Configurer Microsoft Entra pour approvisionner des utilisateurs dans SAP ECC avec NetWeaver AS ABAP 7.0 ou une version ultérieure
La documentation suivante fournit des informations sur la configuration et des tutoriels montrant comment approvisionner des utilisateurs depuis Microsoft Entra dans SAP ERP Central Component (SAP ECC, anciennement SAP R/3) avec NetWeaver 7.0 ou une version ultérieure. Si vous utilisez d'autres versions de SAP R/3, vous pouvez toujours utiliser les guides fournis dans le téléchargement des connecteurs de Microsoft Identity Manager 2016 comme référence pour créer votre propre modèle de provisionnement. Si vous utilisez SAP S/4HANA ou d’autres applications, suivez le tutoriel pour configurer SAP Cloud Identity Services pour l’approvisionnement automatique des utilisateurs à la place. Pour obtenir plus d’informations sur les intégrations SAP, consultez l’article Gérer l’accès à vos applications SAP.
La vidéo suivante fournit une vue d’ensemble du provisionnement local.
Fonctionnalités prises en charge
- Créez des utilisateurs dans SAP ECC.
- Supprimez des utilisateurs dans SAP ECC quand ils n’ont plus besoin d’accès.
- Gardez les attributs utilisateur synchronisés entre Microsoft Entra ID et SAP ECC.
Hors propos
- Les autres types d’objets, notamment les groupes d’activités locaux, les rôles et les profils, ne sont pas pris en charge. Utilisez Microsoft Identity Manager si ces objets sont requis.
- Les opérations de mots de passe ne sont pas prises en charge. Utilisez Microsoft Identity Manager si la gestion des mots de passe est requise.
Conditions préalables au provisionnement vers SAP ECC avec NetWeaver AS ABAP 7.51
Conditions préalables locales
L’ordinateur qui exécute l’agent de provisionnement doit avoir :
- Au moins 3 Go de RAM.
- Windows Server 2016 ou une version ultérieure de Windows Server.
- Connectivité à un système avec SAP ECC NetWeaver AS ABAP 7.51
- Connectivité sortante à login.microsoftonline.com, à d’autres Microsoft Online Services et aux domaines Azure. Par exemple, une machine virtuelle Windows Server 2016 hébergée dans Azure IaaS ou derrière un proxy.
- .NET Framework 4.7.2
Conditions préalables requises du cloud
Un locataire Microsoft Entra avec Microsoft Entra ID P1 ou Premium P2 (ou EMS E3 ou E5).
L’utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.
Rôle Administrateur d’identité hybride pour la configuration de l’agent de provisionnement et des rôles Administrateur d’application ou Administrateur d’application cloud pour la configuration de l’approvisionnement dans le centre d’administration Microsoft Entra.
Les utilisateurs Microsoft Entra à approvisionner sur SAP ECC doivent déjà être renseignés avec tous les attributs requis par SAP ECC.
1. Installer et configurer l’agent d’approvisionnement Microsoft Entra Connect
Si vous avez déjà téléchargé l’agent de provisionnement et que vous l’avez configuré pour une autre application locale, passez directement à la section suivante.
- Connectez-vous au centre d’administration Microsoft Entra.
- Accédez à Applications d’entreprise et sélectionnez Nouvelle application.
- Recherchez l’Application ECMA locale, donnez un nom à l’application, puis sélectionnez Créer pour l’ajouter à votre locataire.
- Dans le menu, accédez à la page Provisionnement de votre application.
- Sélectionnez Prise en main.
- Dans la page Provisioning, définissez le mode sur Automatic.
Sous Connectivité locale, sélectionnez Télécharger et installer, puis sélectionnez Accepter les conditions générales et télécharger.
Quittez le portail et exécutez le programme d’installation de l’agent d’approvisionnement, acceptez les conditions d’utilisation du service, puis sélectionnez Installer.
Attendez que l’Assistant Configuration de l’agent d’approvisionnement Microsoft Entra s’affiche, puis sélectionnez Suivant.
À l’étape Sélectionner une extension, sélectionnez Provisionnement d’application local, puis Suivant.
L’agent de provisionnement utilisera le navigateur web du système d’exploitation pour afficher une fenêtre contextuelle qui vous permettra de vous authentifier dans Microsoft Entra et éventuellement aussi auprès du fournisseur d’identité de votre organisation. Si vous utilisez Internet Explorer comme navigateur sur Windows Server, vous devrez peut-être ajouter les sites web Microsoft à la liste des sites approuvés de votre navigateur pour permettre à JavaScript de s’exécuter correctement.
