Kurz: Konfigurace služby SAP Cloud Identity Services pro automatické zřizování uživatelů

V tomto kurzu se dozvíte, jak nakonfigurovat zřizování z Microsoft Entra ID pro SAP Cloud Identity Services. Cílem je nastavit MICROSOFT Entra ID tak, aby automaticky zřizovalo a deprovizovali uživatele ve službách SAP Cloud Identity Services, aby se tito uživatelé mohli ověřit ve službách SAP Cloud Identity Services a měli přístup k jiným úlohám SAP. SAP Cloud Identity Services podporuje zřizování z místního adresáře identit do jiných aplikací SAP jako cílových systémů.

Poznámka:

Tento kurz popisuje konektor integrovaný ve službě zřizování uživatelů Microsoft Entra. Důležité podrobnosti o tom, co tato služba dělá, jak funguje, a nejčastější dotazy najdete v tématu Automatizace zřizování a rušení zřizování uživatelů pro aplikace SaaS pomocí Microsoft Entra ID. SAP Cloud Identity Services má také vlastní samostatný konektor pro čtení uživatelů a skupin z Microsoft Entra ID. Další informace najdete v tématu SAP Cloud Identity Services – Zřizování identit – Microsoft Entra ID jako zdrojový systém.

Požadavky

Scénář popsaný v tomto kurzu předpokládá, že už máte následující požadavky:

• Tenant Microsoft Entra
• Tenant SAP Cloud Identity Services
• Uživatelský účet ve službě SAP Cloud Identity Services s oprávněními správce

Poznámka:

Tato integrace je také dostupná pro použití z prostředí Microsoft Entra US Government Cloud. Tuto aplikaci najdete v Galerii cloudových aplikací Microsoft Entra US Government a nakonfigurujete ji stejným způsobem jako v prostředí veřejného cloudu.

Pokud ještě nemáte uživatele v Microsoft Entra ID, začněte plánem kurzu , který nasazuje Microsoft Entra pro zřizování uživatelů pomocí zdrojových a cílových aplikací SAP. Tento kurz ukazuje, jak propojit Microsoft Entra s autoritativními zdroji pro seznam pracovních procesů v organizaci, jako je SAP SuccessFactors. Ukazuje také, jak pomocí Microsoft Entra nastavit identity pro tyto pracovníky, aby se mohli přihlásit k jedné nebo více aplikacím SAP, jako je SAP ECC nebo SAP S/4HANA.

Pokud konfigurujete zřizování ve službě SAP Cloud Identity Services v produkčním prostředí, kde budete řídit přístup k úlohám SAP pomocí zásad správného řízení ID Microsoft Entra, před konfigurací Microsoft Entra ID pro zásady správného řízení identit si před pokračováním projděte požadavky.

Nastavení služby SAP Cloud Identity Services pro zřizování

1. Přihlaste se ke konzole https://<tenantID>.accounts.ondemand.com/admin pro správu SAP Cloud Identity Services nebo https://<tenantID>.trial-accounts.ondemand.com/admin k zkušební verzi. Přejděte na Správce uživatelů a autorizací>.

   

2. Stisknutím tlačítka +Přidat na levém panelu přidejte do seznamu nového správce. Zvolte Přidat systém a zadejte název systému.

   Poznámka:

   Identita správce ve službě SAP Cloud Identity Services musí být typu Systém. Uživatel správce se při zřizování nebude moct ověřit v rozhraní API SAP SCIM. SLUŽBA SAP Cloud Identity Services neumožňuje po vytvoření změnit název systému.

3. V části Konfigurovat autorizaci přepněte přepínač na možnost Spravovat uživatele. Potom klepněte na tlačítko Uložit a vytvořte systém.

   

4. Po vytvoření systému správce přidejte do systému nový tajný kód.

5. Zkopírujte ID klienta a tajný klíč klienta vygenerovaný sapem. Tyto hodnoty se zadají do polí Uživatelské jméno správce a Heslo správce. To se provádí na kartě Zřizování aplikace SAP Cloud Identity Services, kterou nastavíte v další části.

6. Sap Cloud Identity Services může mít mapování na jednu nebo více aplikací SAP jako cílové systémy. Zkontrolujte, jestli uživatelé nemají nějaké atributy, které tyto aplikace SAP vyžadují, aby se zřídily prostřednictvím SLUŽEB SAP Cloud Identity Services. V tomto kurzu se předpokládá, že služby SAP Cloud Identity Services a podřízené cílové systémy vyžadují dva atributy userName a emails[type eq "work"].value. Pokud cílové systémy SAP vyžadují další atributy a ty nejsou součástí uživatelského schématu Microsoft Entra ID, možná budete muset nakonfigurovat atributy synchronizace rozšíření.

