SAP Cloud Identity Services configureren voor automatische gebruikersvoorziening

In dit artikel worden de stappen beschreven voor het configureren van inrichting van Microsoft Entra ID naar SAP Cloud Identity Services. Het doel is om Microsoft Entra ID in te stellen om gebruikers automatisch in te richten en te verwijderen voor SAP Cloud Identity Services, zodat deze gebruikers zich kunnen aanmelden bij SAP Cloud Identity Services en toegang hebben tot andere SAP-workloads. SAP Cloud Identity Services biedt ondersteuning voor inrichting vanuit de lokale identiteitsmap naar andere SAP-toepassingen als doelsystemen.

Notitie

In dit artikel wordt een connector beschreven die is ingebouwd in de Microsoft Entra-service voor het inrichten van gebruikers. Voor belangrijke informatie over wat deze service doet, hoe deze werkt en veelgestelde vragen, raadpleegt u Automate user provisioning and deprovisioning to SaaS applications with Microsoft Entra ID. SAP Cloud Identity Services heeft ook een eigen afzonderlijke connector voor het lezen van gebruikers en groepen van Microsoft Entra ID. Zie SAP Cloud Identity Services - Identity Provisioning - Microsoft Entra ID als bronsysteem voor meer informatie.

Vereisten

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

• Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u dat nog niet hebt, kunt u gratis een account maken.
• Een van de volgende rollen:
  • Toepassingsbeheerder
  • cloudtoepassingsbeheerder
  • applicatie-eigenaar.

• Een SAP Cloud Identity Services-tenant
• Een gebruikersaccount in SAP Cloud Identity Services met beheerdersmachtigingen.

Notitie

Deze integratie is ook beschikbaar voor gebruik vanuit de Microsoft Entra US Government Cloud-omgeving. U vindt deze toepassing in de Microsoft Entra US Government Cloud Application Gallery en configureert deze op dezelfde manier als in de openbare cloudomgeving.

Als u nog geen gebruikers hebt in Microsoft Entra ID, begint u met het artikel om Microsoft Entra te implementeren voor het inrichten van gebruikers met SAP-bron- en doel-apps. In dit artikel wordt uitgelegd hoe u Microsoft Entra verbindt met gezaghebbende bronnen voor de lijst met werknemers in een organisatie, zoals SAP SuccessFactors. U ziet ook hoe u Microsoft Entra gebruikt om identiteiten voor deze werknemers in te stellen, zodat ze zich kunnen aanmelden bij een of meer SAP-toepassingen, zoals SAP ECC of SAP S/4HANA.

Als u inrichting configureert in SAP Cloud Identity Services in een productieomgeving, waarbij u de toegang tot SAP-workloads beheert met behulp van Microsoft Entra ID Governance, controleer dan de vereisten voordat u Microsoft Entra ID configureert voor identiteitsbeheer en verdergaat.

SAP Cloud Identity Services instellen voor provisioning

In dit artikel voegt u een beheersysteem toe in SAP Cloud Identity Services en configureert u Vervolgens Microsoft Entra.

1. Meld u aan bij uw SAP Cloud Identity Services-beheerconsole https://<tenantID>.accounts.ondemand.com/admin of https://<tenantID>.trial-accounts.ondemand.com/admin als er een proefversie is. Navigeer naar Gebruikers & Autorisaties Beheerders.

   

2. Druk op de knop +Toevoegen in het deelvenster aan de linkerkant om een nieuwe beheerder aan de lijst toe te voegen. Kies Systeem toevoegen en voer de naam van het systeem in.

   Notitie

   De beheerdersidentiteit in SAP Cloud Identity Services moet van het type Systeem zijn. Een beheerder kan bij het provisioneren niet authenticeren bij de SAP SCIM-API. SAP Cloud Identity Services staat niet toe dat de naam van een systeem wordt gewijzigd nadat het is gemaakt.

3. Onder Autorisaties configureren, schakel de wisselknop in bij Gebruikers beheren. Selecteer vervolgens Opslaan om het systeem te maken.

   

4. Nadat het beheerderssysteem is gemaakt, voegt u een nieuw geheim toe aan dat systeem.

5. Kopieer de client-id en clientgeheim die door SAP worden gegenereerd. Deze waarden worden respectievelijk ingevoerd in de velden Gebruikersnaam van beheerder en Beheerderswachtwoord. Dit gebeurt op het tabblad Inrichten van uw SAP Cloud Identity Services-toepassing, die u in de volgende sectie hebt ingesteld.

6. SAP Cloud Identity Services kan overeenkomsten hebben met een of meer SAP-toepassingen als doelsystemen. Controleer of er kenmerken zijn voor de gebruikers die voor deze SAP-toepassingen moeten worden ingericht via SAP Cloud Identity Services. In dit artikel wordt ervan uitgegaan dat SAP Cloud Identity Services en downstreamdoelsystemen twee kenmerken vereisen, userName en emails[type eq "work"].value. Als voor uw SAP-doelsystemen andere kenmerken zijn vereist en deze geen deel uitmaken van uw Microsoft Entra ID-gebruikersschema, moet u mogelijk synching-extensiekenmerken configureren.