Communiquez les informations d’identification relatives à un administrateur Microsoft Entra lorsque vous êtes invité à donner votre autorisation. L’utilisateur doit avoir au moins le rôle Administrateur d’identité hybride.
Sélectionnez Confirmer pour confirmer le paramètre. Une fois l’installation réussie, vous pouvez sélectionner Quitter, puis fermer le programme d’installation du Package de l’agent de provisionnement.
2. Exposer les API SAP nécessaires
Exposez les API nécessaires dans SAP ECC NetWeaver 7.51 pour créer, mettre à jour et supprimer des utilisateurs. Le document Déployer SAP NetWeaver AS ABAP 7.51 explique comment exposer les API nécessaires.
3. Créez un modèle de connecteur de services web
Si vous ne migrez pas à partir d’un connecteur de services web existant dans Microsoft Identity Manager (MIM), vous devez générer un modèle de connecteur de services web pour l’hôte ECMA. Si vous disposez déjà d’un modèle de connecteur de services web dans Microsoft Identity Manager, passez à la section suivante.
Vous pouvez utiliser le modèle de connecteur de service web SAP ECC 7.51 pour créer le document ECMA2Host comme référence pour générer votre modèle. Le guide Connecteurs pour Microsoft Identity Manager 2016 offre également un modèle sapecc.wsconfig
comme référence. Avant de déployer en production, vous devez personnaliser le modèle pour répondre aux besoins de votre environnement spécifique. Vérifiez que ServiceName, EndpointName et OperationName sont corrects.
4. Configurer l’application ECMA locale
Dans le portail, dans la section Connectivité locale, sélectionnez l’agent que vous venez de déployer, puis Attribuer les agents.
Gardez cette fenêtre de navigateur ouverte, car vous effectuez l’étape suivante de la configuration à l’aide de l’assistant Configuration.
5. Configurer le certificat de l’hôte de connecteur ECMA Microsoft Entra
Sur la machine Windows Server où l’agent de provisionnement est installé, cliquez avec le bouton droit sur Assistant Configuration de Microsoft ECMA2Host dans le menu Démarrer, puis exécutez-le en tant qu’administrateur. L’exécution en tant qu’administrateur Windows est obligatoire pour que l’Assistant puisse créer les journaux d’événements Windows nécessaires.
Lorsque la configuration de l’Hôte de connecteurs ECMA commence, si c’est la première fois que vous exécutez l’Assistant, vous êtes invité à créer un certificat. Laissez le port par défaut 8585 et sélectionnez Générer un certificat pour générer un certificat. Le certificat généré automatiquement est auto-signé dans le cadre de la racine de confiance. Le SAN du certificat correspond au nom d’hôte.
Sélectionnez Enregistrer.
6. Configurer le connecteur de services web générique
Dans cette section, vous créez la configuration du connecteur pour SAP ECC.
La configuration de la connexion à SAP ECC est effectuée à l’aide d’un Assistant. Selon les options que vous sélectionnez, certains écrans de l’Assistant peuvent ne pas être disponibles et les informations peuvent être légèrement différentes. Utilisez les informations ci-dessous pour vous guider dans votre configuration.
6.1 Connecter l’agent d’approvisionnement à SAP ECC
Pour connecter l’agent d’approvisionnement Microsoft Entra à SAP ECC, procédez comme suit :
Copiez votre fichier
sapecc.wsconfig
de modèle de connecteur de service web dans le dossierC:\Program Files\Microsoft ECMA2Host\Service\ECMA
.Générez un jeton secret qui sera utilisé pour l’authentification de Microsoft Entra ID auprès du connecteur. Le jeton doit contenir au minimum 12 caractères et être unique pour chaque application.
Si vous ne l’avez pas déjà fait, lancez l’Assistant Configuration de Microsoft ECMA2Host à partir du menu Démarrer de Windows.
Sélectionnez Nouveau connecteur.
Dans la page Properties, renseignez les zones avec les valeurs spécifiées dans le tableau qui suit l’image, puis sélectionnez Next.
Propriété Valeur Nom Nom que vous avez choisi pour le connecteur, qui doit être unique sur tous les connecteurs de votre environnement. Par exemple, si vous n’avez qu’une seule instance SAP, SAPECC7
.Minuteur de synchronisation automatique (minutes) 120 Jeton secret Entrez le jeton secret que vous avez généré pour ce connecteur. La clé doit comporter 12 caractères au minimum. Extension DLL Pour le connecteur de services web, sélectionnez Microsoft.IdentityManagement.MA.WebServices.dll. Dans la page Connectivity, renseignez les zones avec les valeurs spécifiées dans le tableau qui suit l’image, puis sélectionnez Next.