Přidání služby SAP Cloud Identity Services z galerie

Před konfigurací MICROSOFT Entra ID pro automatické zřizování uživatelů do SAP Cloud Identity Services musíte přidat SAP Cloud Identity Services z galerie aplikací Microsoft Entra do seznamu podnikových aplikací vašeho tenanta. Tento krok můžete provést v Centru pro správu Microsoft Entra nebo prostřednictvím rozhraní Graph API.

Pokud je služba SAP Cloud Identity Services už nakonfigurovaná pro jednotné přihlašování z Microsoft Entra a aplikace už je v seznamu podnikových aplikací Microsoft Entra, pokračujte v další části.

Pokud chcete přidat služby SAP Cloud Identity Services z galerie aplikací Microsoft Entra pomocí Centra pro správu Microsoft Entra, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
3. Pokud chcete přidat aplikaci z galerie, do vyhledávacího pole zadejte SAP Cloud Identity Services .
4. Na panelu výsledků vyberte SAP Cloud Identity Services a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Konfigurace automatického zřizování uživatelů pro SAP Cloud Identity Services

Tato část vás provede postupem konfigurace služby zřizování Microsoft Entra tak, aby vytvářela, aktualizovala a zakázala uživatele ve službě SAP Cloud Identity Services na základě přiřazení uživatelů k aplikaci v Microsoft Entra ID.

Konfigurace automatického zřizování uživatelů pro SAP Cloud Identity Services v Microsoft Entra ID:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte k podnikovým aplikacím identit>>

   

3. V seznamu aplikací vyberte aplikaci SAP Cloud Identity Services.

   

4. Vyberte na kartě Vlastnosti.

5. Ověřte, že je požadovaná možnost Přiřazení? nastavená na Ano. Pokud je nastavená hodnota Ne, budou mít přístup k aplikaci všichni uživatelé ve vašem adresáři, včetně externích identit, a nebudete moct zkontrolovat přístup k aplikaci.

6. Vyberte kartu Zřizování.

   

7. Nastavte Režim zřizování na hodnotu Automaticky.

   

8. V části Přihlašovací údaje správce zadejte https://<tenantID>.accounts.ondemand.com/service/scimnebo https://<tenantid>.trial-accounts.ondemand.com/service/scim pokud používáte zkušební verzi s ID tenanta vaší služby SAP Cloud Identity Services v adrese URL tenanta. Zadejte HODNOTY ID klienta a tajného klíče klienta načtené dříve v uživatelském jménu správce a heslu správce. Klikněte na test připojení a ujistěte se, že se Microsoft Entra ID může připojit ke službám SAP Cloud Identity Services. Pokud se připojení nezdaří, ujistěte se, že váš systémový účet SAP Cloud Identity Services má oprávnění správce, tajný klíč je stále platný a zkuste to znovu.

   

9. Do pole E-mail s oznámením zadejte e-mailovou adresu osoby nebo skupiny, která by měla dostávat oznámení o chybách zřizování, a zaškrtněte políčko – Odeslat e-mailové oznámení, když dojde k chybě.

   

10. Klikněte na Uložit.

11. V části Mapování vyberte Zřídit uživatele MICROSOFT Entra ID.

    

12. Zkontrolujte atributy uživatele, které jsou synchronizovány z Microsoft Entra ID do SAP Cloud Identity Services v části Mapování atributů. Pokud nevidíte atributy ve službě SAP Cloud Identity Services, které jsou k dispozici jako cíl pro mapování, vyberte Zobrazit pokročilé možnosti a vyberte Upravit seznam atributů pro službu SAP Cloud Platform Identity Authentication Service a upravte seznam podporovaných atributů. Přidejte atributy tenanta SAP Cloud Identity Services.

13. Zkontrolujte a poznamenejte si zdrojové a cílové atributy vybrané jako Odpovídající vlastnosti, mapování, která mají prioritu Odpovídající, protože tyto atributy se používají ke shodě uživatelských účtů ve službě SAP Cloud Identity Services pro službu zřizování Microsoft Entra k určení, jestli se má vytvořit nový uživatel nebo aktualizovat existujícího uživatele. Další informace o porovnávání najdete v tématu Odpovídající uživatelé ve zdrojových a cílových systémech. V dalším kroku zajistíte, že všichni uživatelé, kteří už jsou ve službě SAP Cloud Identity Services, mají atributy vybrané jako vyplněné odpovídající vlastnosti, aby se zabránilo vytvoření duplicitních uživatelů.

