Samouczek: konfigurowanie usług SAP Cloud Identity Services na potrzeby automatycznej aprowizacji użytkowników
W tym samouczku przedstawiono kroki konfigurowania aprowizacji z usługi Microsoft Entra ID do usług SAP Cloud Identity Services. Celem jest skonfigurowanie identyfikatora Entra firmy Microsoft w celu automatycznego aprowizowania i anulowania aprowizacji użytkowników w usługach SAP Cloud Identity Services, dzięki czemu ci użytkownicy mogą uwierzytelniać się w usługach SAP Cloud Identity Services i mieć dostęp do innych obciążeń SAP. Usługa SAP Cloud Identity Services obsługuje aprowizowanie z lokalnego katalogu tożsamości do innych aplikacji SAP jako systemów docelowych.
Uwaga
W tym samouczku opisano łącznik wbudowany w usługę aprowizacji użytkowników firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft. Usługa SAP Cloud Identity Services ma również własny oddzielny łącznik do odczytywania użytkowników i grup z identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz SAP Cloud Identity Services — Identity Provisioning — Microsoft Entra ID jako system źródłowy.
Wymagania wstępne
W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:
- Dzierżawa Microsoft Entra
- Dzierżawa usług SAP Cloud Identity Services
- Konto użytkownika w usługach SAP Cloud Identity Services z uprawnieniami administratora.
Uwaga
Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w środowisku chmury publicznej.
Jeśli jeszcze nie masz użytkowników w usłudze Microsoft Entra ID, zacznij od planu samouczka wdrażania usługi Microsoft Entra na potrzeby aprowizacji użytkowników za pomocą aplikacji źródłowych i docelowych SAP. W tym samouczku pokazano, jak połączyć firmę Microsoft Entra ze źródłami autorytatywnymi dla listy procesów roboczych w organizacji, takich jak SAP SuccessFactors. Pokazano również, jak używać firmy Microsoft Entra do konfigurowania tożsamości dla tych pracowników, aby mogli zalogować się do co najmniej jednej aplikacji SAP, takiej jak SAP ECC lub SAP S/4HANA.
Jeśli konfigurujesz aprowizację w usługach SAP Cloud Identity Services w środowisku produkcyjnym, w którym będziesz zarządzać dostępem do obciążeń SAP przy użyciu Zarządzanie tożsamością Microsoft Entra, przed skonfigurowaniem identyfikatora Entra firmy Microsoft pod kątem ładu tożsamości przed kontynuowaniem zapoznaj się z wymaganiami wstępnymi.
Konfigurowanie usług SAP Cloud Identity Services na potrzeby aprowizacji
Zaloguj się do konsoli
https://<tenantID>.accounts.ondemand.com/admin
administracyjnej usług SAP Cloud Identity Services lubhttps://<tenantID>.trial-accounts.ondemand.com/admin
w przypadku wersji próbnej. Przejdź do > autoryzacji.Naciśnij przycisk +Dodaj na panelu po lewej stronie, aby dodać nowego administratora do listy. Wybierz pozycję Dodaj system i wprowadź nazwę systemu.
Uwaga
Tożsamość administratora w usługach SAP Cloud Identity Services musi być typu System. Podczas aprowizacji użytkownik administratora nie będzie mógł uwierzytelniać się w interfejsie API SCIM SAP. Usługa SAP Cloud Identity Services nie zezwala na zmianę nazwy systemu po jego utworzeniu.
W obszarze Konfigurowanie autoryzacji włącz przycisk przełączania względem pozycji Zarządzaj użytkownikami. Następnie kliknij przycisk Zapisz , aby utworzyć system.
Po utworzeniu systemu administratora dodaj nowy wpis tajny do tego systemu.
Skopiuj identyfikator klienta i klucz tajny klienta generowany przez oprogramowanie SAP. Te wartości zostaną wprowadzone odpowiednio w polach Nazwa użytkownika administratora i Hasło administratora. Odbywa się to na karcie Aprowizacja aplikacji SAP Cloud Identity Services, którą skonfigurujesz w następnej sekcji.
Usługi SAP Cloud Identity Services mogą mieć mapowania na co najmniej jedną aplikację SAP jako systemy docelowe. Sprawdź, czy istnieją jakieś atrybuty dla użytkowników, których te aplikacje SAP wymagają aprowizacji za pośrednictwem usług SAP Cloud Identity Services. W tym samouczku założono, że usługi SAP Cloud Identity Services i podrzędne systemy docelowe wymagają dwóch atrybutów i
userName
emails[type eq "work"].value
. Jeśli systemy docelowe SAP wymagają innych atrybutów i nie są one częścią schematu użytkownika identyfikatora Entra firmy Microsoft, może być konieczne skonfigurowanie atrybutów rozszerzenia synchronizacji.