SAP Cloud Identity Services toevoegen vanuit de galerie

Voordat u Microsoft Entra ID configureert voor het automatisch inrichten van gebruikers in SAP Cloud Identity Services, moet u SAP Cloud Identity Services vanuit de Microsoft Entra-toepassingsgalerie toevoegen aan de lijst met bedrijfstoepassingen van uw tenant. U kunt deze stap uitvoeren in het Microsoft Entra-beheercentrum of via de Graph API.

Als SAP Cloud Identity Services al is geconfigureerd voor eenmalige aanmelding van Microsoft Entra en er al een toepassing aanwezig is in uw Microsoft Entra-lijst met bedrijfstoepassingen, gaat u verder in de volgende sectie.

Voer de volgende stappen uit om SAP Cloud Identity Services toe te voegen vanuit de Microsoft Entra-toepassingsgalerie met behulp van het Microsoft Entra-beheercentrum:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.
2. Blader naar Identiteit>Toepassingen>Bedrijfstoepassingen>Nieuwe toepassing.
3. Als u de app vanuit de galerie wilt toevoegen, typt u SAP Cloud Identity Services in het zoekvak.
4. Selecteer SAP Cloud Identity Services in het resultatenvenster en voeg vervolgens de app toe. Wacht een paar seconden totdat de app is toegevoegd aan uw tenant.

Automatische gebruikersinrichting configureren voor SAP Cloud Identity Services

In deze sectie wordt u begeleid bij de stappen voor het configureren van de Microsoft Entra-inrichtingsservice om gebruikers in SAP Cloud Identity Services te maken, bij te werken en uit te schakelen op basis van gebruikerstoewijzingen voor een toepassing in Microsoft Entra ID.

Automatische gebruikersvoorziening configureren voor SAP Cloud Identity Services in Microsoft Entra ID.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.

2. Bladeren naar Identiteit>Toepassingen>Bedrijfstoepassingen

   

3. Selecteer de toepassing SAP Cloud Identity Services in de lijst met toepassingen.

   

4. Selecteer het tabblad Eigenschappen.

5. Controleer of de vereiste toewijzingsoptie is ingesteld op Ja. Als deze optie is ingesteld op Nee, hebben alle gebruikers in uw directory, inclusief externe identiteiten, toegang tot de toepassing en kunt u de toegang tot de toepassing niet controleren.

6. Selecteer het tabblad Inrichten.

   

7. Stel Inrichtingsmodus in op Automatisch.

   

8. Voer in de sectie Beheerderreferentieshttps://<tenantID>.accounts.ondemand.com/service/scim, of https://<tenantid>.trial-accounts.ondemand.com/service/scim als er een proefversie is, de tenant-id van uw SAP Cloud Identity Services in de Tenant-URL in. Voer de waarden voor de client-id en het clientgeheim in die eerder zijn opgehaald in de gebruikersnaam van de beheerder en het beheerderswachtwoord. Selecteer Verbinding testen om ervoor te zorgen dat Microsoft Entra ID verbinding kan maken met SAP Cloud Identity Services. Als de verbinding mislukt, moet u controleren of uw SAP Cloud Identity Services-systeemaccount beheerdersmachtigingen heeft, het geheim nog steeds geldig is en probeer het opnieuw.

   

9. Voer in het veld E-mailadres voor meldingen het e-mailadres in van een persoon of groep die de inrichtingsfoutmeldingen zou moeten ontvangen en vink het vakje Een e-mailmelding verzenden als een fout optreedt aan.

   

10. Selecteer Opslaan.

11. Selecteer in de sectie Toewijzingen de optie Microsoft Entra ID-gebruikers inrichten.

    

12. Controleer in de sectie Kenmerktoewijzing de gebruikerskenmerken die vanuit Microsoft Entra-id met SAP Cloud Identity Services worden gesynchroniseerd. Als u de kenmerken in uw SAP Cloud Identity Services niet ziet die beschikbaar zijn als doel voor toewijzing, selecteert u Geavanceerde opties weergeven en selecteert u Lijst met kenmerken bewerken voor SAP Cloud Platform Identity Authentication Service om de lijst met ondersteunde kenmerken te bewerken. Voeg de kenmerken van uw SAP Cloud Identity Services-tenant toe.

13. Controleer en noteer de bron- en doelkenmerken die zijn geselecteerd als overeenkomende eigenschappen en toewijzingen die een overeenkomende prioriteit hebben. Deze kenmerken worden gebruikt om gebruikersaccounts in SAP Cloud Identity Services te matchen met de Microsoft Entra-inrichtingsservice, om te bepalen of een nieuwe gebruiker aangemaakt moet worden of een bestaande gebruiker aangepast moet worden. Voor meer informatie over overeenkomende gebruikers, zie overeenkomende gebruikers in de bron- en doelsystemen. In een volgende stap zorgt u ervoor dat alle gebruikers in SAP Cloud Identity Services de kenmerken hebben geselecteerd als overeenkomende eigenschappen zijn ingevuld om te voorkomen dat dubbele gebruikers worden gemaakt.

14. Controleer of er een kenmerktoewijzing is voor IsSoftDeleted, of een functie die IsSoftDeletedis toegewezen aan een kenmerk van de toepassing. Wanneer een gebruiker niet meer is toegewezen aan de toepassing, soft-verwijderd in Microsoft Entra ID of wordt geblokkeerd voor aanmelding, werkt de Microsoft Entra-inrichtingsservice het kenmerk bij dat is gemapt aan isSoftDeleted. Als er geen kenmerk is gekoppeld, blijven gebruikers die later de toewijzing verliezen aanwezig in het gegevensarchief van de toepassing.