14. Ověřte, že existuje mapování atributů pro IsSoftDeletedfunkci nebo funkci, která obsahuje IsSoftDeleted, namapovaná na atribut aplikace. Pokud uživatel není přiřazen z aplikace, obnovitelně odstraněný v Microsoft Entra ID nebo blokován přihlášení, microsoft Entra provisioning service aktualizuje atribut namapovaný na isSoftDeleted. Pokud není namapován žádný atribut, uživatelé, kteří později nebudou přiřazeni z role aplikace, budou nadále existovat v úložišti dat aplikace.

15. Přidejte všechna další mapování, která vyžadují vaše služby SAP Cloud Identity Services nebo podřízené cílové systémy SAP.

16. Výběrem tlačítka Uložit potvrďte všechny změny.

    Atribut	Typ	Podporováno pro filtrování	Vyžaduje se službami SAP Cloud Identity Services.
    userName	String	✓	✓
    emails[type eq "work"].value	String		✓
    active	Logické
    displayName	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager	Reference
    addresses[type eq "work"].country	String
    addresses[type eq "work"].locality	Řetězcové
    addresses[type eq "work"].postalCode	Řetězcové
    addresses[type eq "work"].region	Řetězcové
    addresses[type eq "work"].streetAddress	Řetězcové
    name.givenName	Řetězcové
    name.familyName	Řetězcové
    name.honorificPrefix	Řetězcové
    phoneNumbers[type eq "fax"].value	Řetězcové
    phoneNumbers[type eq "mobile"].value	Řetězcové
    phoneNumbers[type eq "work"].value	Řetězcové
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter	Řetězcové
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	Řetězcové
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	Řetězcové
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	Řetězcové
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	Řetězcové
    locale	Řetězcové
    timezone	Řetězcové
    userType	Řetězcové
    company	Řetězcové
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute1	Řetězcové
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute2	Řetězcové
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute3	Řetězcové
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute4	Řetězcové
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute5	Řetězcové
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute6	Řetězcové
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute7	Řetězcové
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute8	Řetězcové
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute9	Řetězcové
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute10	Řetězcové
    sendMail	Řetězcové
    mailVerified	Řetězcové

17. Pokud chcete nakonfigurovat filtry rozsahu, postupujte podle pokynů uvedených v kurzu k filtrům rozsahu.

18. Pokud chcete povolit službu zřizování Microsoft Entra pro SAP Cloud Identity Services, změňte stav zřizování na Zapnuto v části Nastavení .

    

19. Jako hodnotu Rozsah v části Nastavení vyberte Synchronizovat pouze přiřazené uživatele a skupiny.

    

20. Až budete připravení zřídit, klikněte na Uložit.

    

Tato operace spustí počáteční synchronizaci všech uživatelů definovaných v oboru v části Nastavení . Pokud máte obor nastavený na Synchronizovat pouze přiřazené uživatele a skupiny a k aplikaci nejsou přiřazeni žádní uživatelé nebo skupiny, nedojde k žádné synchronizaci, dokud nebudou uživatelé přiřazeni k aplikaci.

Zřízení nového testovacího uživatele z Microsoft Entra ID pro SAP Cloud Identity Services

Doporučuje se, aby se k SAP Cloud Identity Services přiřadil jeden nový testovací uživatel Microsoft Entra, který otestuje konfiguraci automatického zřizování uživatelů.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací a správce uživatelů.
2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
3. Vyberte Nový uživatel>Vytvořit nového uživatele.
4. Zadejte hlavní název uživatele a zobrazovaný název nového testovacího uživatele. Hlavní název uživatele musí být jedinečný a nesmí se shodovat s žádným aktuálním nebo předchozím uživatelem Microsoft Entra nebo uživatelem SAP Cloud Identity Services. Vyberte Zkontrolovat a vytvořit a potom Vytvořit.
5. Po vytvoření testovacího uživatele přejděte k podnikovým aplikacím identit.>>
6. Vyberte aplikaci SAP Cloud Identity Services.
7. Vyberte Uživatelé a skupiny a pak vyberte Přidat uživatele nebo skupinu.
8. V části Uživatelé a skupiny vyberte Možnost Žádná vybrána a do textového pole zadejte hlavní název uživatele testovacího uživatele.
9. Vyberte Možnost Vybrat a pak Přiřadit.
10. Vyberte Zřizování a pak vyberte Zřídit na vyžádání.
11. Do textového pole Vybrat uživatele nebo skupinu zadejte hlavní název uživatele testovacího uživatele.
12. Klikněte na Zřídit.
13. Počkejte na dokončení zřizování. V případě úspěchu se zobrazí zpráva Modified attributes (successful).

