizování, vyberte Uložit.

    Snímek obrazovky znázorňující testování agenta

9. Konfigurace mapování atributů

Teď mapujete atributy mezi reprezentací uživatele v Microsoft Entra ID a reprezentací uživatele v SAP ECC.

Centrum pro správu Microsoft Entra použijete ke konfiguraci mapování mezi atributy uživatele Microsoft Entra a atributy, které jste dříve vybrali v průvodci konfigurací hostitele ECMA.

  1. Ujistěte se, že schéma Microsoft Entra obsahuje atributy, které vyžaduje SAP ECC. Pokud vyžaduje, aby uživatelé měli atribut a tento atribut ještě není součástí vašeho schématu Microsoft Entra pro uživatele, budete muset tento atribut přidat jako rozšíření pomocí funkce rozšíření adresáře.

  2. V Centru pro správu Microsoft Entra v části Podnikové aplikace vyberte místní aplikaci aplikace ECMA a pak stránku Zřizování .

  3. Vyberte Upravit zřizování a počkejte 10 sekund.

  4. Rozbalte mapování a vyberte Zřídit uživatele Microsoft Entra. Pokud jste mapování atributů pro tuto aplikaci nakonfigurovali poprvé, bude pro zástupný symbol k dispozici pouze jedno mapování.

    Snímek obrazovky znázorňující zřízení uživatele

  5. Chcete-li ověřit, že schéma SAP ECC je k dispozici v Microsoft Entra ID, zaškrtněte políčko Zobrazit pokročilé možnosti a vyberte Upravit seznam atributů pro ScimOnPremises. Ujistěte se, že jsou uvedené všechny atributy vybrané v průvodci konfigurací. Pokud ne, počkejte několik minut, než se schéma aktualizuje, a pak stránku znovu načtěte. Jakmile se zobrazí uvedené atributy, zrušte z této stránky, abyste se vrátili do seznamu mapování.

  6. Teď klikněte na mapování zástupných symbolů userPrincipalName . Toto mapování se ve výchozím nastavení přidá při první konfiguraci místního zřizování.

Snímek obrazovky se zástupným symbolem

Změňte hodnotu tak, aby odpovídala následujícímu:

Typ mapování Zdrojový atribut Cílový atribut
Direct userPrincipalName (Hlavní název uživatele) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

  1. Teď vyberte Přidat nové mapování a opakujte další krok pro každé mapování.

  2. Zadejte zdrojové a cílové atributy pro každé mapování v následující tabulce.

    Atribut Microsoft Entra Atribut ScimOnPremises Odpovídající priorita Použít toto mapování
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 0 Pouze během vytváření objektu
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Pouze během vytváření objektu
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Always
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Always
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Always
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Always
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Always
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Always
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Always
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Always
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Always

  3. Po přidání všech mapování vyberte Uložit.

10. Přiřazení uživatelů k aplikaci

Teď, když máte hostitele konektoru Microsoft Entra ECMA, který komunikuje s ID Microsoft Entra a nakonfigurovaným mapováním atributů, můžete přejít k konfiguraci toho, kdo je v oboru zřizování.

Důležité

Pokud jste byli přihlášení pomocí role Správce hybridní identity, musíte se odhlásit a přihlásit pomocí účtu, který má alespoň roli Správce aplikace pro tuto část. Role Správce hybridní identity nemá oprávnění k přiřazování uživatelů k aplikacím.

Pokud v SAP ECC existují uživatelé, měli byste pro tyto stávající uživatele vytvořit přiřazení rolí aplikace. Další informace o hromadném vytváření přiřazení rolí aplikace najdete v tématu Řízení stávajících uživatelů aplikace v Microsoft Entra ID.

V opačném případě, pokud neexistují žádní aktuální uživatelé aplikace, vyberte testovacího uživatele z Microsoft Entra, který bude zřízen pro aplikaci.

  1. Ujistěte se, že uživatel, kterého vyberete, má všechny vlastnosti, které budou mapovány na požadované atributy SAP ECC.

  2. V Centru pro správu Microsoft Entra vyberte Podnikové aplikace.

  3. Vyberte místní aplikaci aplikace ECMA.

  4. Na levé straně v části Spravovat vyberte Uživatelé a skupiny.

  5. Vyberte Přidat uživatele nebo skupinu.

    Snímek obrazovky znázorňující přidání uživatele

  6. V části Uživatelé vyberte Možnost Žádná vybrána.

    Snímek obrazovky s vybranou možností Žádná

  7. Vyberte uživatele zprava a vyberte tlačítko Vybrat .

    Snímek obrazovky znázorňující výběr uživatelů

  8. Teď vyberte Přiřadit.

    Snímek obrazovky znázorňující přiřazení uživatelů

11. Zřizování testů

Teď, když jsou atributy mapované a uživatelé jsou přiřazeni, můžete otestovat zřizování na vyžádání u jednoho z vašich uživatelů.

  1. V Centru pro správu Microsoft Entra vyberte Podnikové aplikace.

  2. Vyberte místní aplikaci aplikace ECMA.

  3. Na levé straně vyberte Zřizování.

  4. Vyberte Zřídit na vyžádání.

  5. Vyhledejte jednoho z testovacích uživatelů a vyberte Zřídit.

    Snímek obrazovky znázorňující testování zřizování

  6. Po několika sekundách se zobrazí zpráva Úspěšně vytvořený uživatel v cílovém systému se seznamem atributů uživatele.

12. Zahájení zřizování uživatelů

  1. Po úspěšném zřízení na vyžádání se vraťte na stránku konfigurace zřizování. Ujistěte se, že je obor nastavený jenom na přiřazené uživatele a skupiny, zapněte zřizování a vyberte Uložit.

    Snímek obrazovky znázorňující spuštění zřizování

  2. Počkejte až 40 minut, než se služba zřizování spustí. Po dokončení úlohy zřizování, jak je popsáno v další části, pokud jste dokončili testování, můžete změnit stav zřizování na Vypnuto a vybrat Uložit. Tato akce zastaví spuštění služby zřizování v budoucnu.

Řešení chyb zřizování

Pokud se zobrazí chyba, vyberte Zobrazit protokoly zřizování. Vyhledejte v protokolu řádek, ve kterém je Stav selhání, a vyberte na daném řádku.

Další informace najdete na kartě Poradce při potížích a doporučení .

Další kroky