15. Voeg aanvullende toewijzingen toe die nodig zijn voor uw SAP Cloud Identity Services, of voor uw downstream SAP-doelsystemen.

16. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.

    Kenmerk	Type	Ondersteund voor filteren	Vereist door SAP Cloud Identity Services
    userName	String	✓	✓
    emails[type eq "work"].value	String		✓
    active	Booleaans
    displayName	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager	Verwijzing
    addresses[type eq "work"].country	String
    addresses[type eq "work"].locality	String
    addresses[type eq "work"].postalCode	String
    addresses[type eq "work"].region	String
    addresses[type eq "work"].streetAddress	String
    name.givenName	String
    name.familyName	String
    name.honorificPrefix	String
    phoneNumbers[type eq "fax"].value	String
    phoneNumbers[type eq "mobile"].value	String
    phoneNumbers[type eq "work"].value	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	String
    locale	String
    timezone	String
    userType	String
    company	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute1	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute2	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute3	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute4	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute5	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute6	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute7	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute8	String
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute9	Snaar
    urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute10	String
    sendMail	String
    mailVerified	String

17. Raadpleeg artikel over bereikfiltersvoor de volgende instructies om bereikfilters te configureren.

18. Als u de Microsoft Entra-inrichtingsservice voor SAP Cloud Identity Services wilt inschakelen, wijzigt u de inrichtingsstatus in Aan in de sectie Instellingen.

    

19. Voor de waarde van Bereik in de sectie Instellingen selecteert u Alleen toegewezen gebruikers en groepen synchroniseren.

    

20. Als u klaar bent om te configureren, selecteert u Opslaan.

    

Met deze bewerking wordt de eerste synchronisatie gestart van alle gebruikers die zijn gedefinieerd in Bereik in de sectie Instellingen. Als u het bereik hebt ingesteld op Alleen toegewezen gebruikers en groepen synchroniseren en er geen gebruikers of groepen aan de toepassing zijn toegewezen, wordt er geen synchronisatie uitgevoerd totdat gebruikers aan de toepassing zijn toegewezen.

Een nieuwe testgebruiker inrichten van Microsoft Entra ID naar SAP Cloud Identity Services

Het wordt aanbevolen om één nieuwe Microsoft Entra-testgebruiker toe te wijzen aan SAP Cloud Identity Services om de configuratie van de automatische gebruikersinrichting te testen.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder en een gebruikersbeheerder.
2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
3. Selecteer Nieuwe gebruiker>Nieuwe gebruiker maken.
4. Typ de gebruikers-principalnaam en de weergavenaam van de nieuwe testgebruiker in. De principal-naam van de gebruiker moet uniek zijn en niet hetzelfde zijn als een huidige of vorige Microsoft Entra-gebruiker of SAP Cloud Identity Services-gebruiker. Selecteer Controleren + maken en Maken.
5. Zodra de testgebruiker is gemaakt, bladert u naar Identiteit>Toepassingen>Bedrijfstoepassingen.
6. Selecteer de SAP Cloud Identity Services-toepassing.
7. Selecteer Gebruikers en groepen en selecteer vervolgens Gebruiker/groep toevoegen.
8. Selecteer in de gebruikers en groepen de optie Geen geselecteerd en typ in het tekstvak de gebruikersnaam van de testgebruiker.
9. Selecteer Selecteren en vervolgens Toewijzen.
10. Selecteer Inrichten en vervolgens Inrichten op aanvraag.
11. Typ in het tekstvak Een gebruiker of groep selecteren de gebruikersnaam van de testgebruiker.
12. Selecteer Voorziening.
13. Wacht totdat de inrichting is voltooid. Als dit lukt, ziet u het bericht Modified attributes (successful).

U kunt eventueel ook controleren wat de Microsoft Entra-inrichtingsservice gaat inrichten wanneer een gebruiker buiten het bereik van de toepassing valt.

1. Selecteer Gebruikers en groepen.
2. Selecteer de testgebruiker en selecteer vervolgens Verwijderen.
3. Nadat de testgebruiker is verwijderd, selecteert u Inrichten en dan Inrichten op aanvraag.
4. Typ in het Selecteer een gebruiker of groep tekstvak de gebruikersnaam van de zojuist gedeassignede testgebruiker.
5. Selecteer Voorziening.
6. Wacht totdat de provisionering is voltooid.

Ten slotte kunt u de testgebruiker verwijderen uit Microsoft Entra ID.

1. Blader naar Identiteit>Gebruikers>Alle gebruikers.
2. Selecteer de testgebruiker, selecteer Verwijderen en selecteer OK. Met deze actie verwijdert u de testgebruiker uit Microsoft Entra ID.

U kunt de testgebruiker ook verwijderen uit SAP Cloud Identity Services.

Zorg ervoor dat bestaande SAP Cloud Identity Services-gebruikers over de benodigde overeenkomende kenmerken beschikken

Voordat u niet-testgebruikers toewijst aan de SAP Cloud Identity Services-toepassing in Microsoft Entra ID, moet u ervoor zorgen dat alle gebruikers die zich al in SAP Cloud Identity Services bevinden die dezelfde personen vertegenwoordigen als de gebruikers in Microsoft Entra ID, de toewijzingskenmerken hebben ingevuld in SAP Cloud Identity-services.