Volitelně můžete také ověřit, co služba zřizování Microsoft Entra zřídí, když uživatel přestane mít obor aplikace.

1. Vyberte Uživatelé a skupiny.
2. Vyberte testovacího uživatele a pak vyberte Odebrat.
3. Po odebrání testovacího uživatele vyberte Zřizování a pak vyberte Zřídit na vyžádání.
4. Do textového pole Vybrat uživatele nebo skupinu zadejte hlavní název uživatele testovacího uživatele, který je právě de-přiřazen.
5. Klikněte na Zřídit.
6. Počkejte na dokončení zřizování.

Nakonec můžete testovacího uživatele odebrat z ID Microsoft Entra.

1. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
2. Vyberte testovacího uživatele, vyberte Odstranit a vyberte OK. Tato akce soft-deletes the test user from Microsoft Entra ID.

Testovacího uživatele můžete také odebrat ze služby SAP Cloud Identity Services.

Ujistěte se, že stávající uživatelé sap Cloud Identity Services mají potřebné odpovídající atributy.

Před přiřazením netestovacích uživatelů k aplikaci SAP Cloud Identity Services v Microsoft Entra ID byste měli zajistit, aby všichni uživatelé již ve službách SAP Cloud Identity Services, kteří představují stejné osoby jako uživatelé v Microsoft Entra ID, měly atributy mapování vyplněné ve službách SAP Cloud Identity.

V mapování zřizování se atributy vybrané jako odpovídající vlastnosti používají ke shodě uživatelských účtů v MICROSOFT Entra ID s uživatelskými účty ve službě SAP Cloud Identity Services. Pokud je v MICROSOFT Entra ID uživatele bez shody ve službě SAP Cloud Identity Services, pokusí se služba microsoft Entra provisioning vytvořit nového uživatele. Pokud je uživatel v Microsoft Entra ID a shoda ve službě SAP Cloud Identity Services, služba zřizování Microsoft Entra aktualizuje uživatele SAP Cloud Identity Services. Z tohoto důvodu byste měli zajistit, aby všichni uživatelé, kteří už ve službě SAP Cloud Identity Services mají atributy vybrané jako odpovídající vlastnosti, jinak je možné vytvořit duplicitní uživatele. Pokud potřebujete změnit odpovídající atribut v mapování atributů aplikace Microsoft Entra, podívejte se na odpovídající uživatele ve zdrojových a cílových systémech.

1. Přihlaste se ke konzole https://<tenantID>.accounts.ondemand.com/admin pro správu SAP Cloud Identity Services nebo https://<tenantID>.trial-accounts.ondemand.com/admin k zkušební verzi.

2. Přejděte na Uživatele a autorizace > Exportovat uživatele.

3. Vyberte všechny atributy požadované pro odpovídající uživatele Microsoft Entra s uživateli v SAP. Tyto atributy zahrnují SCIM IDatributy , , userNameemailsa další atributy, které můžete používat ve svých systémech SAP jako identifikátory.

4. Vyberte Exportovat a počkejte, až prohlížeč stáhne soubor CSV.

5. Otevřete okno PowerShellu.

6. Do editoru zadejte následující skript. Pokud jste na řádku vybrali jiný odpovídající atribut než userName, změňte hodnotu sapScimUserNameField proměnné na název atributu SAP Cloud Identity Services. Na řádku 2 změňte argument na název souboru CSV exportovaného souboru z Users-exported-from-sap.csv názvu staženého souboru.

   $sapScimUserNameField = "userName"
   $existingSapUsers = import-csv -Path ".\Users-exported-from-sap.csv" -Encoding UTF8
   $count = 0
   $warn = 0
   foreach ($u in $existingSapUsers) {
    $id = $u.id
    if (($null -eq $id) -or ($id.length -eq 0)) {
        write-error "Exported CSV file does not contain the id attribute of SAP Cloud Identity Services users."
        throw "id attribute not available, re-export"
        return
    }
    $count++
    $userName = $u.$sapScimUserNameField
    if (($null -eq $userName) -or ($userName.length -eq 0)) {
        write-warning "SAP Cloud Identity Services user $id does not have a $sapScimUserNameField attribute populated"
        $warn++
    }
   }
   write-output "$warn of $count users in SAP Cloud Identity Services did not have the $sapScimUserNameFIeld attribute populated."
   