Propriété Description Projet de service Web Nom de votre modèle SAP ECC, sapecc
.Hôte Nom d’hôte de point de terminaison SOAP SAP ECC, par exemple vhcalnplci.dummy.nodomain
Port Port de point de terminaison SOAP SAP ECC, par exemple 8000
Dans la page Fonctionnalités, renseignez les zones avec les valeurs spécifiées dans le tableau ci-dessous, puis sélectionnez Next.
Propriété Valeur Style de nom unique Générique Type d’exportation ObjectReplace Normalisation des données Aucun Confirmation d’objet Normal Activer l’importation Activée Activation de l’importation d’écart Désactivé Activer l’exportation Activée Activer l’exportation complète Désactivé Activer l’exportation de mot de passe lors d’un premier passage Activée Aucune valeur de référence dans le premier transfert d’exportation Désactivé Activer renommer l’objet Désactivé Supprimer-Ajouter en remplacement Désactivé
Remarque
Si votre modèle de connecteur de services web sapecc.wsconfig
est ouvert pour modification dans l’outil de configuration du service web, vous obtenez une erreur.
Dans la page Global, renseignez les zones avec les valeurs spécifiées dans le tableau qui suit l’image, puis sélectionnez Next.
Propriété Valeur ClientCredentialType Basic Nom d'utilisateur Le nom d’utilisateur d’un compte avec les droits permettant d’appeler des BAPI utilisées dans un modèle SAP ECC. Mot de passe Mot de passe du nom d’utilisateur fourni. Tester la connexion Désactivé, si vous n’avez pas de flux de travail de connexion de test implémenté dans votre modèle Dans la page Partitions, sélectionnez Next.
Dans la page Run Profiles, laissez la case Export cochée. Cochez la case Full import et sélectionnez Next. Vous utilisez le profil d’exécution Exportation quand l’hôte du connecteur ECMA doit envoyer des modifications de Microsoft Entra ID vers SAP ECC pour insérer, mettre à jour et supprimer des enregistrements. Le profil d’exécution Importation complète est utilisé lors du démarrage du service d’hôte du connecteur ECMA pour lire le contenu actuel de SAP ECC.
Propriété Valeur Exporter Profil d’exécution qui exportera les données vers l’instance SAP ECC. Ce profil d’exécution est obligatoire. Importation intégrale Profil d’exécution qui importera toutes les données de l’instance SAP ECC spécifiée précédemment. Importation différentielle Profil d’exécution qui importera uniquement les modifications apportées de l’instance SAP ECC depuis la dernière importation complète ou différentielle. Dans la page Object Types, renseignez les zones et sélectionnez Next. Utilisez le tableau qui suit l’image pour obtenir des conseils concernant les différentes zones à renseigner.
Ancre : La valeur de cet attribut doit être unique pour chaque objet de la base de données cible. Le service d’approvisionnement Microsoft Entra va interroger l’hôte du connecteur ECMA à l’aide de cet attribut après le cycle initial. Cette valeur est définie dans le modèle de connecteur de services web.
DN : l’option de génération automatique doit être sélectionnée dans la plupart des cas. Si elle ne l’est pas, vérifiez que l’attribut DN est mappé à un attribut dans Microsoft Entra ID qui stocke le DN au format suivant :
CN = anchorValue, Object = objectType
. Pour plus d’informations sur les ancres et le DN, consultez À propos des attributs d’ancre et des noms uniques.Propriété Valeur Objet cible User
Ancre userName
DN userName
Généré automatiquement Activée
L’hôte du connecteur ECMA découvre les attributs pris en charge par SAP ECC. Parmi eux, vous pouvez choisir ceux que vous souhaitez exposer à Microsoft Entra ID. Ces attributs peuvent ensuite être configurés dans le centre d’administration Microsoft Entra pour l’approvisionnement. Dans la page Sélectionner des attributs, ajoutez tous les attributs dans la liste déroulante, un à la fois. La liste déroulante Attribut affiche tout attribut qui a été découvert dans SAP ECC et qui n’a pas été choisi dans la page Sélectionner les attributs précédente. Une fois tous les attributs pertinents ajoutés, sélectionnez Suivant.
Dans la page Deprovisioning, sous Disable flow, sélectionnez Delete. Les attributs sélectionnés sur la page précédente ne pourront pas être sélectionnés sur la page Suppression les privilèges d’accès. Sélectionnez Terminer.
Remarque
Si vous utilisez Définir la valeur de l’attribut, sachez que seules les valeurs booléennes sont autorisées.