In de voorzieningstoewijzing worden de kenmerken die als overeenkomende eigenschappen zijn geselecteerd, gebruikt om de gebruikersaccounts in Microsoft Entra ID te koppelen aan de gebruikersaccounts in SAP Cloud Identity Services. Als er een gebruiker in Microsoft Entra ID is zonder overeenkomst in SAP Cloud Identity Services, probeert de Microsoft Entra-voorzieningsservice een nieuwe gebruiker te maken. Als er een gebruiker is in Microsoft Entra ID en een overeenkomstige gebruiker in SAP Cloud Identity Services, zal de Microsoft Entra-inrichtingsservice die gebruiker in SAP Cloud Identity Services bijwerken. Daarom moet u ervoor zorgen dat bestaande gebruikers in SAP Cloud Identity Services de attributen die als overeenkomende eigenschappen zijn aangegeven, hebben ingesteld, anders zullen dubbele gebruikers worden aangemaakt. Als u het overeenkomende kenmerk in de toewijzing van het Microsoft Entra-toepassingskenmerk wilt wijzigen, raadpleeg overeenkomende gebruikers in de bron- en doelsystemen.

1. Meld u aan bij uw SAP Cloud Identity Services-beheerconsole https://<tenantID>.accounts.ondemand.com/admin of https://<tenantID>.trial-accounts.ondemand.com/admin als er een proefversie is.

2. Navigeer naar Gebruikers en autorisaties > om gebruikers te exporteren.

3. Selecteer alle kenmerken die vereist zijn voor het koppelen van Microsoft Entra-gebruikers aan die in SAP. Deze kenmerken omvatten de SCIM ID, userNameen emailsandere kenmerken die u mogelijk in uw SAP-systemen als id's gebruikt.

4. Selecteer Exporteren en wacht totdat de browser het CSV-bestand downloadt.

5. Open een PowerShell-venster.

6. Typ het volgende script in een editor. Als u in regel één een ander overeenkomend kenmerk dan userNamehebt geselecteerd, wijzigt u de waarde van de sapScimUserNameField variabele in de naam van het KENMERK SAP Cloud Identity Services. Wijzig in regel twee het argument naar de bestandsnaam van het geëxporteerde CSV-bestand door Users-exported-from-sap.csv te vervangen met de naam van je gedownloade bestand.

   $sapScimUserNameField = "userName"
   $existingSapUsers = import-csv -Path ".\Users-exported-from-sap.csv" -Encoding UTF8
   $count = 0
   $warn = 0
   foreach ($u in $existingSapUsers) {
    $id = $u.id
    if (($null -eq $id) -or ($id.length -eq 0)) {
        write-error "Exported CSV file doesn't contain the id attribute of SAP Cloud Identity Services users."
        throw "id attribute not available, re-export"
        return
    }
    $count++
    $userName = $u.$sapScimUserNameField
    if (($null -eq $userName) -or ($userName.length -eq 0)) {
        write-warning "SAP Cloud Identity Services user $id doesn't have a $sapScimUserNameField attribute populated"
        $warn++
    }
   }
   write-output "$warn of $count users in SAP Cloud Identity Services did not have the $sapScimUserNameFIeld attribute populated."
   

7. Voer het script uit. Wanneer het script is voltooid, als er een of meer gebruikers zijn die niet het vereiste overeenkomende kenmerk hebben, zoekt u die gebruikers op in het geëxporteerde CSV-bestand of in de BEHEERconsole van SAP Cloud Identity Services. Als deze gebruikers ook aanwezig zijn in Microsoft Entra, moet u eerst de SAP Cloud Identity Services-weergave van die gebruikers bijwerken, zodat het overeenkomende kenmerk is ingevuld.

8. Nadat u de kenmerken van deze gebruikers in SAP Cloud Identity Services hebt bijgewerkt, exporteert u de gebruikers opnieuw vanuit SAP Cloud Identity Services, zoals beschreven in stap 2-5 en PowerShell-stappen in deze sectie, om te bevestigen dat er geen gebruikers in SAP Cloud Identity Services de overeenkomende kenmerken ontbreken die het inrichten voor deze gebruikers zouden voorkomen.

Nu u een lijst hebt met alle gebruikers die zijn verkregen uit SAP Cloud Identity Services, koppelt u die gebruikers aan de gebruikers uit de gegevensopslag van de toepassing, met gebruikers die al in Microsoft Entra ID staan, om te bepalen welke gebruikers in aanmerking moeten komen voor de inrichting.

De id's van de gebruikers in Microsoft Entra-id ophalen

In deze sectie wordt beschreven hoe u kunt communiceren met Microsoft Entra ID met behulp van Microsoft Graph PowerShell-cmdlets .

De eerste keer dat uw organisatie deze cmdlets gebruikt voor dit scenario, moet u de rol Globale beheerder hebben om Microsoft Graph PowerShell te kunnen gebruiken in uw tenant. Volgende interacties kunnen een rol met lagere bevoegdheden gebruiken, zoals:

• Gebruikersbeheerder, als u verwacht nieuwe gebruikers te maken.
• Toepassingsbeheerder of identiteitsbeheerbeheerder, als u alleen toepassingsroltoewijzingen beheert.