7. Spusťte skript. Po dokončení skriptu, pokud jeden nebo více uživatelů nemělo požadovaný odpovídající atribut, vyhledejte tyto uživatele v exportovaném souboru CSV nebo v konzole pro správu SAP Cloud Identity Services. Pokud se tito uživatelé nacházejí také v Microsoft Entra, budete muset nejprve aktualizovat reprezentaci služeb SAP Cloud Identity Services těchto uživatelů tak, aby měly vyplněný odpovídající atribut.

8. Jakmile aktualizujete atributy těchto uživatelů ve službě SAP Cloud Identity Services, znovu vyexportujte uživatele ze služby SAP Cloud Identity Services, jak je popsáno v krocích 2–5, a kroky PowerShellu v této části, abyste potvrdili, že žádní uživatelé ve službě SAP Cloud Identity Services nemají odpovídající atributy, které by zabránily zřizování těchto uživatelů.

Teď, když máte seznam všech uživatelů získaných ze služby SAP Cloud Identity Services, budete odpovídat těmto uživatelům z úložiště dat aplikace s uživateli, kteří už jsou v Microsoft Entra ID, a určit, kteří uživatelé by měli být v oboru zřizování.

Načtení ID uživatelů v Microsoft Entra ID

Tato část ukazuje, jak pracovat s ID Microsoft Entra pomocí rutin Prostředí Microsoft Graph PowerShell .

Při prvním použití těchto rutin pro tento scénář musíte být v roli globálního správce, abyste povolili použití Prostředí Microsoft Graph PowerShell ve vašem tenantovi. Následné interakce můžou používat roli s nižšími oprávněními, například:

• Pokud očekáváte vytváření nových uživatelů, správce uživatelů.
• Pokud jenom spravujete přiřazení rolí aplikací, správce aplikací nebo správce zásad správného řízení identit

1. Otevřete PowerShell.

2. Pokud ještě nemáte nainstalované moduly Microsoft Graph PowerShellu, nainstalujte modul Microsoft.Graph.Users a další pomocí tohoto příkazu:

   Install-Module Microsoft.Graph
   

   Pokud už máte nainstalované moduly, ujistěte se, že používáte nejnovější verzi:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Připojte se k Microsoft Entra ID:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Pokud jste tento příkaz použili poprvé, možná budete muset udělit souhlas s povolením, aby tyto oprávnění měly nástroje příkazového řádku Microsoft Graphu.

5. Přečtěte si seznam uživatelů získaných z úložiště dat aplikace do relace PowerShellu. Pokud byl seznam uživatelů v souboru CSV, můžete použít rutinu Import-Csv PowerShellu a jako argument zadat název souboru z předchozí části.

   Pokud je například soubor získaný ze služby SAP Cloud Identity Services pojmenovaný Users-exported-from-sap.csv a nachází se v aktuálním adresáři, zadejte tento příkaz.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   Pokud používáte databázi nebo adresář, použijte jiný příklad, pokud se soubor jmenuje users.csv a nachází se v aktuálním adresáři, zadejte tento příkaz:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Zvolte sloupec souboru users.csv , který bude odpovídat atributu uživatele v Microsoft Entra ID.

   Pokud používáte SAP Cloud Identity Services, výchozí mapování je atribut userName SAP SCIM s atributem userPrincipalNameMicrosoft Entra ID:

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   Jiný příklad, pokud používáte databázi nebo adresář, můžete mít uživatele v databázi, kde hodnota ve sloupci s názvem EMail je stejná hodnota jako v atributu userPrincipalNameMicrosoft Entra:

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Načtěte ID těchto uživatelů v Microsoft Entra ID.

   Následující skript PowerShellu $dbuserspoužívá hodnotu , $db_match_column_namea $azuread_match_attr_name hodnoty zadané dříve. Bude dotazovat Microsoft Entra ID najít uživatele, který má atribut s odpovídající hodnotou pro každý záznam ve zdrojovém souboru. Pokud soubor získaný ze zdrojové služby SAP Cloud Identity Services, databáze nebo adresáře obsahuje mnoho uživatelů, může dokončení tohoto skriptu trvat několik minut. Pokud nemáte atribut v MICROSOFT Entra ID, který má hodnotu, a potřebujete použít contains nebo jiný filtr výraz, budete muset přizpůsobit tento skript a v kroku 11 níže použít jiný výraz filtru.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Prohlédněte si výsledky předchozích dotazů. Podívejte se, jestli se některým uživatelům ve službě SAP Cloud Identity Services, databázi nebo adresáři nepodařilo najít v MICROSOFT Entra ID kvůli chybám nebo chybějícím shodám.