Dans la page Déprovisionner, sous Désactiver le flux, sélectionnez Aucun. Vous allez contrôler l’état de compte d’utilisateur avec la propriété expirationTime. Sous Supprimer le flux, sélectionnez Aucun si vous ne souhaitez pas supprimer les utilisateurs SAP ou Supprimer si vous le faites. Sélectionnez Terminer.
7. Vérifier que le service ECMA2Host est en cours d’exécution
Sur le serveur sur lequel s’exécute l’hôte du connecteur ECMA Microsoft Entra, sélectionnez Démarrer.
Entrez run et tapez services.msc dans la zone.
Dans la liste Services, vérifiez que Microsoft ECMA2Host est présent et en cours d’exécution. Si ce n’est pas le cas, sélectionnez Démarrer.
Si vous avez démarré le service récemment et que vous avez de nombreux objets utilisateur dans SAP ECC, patientez quelques minutes le temps que le connecteur établisse une connexion avec SAP ECC.
8. Configurer la connexion d’application dans le centre d’administration Microsoft Entra
Revenez à la fenêtre du navigateur web dans laquelle vous configurez l’approvisionnement d’applications.
Remarque
Si la fenêtre avait expiré, vous devrez sélectionner l’agent à nouveau.
- Connectez-vous au centre d’administration Microsoft Entra.
- Accédez à Applications d’entreprise, puis à l’application On-premises ECMA app.
- Sélectionnez Provisionnement.
- Si Démarrer s’affiche, remplacez le mode par Automatique, dans la section Connectivité locale, sélectionnez l’agent que vous avez déployé, puis Attribuer des agents. Sinon, accédez à Modifier l’approvisionnement.
Dans la section Informations d’identification de l’administrateur, entrez l’URL suivante. Remplacez la partie
{connectorName}
par le nom du connecteur sur l’hôte de connecteurs ECMA, comme SAPECC7. Le nom du connecteur est sensible à la casse et doit être identique à celui configuré dans l’Assistant. Vous pouvez également remplacerlocalhost
par le nom d’hôte de votre ordinateur.Propriété Valeur URL de locataire https://localhost:8585/ecma2host_SAPECC7/scim
Entrez la valeur Secret Token que vous avez définie lors de la création du connecteur.
Remarque
Si vous venez d’attribuer l’agent à l’application, patientez 10 minutes pour que l’inscription se termine. Le test de connectivité ne fonctionne pas tant que l’inscription n’est pas terminée. Pour accélérer le processus d’inscription, vous pouvez forcer l’inscription de l’agent en redémarrant l’agent d’approvisionnement sur votre serveur. Accédez à votre serveur, recherchez services dans la barre de recherche Windows, identifiez le service Agent d’approvisionnement Microsoft Entra Connect, cliquez avec le bouton droit sur le service, puis redémarrez.
Sélectionnez Test Connection et patientez une minute.
Une fois que le test de connexion est réussi et qu'il indique que les informations d'identification fournies sont autorisées à activer le provisionnement, sélectionnez Enregistrer.
9. Configurer les mappages d’attributs
Vous devez maintenant mapper les attributs entre la représentation de l’utilisateur dans Microsoft Entra ID et la représentation d’un utilisateur dans SAP ECC.
Vous allez utiliser le centre d’administration Microsoft Entra pour configurer le mappage entre les attributs des utilisateurs Microsoft Entra et les attributs sélectionnés précédemment dans l’Assistant Configuration de l’hôte ECMA.
Vérifiez que le schéma Microsoft Entra inclut les attributs requis par SAP ECC. Si celui-ci impose la configuration d’un attribut pour les utilisateurs, et que cet attribut n’est pas encore inclus dans votre schéma Microsoft Entra pour un utilisateur, vous devez utiliser la fonctionnalité d’extension d’annuaire pour ajouter cet attribut comme extension.
Dans le Centre d’administration Microsoft Entra, sous Applications d’entreprise, sélectionnez Application ECMA locale, puis la page Approvisionnement.
Sélectionnez Modifier le provisionnement, puis attendez 10 secondes.
Développez Mappages et sélectionnez Configurer les utilisateurs Microsoft Entra. Si c’est la première fois que vous configurez les mappages d’attributs pour cette application, il n’y a qu’un seul mappage présent pour un espace réservé.
Pour vérifier que le schéma de SAP ECC est disponible dans Microsoft Entra ID, activez la case Afficher les options avancées, puis sélectionnez Modifier la liste d’attributs pour ScimOnPremises. Vérifiez que tous les attributs sélectionnés dans l’Assistant Configuration sont listés. Si ce n’est pas le cas, attendez quelques minutes le temps que le schéma s’actualise, puis rechargez la page. Quand vous voyez les attributs listés, quittez cette page pour revenir à la liste des mappages.