1. Open PowerShell.

2. Als u de Microsoft Graph PowerShell-modules nog niet hebt geïnstalleerd, installeer dan de module Microsoft.Graph.Users en andere met behulp van deze opdracht:

   Install-Module Microsoft.Graph
   

   Als u de modules al hebt geïnstalleerd, controleer dan of u een recente versie gebruikt:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Verbinding maken met Microsoft Entra-id:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
   

4. Als dit de eerste keer is dat u deze opdracht hebt gebruikt, moet u mogelijk toestemming geven voor de Microsoft Graph-opdrachtregelprogramma's om deze machtigingen te hebben.

5. Lees de lijst van gebruikers verkregen uit het gegevensarchief van de toepassing in de PowerShell-sessie. Als de lijst van gebruikers zich in een CSV-bestand bevindt, kunt u de PowerShell-cmdlet Import-Csv gebruiken en de naam van het bestand uit de vorige sectie opgeven als argument.

   Als het bestand dat is verkregen uit SAP Cloud Identity Services bijvoorbeeld de naam Users-exported-from-sap.csv heeft en zich in de huidige map bevindt, voert u deze opdracht in.

   $filename = ".\Users-exported-from-sap.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

   Als u een database of map gebruikt, voert u de volgende opdracht in als het bestand de naam users.csv heeft en zich in de huidige map bevindt:

   $filename = ".\users.csv"
   $dbusers = Import-Csv -Path $filename -Encoding UTF8
   

6. Kies de kolom van het users.csv-bestand dat overeenkomt met een kenmerk van een gebruiker in Microsoft Entra-id.

   Als u SAP Cloud Identity Services gebruikt, is de standaardtoewijzing het SAP SCIM-kenmerk userName met het Microsoft Entra ID-kenmerk userPrincipalName.

   $db_match_column_name = "userName"
   $azuread_match_attr_name = "userPrincipalName"
   

   Als u bijvoorbeeld een database of map gebruikt, hebt u mogelijk gebruikers in een database waarin de waarde in de kolom met de naam EMail dezelfde waarde heeft als in het kenmerk userPrincipalNameMicrosoft Entra:

   $db_match_column_name = "EMail"
   $azuread_match_attr_name = "userPrincipalName"
   

7. Haal de id's van die gebruikers op in Microsoft Entra ID.

   Het volgende PowerShell-script gebruikt de eerder aangegeven waarden $dbusers, $db_match_column_name en $azuread_match_attr_name. Er wordt een query uitgevoerd op De Microsoft Entra-id om een gebruiker te zoeken die een kenmerk heeft met een overeenkomende waarde voor elke record in het bronbestand. Als er veel gebruikers zijn in het bestand dat is verkregen uit de SAP Cloud Identity Services, de database of de directory, kan het enkele minuten duren voordat dit script is voltooid. Als u geen kenmerk in Microsoft Entra ID hebt dat de waarde heeft, en u een contains of een andere filterexpressie moet gebruiken, moet u dit script en dat in stap 11 hieronder aanpassen om een andere filterexpressie te gebruiken.

   $dbu_not_queried_list = @()
   $dbu_not_matched_list = @()
   $dbu_match_ambiguous_list = @()
   $dbu_query_failed_list = @()
   $azuread_match_id_list = @()
   $azuread_not_enabled_list = @()
   $dbu_values = @()
   $dbu_duplicate_list = @()
   
   foreach ($dbu in $dbusers) { 
      if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
         $val = $dbu.$db_match_column_name
         $escval = $val -replace "'","''"
         if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
         $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
         try {
            $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
            if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
               $id = $ul[0].id; 
               $azuread_match_id_list += $id;
               if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
            } 
         } catch { $dbu_query_failed_list += $dbu } 
       } else { $dbu_not_queried_list += $dbu }
   }
   
   

8. Bekijk de resultaten van de voorgaande query's. Kijk of een van de gebruikers in SAP Cloud Identity Services, de database of map zich niet in Microsoft Entra ID kan bevinden vanwege fouten of ontbrekende overeenkomsten.

   Het volgende PowerShell-script geeft de aantallen records weer die niet zijn gevonden:

   $dbu_not_queried_count = $dbu_not_queried_list.Count
   if ($dbu_not_queried_count -ne 0) {
     Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
   }
   $dbu_duplicate_count = $dbu_duplicate_list.Count
   if ($dbu_duplicate_count -ne 0) {
     Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
   }
   $dbu_not_matched_count = $dbu_not_matched_list.Count
   if ($dbu_not_matched_count -ne 0) {
     Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
   }
   $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
   if ($dbu_match_ambiguous_count -ne 0) {
     Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
   }
   $dbu_query_failed_count = $dbu_query_failed_list.Count
   if ($dbu_query_failed_count -ne 0) {
     Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
   }
   $azuread_not_enabled_count = $azuread_not_enabled_list.Count
   if ($azuread_not_enabled_count -ne 0) {
    Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
   }
   if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) {
    Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
   }
   $azuread_match_count = $azuread_match_id_list.Count
   Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
   

9. Wanneer het script is voltooid, wordt er een fout weergegeven als records uit de gegevensbron zich niet in Microsoft Entra-id bevinden. Mocht niet alle gebruikersrecords in de gegevensopslag van de applicatie kunnen worden gevonden in Microsoft Entra ID, dan moet u onderzoeken welke records niet overeenkomen en waarom.