   Následující skript PowerShellu zobrazí počty záznamů, které nebyly nalezeny:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Po dokončení skriptu se zobrazí chyba, pokud se některé záznamy ze zdroje dat nenachází v ID Microsoft Entra. Pokud nejsou všechny záznamy pro uživatele z úložiště dat aplikace umístěné jako uživatelé v Microsoft Entra ID, budete muset zjistit, které záznamy se neshodovaly a proč.

   Například e-mailová adresa a userPrincipalName můžou být změněny v MICROSOFT Entra ID bez aktualizace odpovídající mail vlastnosti ve zdroji dat aplikace. Nebo uživatel už možná organizaci opustil, ale stále je ve zdroji dat aplikace. Nebo může existovat účet dodavatele nebo supersprávce ve zdroji dat aplikace, který neodpovídá žádné konkrétní osobě v Microsoft Entra ID.

10. Pokud byli uživatelé, kteří nemohli být umístěni v Microsoft Entra ID nebo nebyli aktivní a nemohli se přihlásit, ale chcete, aby byl jejich přístup zkontrolován nebo jejich atributy aktualizovány ve službě SAP Cloud Identity Services, databázi nebo adresáři, budete muset aktualizovat aplikaci, odpovídající pravidlo nebo aktualizovat nebo pro ně vytvořit uživatele Microsoft Entra. Další informace o tom, kterou změnu provést, naleznete v tématu správa mapování a uživatelských účtů v aplikacích, které se neshodovaly s uživateli v Microsoft Entra ID.

    Pokud zvolíte možnost vytváření uživatelů v Microsoft Entra ID, můžete uživatele vytvářet hromadně pomocí těchto možností:

    • Soubor CSV, jak je popsáno v hromadném vytváření uživatelů v Centru pro správu Microsoft Entra
    • Rutina New-MgUser

    Ujistěte se, že jsou tito noví uživatelé naplněni atributy vyžadovanými pro Microsoft Entra ID, aby se později shodovaly se stávajícími uživateli v aplikaci, a atributy vyžadované ID Microsoft Entra, včetně userPrincipalNamemailNickname a displayName. Musí userPrincipalName být jedinečný mezi všemi uživateli v adresáři.

    Můžete mít například uživatele v databázi, kde hodnota ve sloupci s názvem EMail je hodnota, kterou chcete použít jako hlavní název uživatele Microsoft Entra, hodnota ve sloupci Alias obsahuje přezdívku e-mailu Microsoft Entra ID a hodnota ve sloupci Full name obsahuje zobrazované jméno uživatele:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Tento skript pak můžete použít k vytvoření uživatelů Microsoft Entra pro uživatele ve službách SAP Cloud Identity Services, databázi nebo adresáři, které se neshodovaly s uživateli v Microsoft Entra ID. Všimněte si, že možná budete muset tento skript upravit tak, aby přidal další atributy Microsoft Entra potřebné ve vaší organizaci, nebo pokud $azuread_match_attr_name není mailNickname ani userPrincipalName, za účelem poskytnutí tohoto atributu Microsoft Entra.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Po přidání všech chybějících uživatelů do Microsoft Entra ID spusťte skript z kroku 7 znovu. Pak spusťte skript z kroku 8. Zkontrolujte, jestli nejsou hlášeny žádné chyby.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Ujistěte se, že stávající uživatelé Microsoft Entra mají potřebné atributy.

Před povolením automatického zřizování uživatelů musíte rozhodnout, kteří uživatelé v Microsoft Entra ID potřebují přístup ke službám SAP Cloud Identity Services, a pak je potřeba zkontrolovat, aby tito uživatelé měli potřebné atributy v Microsoft Entra ID a tyto atributy jsou namapované na očekávané schéma služby SAP Cloud Identity Services.

• Ve výchozím nastavení je hodnota atributu uživatele userPrincipalName Microsoft Entra mapována na userName atributy SAP Cloud Identity Services i emails[type eq "work"].value na atributy. Pokud se e-mailové adresy uživatele liší od hlavních názvů uživatelů, budete možná muset toto mapování změnit.
• SAP Cloud Identity Services může ignorovat hodnoty atributu postalCode , pokud formát PSČ společnosti neodpovídá zemi společnosti.
• Ve výchozím nastavení je atribut department Microsoft Entra mapován na atribut SAP Cloud Identity Services urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department . Pokud uživatelé Microsoft Entra mají hodnoty atributu department , musí tyto hodnoty odpovídat už nakonfigurovaným oddělením ve službě SAP Cloud Identity Services, jinak vytvoření nebo aktualizace uživatele selže. department Pokud hodnoty ve vašich uživatelích Microsoft Entra nejsou konzistentní s hodnotami ve vašem prostředí SAP, před přiřazením uživatelů odeberte mapování.
• Koncový bod SCIM služby SAP Cloud Identity Services vyžaduje, aby byly určité atributy specifického formátu. Další informace o těchto atributech a jejich konkrétním formátu najdete tady.