Maintenant, cliquez sur le mappage ESPACE RÉSERVÉ userPrincipalName. Ce mappage est ajouté par défaut lors de votre première configuration du provisionnement local.
Modifiez la valeur pour qu’elle corresponde à ce qui suit :
Type de mappage | Attribut source | Attribut cible |
---|---|---|
Direct | userPrincipalName | urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName |
Sélectionnez maintenant Ajouter un nouveau mappage, puis répétez l’étape suivante pour chaque mappage.
Spécifiez les attributs source et cible pour chacun des mappages indiqués dans le tableau suivant.
Attribut Microsoft Entra Attribut ScimOnPremises Priorité des correspondances Appliquer ce mappage ToUpper(Word([userPrincipalName], 1, "@"), )
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName 1 Uniquement durant la création d'objet Redact("Pass@w0rd1")
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Uniquement durant la création d'objet city
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Toujours companyName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Toujours department
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Toujours mail
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Toujours Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01")
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Toujours givenName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Toujours surname
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Toujours telephoneNumber
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Toujours jobTitle
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Toujours Une fois que tous les mappages ont été ajoutés, sélectionnez Enregistrer.
10. Affecter des utilisateurs à l’application
Maintenant que l’hôte du connecteur ECMA Microsoft Entra est capable de communiquer avec Microsoft Entra ID, et que le mappage des attributs est configuré, vous pouvez passer à la configuration de l’étendue de l’approvisionnement.
Important
Si vous étiez connecté avec un rôle Administrateur d’identité hybride, vous devez vous déconnecter et vous connecter avec un compte disposant au moins du rôle Administrateur d’application pour cette section. Le rôle Administrateur d’identité hybride ne dispose pas des autorisations nécessaires pour affecter des utilisateurs à des applications.
S’il existe des utilisateurs dans SAP ECC, vous devez leur créer des attributions de rôles d’application. Pour en savoir plus sur la création en bloc d’attributions de rôles d’application, consultez l’article Gouvernance des utilisateurs existants d’une application dans Microsoft Entra ID.
S’il n’existe aucun utilisateur actuel de l’application, sélectionnez un utilisateur de test dans Microsoft Entra afin qu’il soit attribué pour l’application.
Assurez-vous que l’utilisateur qui va être sélectionné a toutes les propriétés qui seront mappées aux attributs requis par SAP ECC.
Dans le centre d’administration Microsoft Entra, sélectionnez Applications d’entreprise.
Sélectionnez l’application Application ECMA locale.
À gauche, sous Gérer, sélectionnez Utilisateurs et groupes.
Sélectionner Ajouter un utilisateur/groupe.
Sous Utilisateurs, sélectionnez Aucun sélectionné.
Sélectionnez des utilisateurs à droite, puis cliquez sur le bouton Sélectionner.
Sélectionnez Affecter.
11. Tester le provisionnement
Maintenant que vos attributs sont mappés et que les utilisateurs sont affectés, vous pouvez tester le provisionnement à la demande avec l’un de vos utilisateurs.
Dans le centre d’administration Microsoft Entra, sélectionnez Applications d’entreprise.
Sélectionnez l’application Application ECMA locale.
Sur la gauche, sélectionnez Provisionnement.
Sélectionnez Approvisionner à la demande.
Recherchez l’un de vos utilisateurs de test, puis sélectionnez Provisionner.
Après plusieurs secondes, le message Utilisateur créé dans le système cible s’affiche, avec une liste des attributs utilisateur.
12. Démarrer le provisionnement des utilisateurs
Une fois l’approvisionnement à la demande réussi, revenez à la page de configuration de l’approvisionnement. Vérifiez que l’étendue est définie sur les seuls utilisateurs et groupes affectés, activez le provisionnement, puis sélectionnez Enregistrer.
Attendez jusqu’à 40 minutes que le service d’approvisionnement démarre. Une fois le travail de provisionnement terminé, comme décrit dans la section suivante, si vous avez fini le test, vous pouvez remplacer l’état du provisionnement par Désactivé et sélectionner Enregistrer. Cette action empêche que le service de provisionnement s’exécute à l’avenir.
Résolution des erreurs de provisionnement
Si une erreur s’affiche, sélectionnez Afficher les journaux de provisionnement. Recherchez dans le journal une ligne dans laquelle l’état est Échec, puis sélectionnez cette ligne.
Pour plus d’informations, accédez à l’onglet Résolution des problèmes et recommandations.