   Iemands e-mailadres en userPrincipalName zijn bijvoorbeeld gewijzigd in Microsoft Entra-id zonder dat de bijbehorende mail eigenschap wordt bijgewerkt in de gegevensbron van de toepassing. Of de gebruiker heeft de organisatie misschien al verlaten, maar is nog aanwezig in de gegevensbron van de toepassing. Of er is mogelijk een leverancier- of superbeheerdersaccount in de gegevensbron van de toepassing die niet overeenkomt met een specifieke persoon in Microsoft Entra-id.

10. Als er gebruikers zijn die niet konden worden gevonden in Microsoft Entra-id, niet actief waren en niet in staat waren zich aan te melden, maar u wilt dat hun toegang wordt gecontroleerd of hun kenmerken worden bijgewerkt in SAP Cloud Identity Services, de database of het gebruikersregister, moet u de toepassing, de overeenkomende regel bijwerken, of Microsoft Entra-gebruikers voor hen aanmaken. Raadpleeg toewijzingen en gebruikersaccounts beheren in toepassingen die niet overeenkomen met gebruikers in Microsoft Entra ID voor meer informatie over welke wijziging moet worden aangebracht.

    Als u de optie kiest om gebruikers te maken in Microsoft Entra ID, kunt u gebruikers bulksgewijs maken met behulp van:

    • Een CSV-bestand, zoals beschreven in gebruikers in bulk aanmaken in het Microsoft Entra-beheercentrum
    • De cmdlet New-MgUser

    Zorg ervoor dat deze nieuwe gebruikers worden gevuld met de kenmerken die vereist zijn voor Microsoft Entra-id, zodat deze later overeenkomen met de bestaande gebruikers in de toepassing, en de kenmerken die zijn vereist voor Microsoft Entra-id, inclusief userPrincipalName, mailNickname en displayName. Deze userPrincipalName moet uniek zijn voor alle gebruikers in de directory.

    U hebt bijvoorbeeld gebruikers in een database waarin de waarde in de kolom met de naam EMail de waarde is die u wilt gebruiken als microsoft Entra user principal Name, de waarde in de kolom Alias bevat de e-mailnaam van Microsoft Entra ID en de waarde in de kolom Full name bevat de weergavenaam van de gebruiker:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    

    Vervolgens kunt u dit script gebruiken om Microsoft Entra-gebruikers te maken voor gebruikers in SAP Cloud Identity Services, de database of directory die niet overeenkomen met gebruikers in Microsoft Entra ID. Houd er rekening mee dat u dit script mogelijk moet aanpassen om extra Microsoft Entra-kenmerken toe te voegen die uw organisatie nodig heeft, of als het $azuread_match_attr_name niet het mailNickname of userPrincipalName is, om dat Microsoft Entra-kenmerk te specificeren.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    

11. Nadat u ontbrekende gebruikers aan Microsoft Entra ID hebt toegevoegd, voert u het script opnieuw uit vanaf stap 7. Voer vervolgens het script uit vanaf stap 8. Controleer dat er geen fouten worden gerapporteerd.

    $dbu_not_queried_list = @()
    $dbu_not_matched_list = @()
    $dbu_match_ambiguous_list = @()
    $dbu_query_failed_list = @()
    $azuread_match_id_list = @()
    $azuread_not_enabled_list = @()
    $dbu_values = @()
    $dbu_duplicate_list = @()
    
    foreach ($dbu in $dbusers) { 
       if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { 
          $val = $dbu.$db_match_column_name
          $escval = $val -replace "'","''"
          if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval }
          $filter = $azuread_match_attr_name + " eq '" + $escval + "'"
          try {
             $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop)
             if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else {
                $id = $ul[0].id; 
                $azuread_match_id_list += $id;
                if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id }
             } 
          } catch { $dbu_query_failed_list += $dbu } 
        } else { $dbu_not_queried_list += $dbu }
    }
    
    $dbu_not_queried_count = $dbu_not_queried_list.Count
    if ($dbu_not_queried_count -ne 0) {
      Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name."
    }
    $dbu_duplicate_count = $dbu_duplicate_list.Count
    if ($dbu_duplicate_count -ne 0) {
      Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value"
    }
    $dbu_not_matched_count = $dbu_not_matched_list.Count
    if ($dbu_not_matched_count -ne 0) {
      Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name."
    }
    $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count
    if ($dbu_match_ambiguous_count -ne 0) {
      Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous."
    }
    $dbu_query_failed_count = $dbu_query_failed_list.Count
    if ($dbu_query_failed_count -ne 0) {
      Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors."
    }
    $azuread_not_enabled_count = $azuread_not_enabled_list.Count
    if ($azuread_not_enabled_count -ne 0) {
     Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in."
    }
    if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) {
     Write-Output "You will need to resolve those issues before access of all existing users can be reviewed."
    }
    $azuread_match_count = $azuread_match_id_list.Count
    Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID." 
    

Zorg ervoor dat bestaande Microsoft Entra-gebruikers over de benodigde kenmerken beschikken

Voordat u automatische inrichting van gebruikers inschakelt, moet u beslissen welke gebruikers in Microsoft Entra ID toegang nodig hebben tot SAP Cloud Identity Services. Vervolgens moet u controleren of deze gebruikers over de benodigde kenmerken in Microsoft Entra ID beschikken en deze kenmerken zijn toegewezen aan het verwachte schema van SAP Cloud Identity Services.