Přiřazení uživatelů k aplikaci SAP Cloud Identity Services v Microsoft Entra ID

Id Microsoft Entra používá koncept označovaný jako přiřazení k určení, kteří uživatelé by měli přijímat přístup k vybraným aplikacím. Pokud je hodnota Nastavení oboru v kontextu automatického zřizování uživatelů přiřazená pouze uživatelům a skupinám, pak se synchronizují pouze uživatelé a skupiny přiřazené k roli aplikace této aplikace v Microsoft Entra ID se synchronizují se službou SAP Cloud Identity Services. Při přiřazování uživatele ke službě SAP Cloud Identity Services musíte v dialogovém okně přiřazení vybrat libovolnou platnou roli specifickou pro aplikaci (pokud je k dispozici). Uživatelé s výchozí rolí přístupu jsou vyloučeni ze zřizování. V současné době je jedinou dostupnou rolí pro SAP Cloud Identity Services uživatel.

Pokud už je pro aplikaci povolené zřizování, zkontrolujte, jestli není zřizování aplikace v karanténě , a teprve potom aplikaci přiřaďte více uživatelů. Než budete pokračovat, vyřešte všechny problémy, které způsobují karanténu.

Zkontrolujte uživatele, kteří jsou přítomni ve službě SAP Cloud Identity Services a nejsou k aplikaci přiřazeni v Microsoft Entra ID.

Předchozí kroky vyhodnotily, jestli uživatelé ve službě SAP Cloud Identity Services existují také jako uživatelé v Microsoft Entra ID. Nemusí se ale všechny v současné době přiřazovat k rolím aplikace v MICROSOFT Entra ID. V dalších krocích se tedy dozvíte, kteří uživatelé nemají přiřazení k rolím aplikace.

1. Pomocí PowerShellu vyhledejte ID instančního objektu pro instanční objekt aplikace.

   Pokud je například podniková aplikace pojmenovaná SAP Cloud Identity Services, zadejte následující příkazy:

   $azuread_app_name = "SAP Cloud Identity Services"
   $azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'"
   $azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All
   

2. Načtěte uživatele, kteří mají aktuálně přiřazení k aplikaci v Microsoft Entra ID.

   To vychází z $azuread_sp proměnné nastavené v předchozím příkazu.

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

3. Porovnejte seznam ID uživatelů, kteří už jsou v SAP Cloud Identity Services a Microsoft Entra ID, s těmito uživateli, kteří jsou aktuálně přiřazeni k aplikaci v Microsoft Entra ID. Tento skript vychází z $azuread_match_id_list proměnné nastavené v předchozích částech:

   $azuread_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_not_in_role_list += $id }
   }
   $azuread_not_in_role_count = $azuread_not_in_role_list.Count
   Write-Output "$azuread_not_in_role_count users in the application's data store are not assigned to the application roles."
   

   Pokud k rolím aplikace nejsou přiřazeni nula uživatelů, což znamená, že všichni uživatelé jsou přiřazeni k aplikačním rolím, znamená to, že v microsoft Entra ID a službě SAP Cloud Identity Services nebyly společné žádné uživatele, takže nejsou potřeba žádné změny. Pokud ale některé uživatele, kteří už ve službě SAP Cloud Identity Services nejsou přiřazeni k rolím aplikace, budete muset pokračovat v postupu a přidat je do jedné z rolí aplikace.

4. User Vyberte roli instančního objektu aplikace.

   $azuread_app_role_name = "User"
   $azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq "User"}).Id
   if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}
   

5. Vytvořte přiřazení rolí aplikací pro uživatele, kteří už jsou přítomni ve službách SAP Cloud Identity Services a Microsoft Entra, a v současné době nemají přiřazení rolí k aplikaci:

   foreach ($u in $azuread_not_in_role_list) {
      $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id
   }
   

6. Počkejte jednu minutu, než se změny rozšíří v rámci ID Microsoft Entra.

7. V dalším cyklu zřizování Microsoft Entra bude služba zřizování Microsoft Entra porovnávat reprezentaci těchto uživatelů přiřazených k aplikaci s reprezentací ve službě SAP Cloud Identity Services a aktualizovat uživatele SAP Cloud Identity Services tak, aby měli atributy z Microsoft Entra ID.

Přiřazení zbývajících uživatelů a monitorování počáteční synchronizace

Po dokončení testování se uživateli úspěšně zřídí služba SAP Cloud Identity Services a všem stávajícím uživatelům SAP Cloud Identity Services se přiřadí role aplikace, můžete k aplikaci SAP Cloud Identity Services přiřadit další autorizované uživatele pomocí jednoho z těchto pokynů:

• Každý jednotlivý uživatel můžete k aplikaci přiřadit v Centru pro správu Microsoft Entra.
• Jednotlivé uživatele můžete k aplikaci přiřadit pomocí rutiny New-MgServicePrincipalAppRoleAssignedTo PowerShellu, jak je znázorněno v předchozí části, nebo
• Pokud má vaše organizace licenci pro zásady správného řízení Microsoft Entra ID, můžete také nasadit zásady správy nároků pro automatizaci přiřazení přístupu.

Jakmile jsou uživatelé přiřazeni k roli aplikace a jsou v rozsahu pro zřizování, pak je služba zřizování Microsoft Entra zřídí pro SAP Cloud Identity Services. Mějte na paměti, že provedení počáteční synchronizace trvá déle než následné synchronizace, ke kterým dochází přibližně každých 40 minut, pokud je spuštěná služba zřizování Microsoft Entra.

Pokud nevidíte zřizování uživatelů, projděte si postup v průvodci odstraňováním potíží a nezřizují se žádní uživatelé. Pak zkontrolujte protokol zřizování prostřednictvím Centra pro správu Microsoft Entra nebo rozhraní Graph API. Vyfiltrujte protokol na stav Selhání. Pokud dojde k selháním s kódem ErrorCode duPlicTargetEntries, znamená to nejednoznačnost pravidel porovnávání zřizování a budete muset aktualizovat uživatele Microsoft Entra nebo mapování, která se používají pro porovnávání, aby každý uživatel Microsoft Entra odpovídal jednomu uživateli aplikace. Potom vyfiltrujte protokol na akci Vytvořit a stav Vynecháno. Pokud byli uživatelé přeskočeni s kódem SkipReason NotEffectivelyEntitled, může to znamenat, že uživatelské účty v Microsoft Entra ID nebyly spárovány, protože stav uživatelského účtu byl zakázán.

Konfigurace jednotného přihlašování

Můžete se také rozhodnout povolit jednotné přihlašování založené na SAML pro služby SAP Cloud Identity Services podle pokynů uvedených v kurzu jednotného přihlašování ke službě SAP Cloud Identity Services. Jednotné přihlašování je možné nakonfigurovat nezávisle na automatickém zřizování uživatelů, i když se tyto dvě funkce vzájemně doplňují.

Monitorování zřizování

Pomocí části Podrobnosti synchronizace můžete sledovat průběh a sledovat odkazy na sestavu aktivit zřizování, která popisuje všechny akce prováděné službou zřizování Microsoft Entra ve službách SAP Cloud Identity Services. Projekt zřizování můžete také monitorovat prostřednictvím rozhraní Microsoft Graph API.

Další informace o tom, jak číst protokoly zřizování Microsoft Entra, najdete v tématu Vytváření sestav o automatickém zřizování uživatelských účtů.

Údržba přiřazení rolí aplikace

Když se uživatelé, kteří jsou přiřazeni k aplikaci, aktualizují v Microsoft Entra ID, tyto změny se automaticky zřídí pro SAP Cloud Identity Services.

Pokud máte zásady správného řízení MICROSOFT Entra ID, můžete automatizovat změny přiřazení rolí aplikace pro SAP Cloud Identity Services v Microsoft Entra ID, přidávat nebo odebírat přiřazení, když se lidé připojí k organizaci, nebo odejít nebo změnit role.

• Můžete provést jednorázovou nebo opakovanou kontrolu přístupu přiřazení rolí aplikace.
• Pro tuto aplikaci můžete vytvořit přístupový balíček pro správu nároků. Můžete mít zásady pro uživatele, kteří mají mít přiřazený přístup, a to buď v případě, že o to správce požádá, automaticky na základě pravidel nebo prostřednictvím pracovních postupů životního cyklu.

Další materiály

• Správa zřizování uživatelských účtů pro podnikové aplikace
• Co je přístup k aplikacím a jednotné přihlašování pomocí Microsoft Entra ID?
• Správa přístupu k aplikacím SAP
• Řízení přístupu pro aplikace ve vašem prostředí

Další kroky

• Zjistěte, jak procházet protokoly a získat sestavy aktivit zřizování.