• Standaard wordt de waarde van het Microsoft Entra-gebruikerskenmerk userPrincipalName toegewezen aan zowel de userName als emails[type eq "work"].value attributen van SAP Cloud Identity Services. Als de e-mailadressen van gebruikers verschillen van hun gebruikers-principalnamen, moet u deze toewijzing mogelijk wijzigen.
• SAP Cloud Identity Services kan waarden van het kenmerk postalCode negeren als de indeling van de postcode van het bedrijf niet overeenkomt met het land of de regio van het bedrijf.
• Standaard wordt het Kenmerk department Microsoft Entra toegewezen aan het kenmerk SAP Cloud Identity Services urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department . Als Microsoft Entra-gebruikers waarden van het department kenmerk hebben, moeten deze waarden overeenkomen met die afdelingen die al zijn geconfigureerd in SAP Cloud Identity Services, anders mislukt het maken of bijwerken van de gebruiker. Als de department waarden in uw Microsoft Entra-gebruikers niet consistent zijn met die in uw SAP-omgeving, verwijdert u de toewijzing voordat u gebruikers toewijst.
• Het SCIM-eindpunt van SAP Cloud Identity Services vereist dat bepaalde kenmerken een specifieke indeling hebben. U kunt meer informatie over deze kenmerken en hun specifieke indeling hier vinden.

Gebruikers toewijzen aan de SAP Cloud Identity Services-toepassing in Microsoft Entra ID

Microsoft Entra ID maakt gebruik van een concept met de naam toewijzingen om te bepalen welke gebruikers toegang moeten krijgen tot geselecteerde apps. Als de bereik-instelling van Automatische gebruikersinrichting is ingesteld op Alleen toegewezen gebruikers en groepen synchroniseren, worden alleen de gebruikers en groepen die zijn toegewezen aan een toepassingsrol van die toepassing in Microsoft Entra ID gesynchroniseerd met SAP Cloud Identity Services. Wanneer u een gebruiker toewijst aan SAP Cloud Identity Services, moet u een geldige toepassingsspecifieke rol (indien beschikbaar) selecteren in het toewijzingsdialoogvenster. Gebruikers met de rol Standaard toegang worden uitgesloten van het inrichten. Momenteel is de enige beschikbare rol voor SAP Cloud Identity Services Gebruiker.

Als voorziening al is ingeschakeld voor de toepassing, controleer dan of de voorziening van de toepassing niet in quarantaine is voordat u meer gebruikers aan de toepassing toewijst. Los eventuele problemen op die de quarantaine veroorzaken voordat u verdergaat.

Controleer op gebruikers die aanwezig zijn in SAP Cloud Identity Services en die nog niet zijn toegewezen aan de toepassing in Microsoft Entra ID

De vorige stappen hebben geëvalueerd of de gebruikers in SAP Cloud Identity Services ook bestaan als gebruikers in Microsoft Entra ID. Mogelijk worden ze momenteel echter niet allemaal toegewezen aan de rollen van de toepassing in Microsoft Entra-id. De volgende stappen zijn dus om te zien welke gebruikers geen toewijzingen hebben aan toepassingsrollen.

1. Gebruik PowerShell om de service-principal-ID van de service-principal van de toepassing op te zoeken.

   Als de bedrijfstoepassing bijvoorbeeld SAP Cloud Identity Services heet, voer dan de volgende opdrachten in:

   $azuread_app_name = "SAP Cloud Identity Services"
   $azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'"
   $azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All
   

2. Haal de gebruikers op die momenteel taken hebben aan de applicatie in Microsoft Entra ID.

   Dit bouwt voort op de $azuread_sp variabele die is ingesteld in de vorige opdracht.

   $azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
   

3. Vergelijk de lijst met gebruikers-id's van de gebruikers die zich al in SAP Cloud Identity Services en Microsoft Entra-id bevinden, met die gebruikers die momenteel zijn toegewezen aan de toepassing in Microsoft Entra ID. Dit script bouwt voort op de $azuread_match_id_list variabele die is ingesteld in de vorige secties:

   $azuread_not_in_role_list = @()
   foreach ($id in $azuread_match_id_list) {
      $found = $false
      foreach ($existing in $azuread_existing_assignments) {
         if ($existing.principalId -eq $id) {
            $found = $true; break;
         }
      }
      if ($found -eq $false) { $azuread_not_in_role_list += $id }
   }
   $azuread_not_in_role_count = $azuread_not_in_role_list.Count
   Write-Output "$azuread_not_in_role_count users in the application's data store aren't assigned to the application roles."
   

   Als er nul gebruikers niet zijn toegewezen aan toepassingsrollen, wat aangeeft dat alle gebruikers wel zijn toegewezen aan toepassingsrollen, betekent dit dat er geen gebruikers gemeenschappelijk zijn in Microsoft Entra ID en SAP Cloud Identity Services, zodat er geen wijzigingen nodig zijn. Als een of meer gebruikers in SAP Cloud Identity Services momenteel niet zijn toegewezen aan de toepassingsrollen, moet u de procedure voortzetten en deze toevoegen aan een van de rollen van de toepassing.

4. Selecteer de User rol van de service-principal van de toepassing.

   $azuread_app_role_name = "User"
   $azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq "User"}).Id
   if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}
   

5. Maak toepassingsroltoewijzingen voor gebruikers die al aanwezig zijn in SAP Cloud Identity Services en Microsoft Entra en hebben momenteel geen roltoewijzingen voor de toepassing:

   foreach ($u in $azuread_not_in_role_list) {
      $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id
   }
   

6. Wacht één minuut tot wijzigingen zijn doorgegeven in Microsoft Entra-id.

7. In de volgende Microsoft Entra-inrichtingscyclus vergelijkt de Microsoft Entra-inrichtingsservice de weergave van die gebruikers die zijn toegewezen aan de toepassing, met de weergave in SAP Cloud Identity Services en werkt de SAP Cloud Identity Services-gebruikers bij om de kenmerken van Microsoft Entra-id te hebben.

Resterende gebruikers toewijzen en de initiële synchronisatie bewaken

Zodra het testen is voltooid, wordt een gebruiker ingericht voor SAP Cloud Identity Services en worden bestaande SAP Cloud Identity Services-gebruikers toegewezen aan de toepassingsrol. U kunt eventuele extra geautoriseerde gebruikers toewijzen aan de SAP Cloud Identity Services-toepassing door een van de instructies hier te volgen:

• U kunt elke afzonderlijke gebruiker toewijzen aan de toepassing in het Microsoft Entra-beheercentrum.
• U kunt afzonderlijke gebruikers toewijzen aan de toepassing via de PowerShell-cmdlet New-MgServicePrincipalAppRoleAssignedTo , zoals wordt weergegeven in de vorige sectie, of
• als uw organisatie een licentie voor Microsoft Entra ID-governance heeft, kunt u ook rechtenbeheerbeleid implementeren voor het automatiseren van toegangstoewijzing.

Zodra gebruikers zijn toegewezen aan de toepassingsrol en zich binnen het bereik van het inrichten bevinden, richt de Microsoft Entra-inrichtingsservice deze in op SAP Cloud Identity Services. Houd er rekening mee dat het langer duurt om de eerste synchronisatie uit te voeren dan volgende synchronisaties, die ongeveer om de 40 minuten plaatsvinden zolang de Microsoft Entra-inrichtingsservice wordt uitgevoerd.

Als u niet ziet dat gebruikers worden ingericht, raadpleegt u de stappen in de gids voor probleemoplossing voor het geval dat geen gebruikers worden ingericht. Controleer vervolgens het inrichtingslogboek via het Microsoft Entra-beheercentrum of de Graph API's. Filter het logboek op de status Mislukt. Als er fouten zijn met een ErrorCode van DuplicateTargetEntries, duidt dit op een dubbelzinnigheid in uw provisioningsregels en moet u de Microsoft Entra-gebruikers of de toewijzingen bijwerken die worden gebruikt om ervoor te zorgen dat elke Microsoft Entra-gebruiker aan één toepassingsgebruiker wordt gekoppeld. Filter vervolgens het logboek op de actie Aanmaken en status Overgeslagen. Als gebruikers zijn overgeslagen met de SkipReason-code van NotEffectivelyEntitled, kan dit erop wijzen dat de gebruikersaccounts in Microsoft Entra ID niet overeenkwamen omdat de status van het gebruikersaccount Uitgeschakeldwas.

Eenmalige aanmelding configureren

U kunt er ook voor kiezen om eenmalige aanmelding op basis van SAML in te schakelen voor SAP Cloud Identity Services. Volg hiervoor de instructies in het artikel over eenmalige aanmelding van SAP Cloud Identity Services. Eenmalige aanmelding kan onafhankelijk van automatische inrichting van gebruikers worden geconfigureerd, maar deze twee functies vormen een aanvulling op elkaar.

Het bewaken van de inrichting

U kunt de sectie Synchronisatiedetails gebruiken om de voortgang te controleren en koppelingen te volgen naar het activiteitenrapport van de inrichting, waarin alle acties worden beschreven die door de Microsoft Entra-inrichtingsservice op SAP Cloud Identity Services worden uitgevoerd. U kunt het inrichtingsproject ook bewaken via de Microsoft Graph-API's.

Zie Rapportage over automatische inrichting van gebruikersaccounts voor meer informatie over het lezen van de Microsoft Entra-inrichtingslogboeken.

Toepassingsroltoewijzingen onderhouden

Wanneer gebruikers die zijn toegewezen aan de toepassing worden bijgewerkt in Microsoft Entra ID, worden deze wijzigingen automatisch ingericht voor SAP Cloud Identity Services.

Als u Microsoft Entra ID-governance hebt, kunt u wijzigingen in de roltoewijzingen van de toepassing voor SAP Cloud Identity Services in Microsoft Entra ID automatiseren, toewijzingen toevoegen of verwijderen wanneer personen deelnemen aan de organisatie, of rollen verlaten of wijzigen.

• U kunt een eenmalige of terugkerende toegangsbeoordeling uitvoeren van de roltoewijzingen van de toepassing.
• U kunt een toegangspakket voor rechtenbeheer maken voor deze toepassing. U kunt beleidsregels hebben voor gebruikers die toegang moeten krijgen wanneer ze aanvragen, door een beheerder, automatisch op basis van regels of via levenscycluswerkstromen.

Meer middelen

• Gebruikersaccountinrichting voor zakelijke apps beheren
• Wat is toegang tot toepassingen en eenmalige aanmelding met Microsoft Entra ID?
• Toegang tot uw SAP-toepassingen beheren
• Toegang voor toepassingen in uw omgeving beheren

Verwante inhoud

• Meer informatie over het controleren van logboeken en het ophalen van rapporten over de inrichtingsactiviteit