Dodawanie usług SAP Cloud Identity Services z galerii
Przed skonfigurowaniem identyfikatora Entra firmy Microsoft w celu automatycznej aprowizacji użytkowników w usługach SAP Cloud Identity Services należy dodać usługi SAP Cloud Identity Services z galerii aplikacji Microsoft Entra do listy aplikacji dla przedsiębiorstw w dzierżawie. Ten krok można wykonać w centrum administracyjnym firmy Microsoft Entra lub za pośrednictwem interfejsu API programu Graph.
Jeśli usługi SAP Cloud Identity Services są już skonfigurowane do logowania jednokrotnego z firmy Microsoft Entra, a aplikacja jest już obecna na liście aplikacji firmy Microsoft Entra, przejdź do następnej sekcji.
Aby dodać usługi SAP Cloud Identity Services z galerii aplikacji Firmy Microsoft Entra przy użyciu centrum administracyjnego firmy Microsoft Entra, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do sekcji Identity Applications Enterprise applications> dla>przedsiębiorstw).
- Aby dodać aplikację z galerii, wpisz SAP Cloud Identity Services w polu wyszukiwania.
- Wybierz pozycję SAP Cloud Identity Services z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.
Konfigurowanie automatycznej aprowizacji użytkowników w usługach SAP Cloud Identity Services
Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników w usługach SAP Cloud Identity Services na podstawie przypisań użytkowników do aplikacji w usłudze Microsoft Entra ID.
Aby skonfigurować automatyczną aprowizację użytkowników dla usług SAP Cloud Identity Services w usłudze Microsoft Entra ID:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>
Na liście aplikacji wybierz aplikację SAP Cloud Identity Services.
Wybierz kartę Właściwości.
Sprawdź, czy opcja Przypisania jest wymagana? jest ustawiona na Wartość Tak. Jeśli jest ustawiona wartość Nie, wszyscy użytkownicy w katalogu, w tym tożsamości zewnętrzne, mogą uzyskiwać dostęp do aplikacji i nie możesz przeglądać dostępu do aplikacji.
Wybierz kartę Aprowizacja.
Ustaw Tryb aprowizacji na Automatyczny.
W sekcji Poświadczenia administratora wprowadź wartość
https://<tenantID>.accounts.ondemand.com/service/scim
lubhttps://<tenantid>.trial-accounts.ondemand.com/service/scim
, jeśli jest to wersja próbna, z identyfikatorem dzierżawy usług SAP Cloud Identity Services w adresie URL dzierżawy. Wprowadź odpowiednio wartości Identyfikator klienta i Klucz tajny klienta pobrane wcześniej w polach Nazwa użytkownika administratora i Hasło administratora. Kliknij pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługami SAP Cloud Identity Services. Jeśli połączenie nie powiedzie się, upewnij się, że konto systemowe usług SAP Cloud Identity Services ma uprawnienia administratora, wpis tajny jest nadal prawidłowy i spróbuj ponownie.W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji, i zaznacz pole wyboru — Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.
Kliknij przycisk Zapisz.
W sekcji Mapowania wybierz pozycję Aprowizuj użytkowników identyfikatora Entra firmy Microsoft.
Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do usług SAP Cloud Identity Services w sekcji Mapowanie atrybutów. Jeśli atrybuty w usługach SAP Cloud Identity Services nie są widoczne jako element docelowy do mapowania, wybierz pozycję Pokaż opcje zaawansowane i wybierz pozycję Edytuj listę atrybutów dla usługi SAP Cloud Platform Identity Authentication, aby edytować listę obsługiwanych atrybutów. Dodaj atrybuty dzierżawy usług SAP Cloud Identity Services.
Przejrzyj i zarejestruj atrybuty źródłowe i docelowe wybrane jako Pasujące właściwości, mapowania, które mają pierwszeństwo dopasowywania, ponieważ te atrybuty są używane do dopasowania kont użytkowników w usługach SAP Cloud Identity Services dla usługi aprowizacji firmy Microsoft w celu określenia, czy utworzyć nowego użytkownika, czy zaktualizować istniejącego użytkownika. Aby uzyskać więcej informacji na temat dopasowywania, zobacz dopasowywanie użytkowników w systemach źródłowych i docelowych. W kolejnym kroku upewnisz się, że wszyscy użytkownicy już w usługach SAP Cloud Identity Services mają wybrane atrybuty jako wypełnione właściwości dopasowywania , aby zapobiec tworzeniu zduplikowanych użytkowników.
Upewnij się, że istnieje mapowanie atrybutów dla
IsSoftDeleted
elementu lub funkcji zawierającejIsSoftDeleted
element , zamapowany na atrybut aplikacji. Gdy użytkownik nie jest przypisywany z aplikacji, usunięty nietrwale w identyfikatorze Microsoft Entra ID lub zablokowany przed logowaniem, usługa aprowizacji firmy Microsoft zaktualizuje atrybut zamapowany naisSoftDeleted
. Jeśli atrybut nie zostanie zamapowany, użytkownicy, którzy później nie są przypisani z roli aplikacji, będą nadal istnieć w magazynie danych aplikacji.Dodaj wszelkie dodatkowe mapowania wymagane przez usługi SAP Cloud Identity Services lub podrzędne docelowe systemy SAP.
Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
Atrybut Typ Obsługiwane do filtrowania Wymagane przez usługę SAP Cloud Identity Services userName
String ✓ ✓ emails[type eq "work"].value
String ✓ active
Wartość logiczna displayName
String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager
Odwołanie addresses[type eq "work"].country
String addresses[type eq "work"].locality
String addresses[type eq "work"].postalCode
String addresses[type eq "work"].region
String addresses[type eq "work"].streetAddress
String name.givenName
String name.familyName
String name.honorificPrefix
String phoneNumbers[type eq "fax"].value
String phoneNumbers[type eq "mobile"].value
String phoneNumbers[type eq "work"].value
String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter
String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
String locale
String timezone
String userType
String company
String urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute1
String urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute2
String urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute3
String urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute4
String urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute5
String urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute6
String urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute7
String urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute8
String urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute9
String urn:sap:cloud:scim:schemas:extension:custom:2.0:User:attributes:customAttribute10
String sendMail
String mailVerified
String Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.
Aby włączyć usługę aprowizacji firmy Microsoft dla usług SAP Cloud Identity Services, zmień stan aprowizacji na Wł . w sekcji Ustawienia .
Dla wartości Zakres w sekcji Ustawienia wybierz pozycję Synchronizuj tylko przypisanych użytkowników i grupy.
Gdy wszystko będzie gotowe do aprowizacji, kliknij przycisk Zapisz.
Ta operacja rozpoczyna początkową synchronizację wszystkich użytkowników zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Jeśli masz ustawiony zakres na Synchronizacja tylko przypisanych użytkowników i grup, a do aplikacji nie przypisano żadnych użytkowników lub grup , synchronizacja nie zostanie wykonana, dopóki użytkownicy nie zostaną przypisani do aplikacji.
Aprowizuj nowego użytkownika testowego z identyfikatora Entra firmy Microsoft do usług SAP Cloud Identity Services
Zaleca się przypisanie jednego nowego użytkownika testowego firmy Microsoft Entra do usług SAP Cloud Identity Services w celu przetestowania automatycznej konfiguracji aprowizacji użytkowników.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator aplikacji w chmurze i administrator użytkowników.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownika.
- Wpisz główną nazwę użytkownika i nazwę wyświetlaną nowego użytkownika testowego. Główna nazwa użytkownika musi być unikatowa, a nie taka sama jak bieżący lub poprzedni użytkownik firmy Microsoft Entra lub użytkownik sap Cloud Identity Services. Wybierz pozycję Przeglądanie + tworzenie i pozycję Utwórz.
- Po utworzeniu użytkownika testowego przejdź do sekcji Identity>Applications Enterprise Applications>.
- Wybierz aplikację SAP Cloud Identity Services.
- Wybierz pozycję Użytkownicy i grupy , a następnie wybierz pozycję Dodaj użytkownika/grupę.
- W obszarze Użytkownicy i grupy wybierz pozycję Brak zaznaczone, a w polu tekstowym wpisz główną nazwę użytkownika testowego.
- Wybierz pozycję Wybierz, a następnie przypisz.
- Wybierz pozycję Aprowizowanie, a następnie wybierz pozycję Aprowizowanie na żądanie.
- W polu tekstowym Wybierz użytkownika lub grupę wpisz główną nazwę użytkownika testowego.
- Kliknij pozycję Aprowizuj.
- Poczekaj na zakończenie aprowizacji. Jeśli operacja powiedzie się, zostanie wyświetlony komunikat
Modified attributes (successful)
.
Opcjonalnie możesz również sprawdzić, co usługa aprowizacji firmy Microsoft będzie aprowizować, gdy użytkownik wykracza poza zakres aplikacji.
- Wybierz pozycję Użytkownicy i grupy.
- Wybierz użytkownika testowego, a następnie wybierz pozycję Usuń.
- Po usunięciu użytkownika testowego wybierz pozycję Aprowizowanie , a następnie wybierz pozycję Aprowizacja na żądanie.
- W polu tekstowym Select a user or group (Wybierz użytkownika lub grupę ) wpisz nazwę główną użytkownika testowego.
- Kliknij pozycję Aprowizuj.
- Poczekaj na zakończenie aprowizacji.
Na koniec możesz usunąć użytkownika testowego z identyfikatora Entra firmy Microsoft.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika testowego, wybierz pozycję Usuń, a następnie wybierz przycisk OK. Ta akcja nietrwała usuwa użytkownika testowego z identyfikatora Entra firmy Microsoft.
Następnie możesz usunąć użytkownika testowego z usług SAP Cloud Identity Services.
Upewnij się, że istniejący użytkownicy usług SAP Cloud Identity Services mają niezbędne pasujące atrybuty
Przed przypisanie użytkowników niebędących testami do aplikacji SAP Cloud Identity Services w usłudze Microsoft Entra ID należy upewnić się, że wszyscy użytkownicy już w usługach SAP Cloud Identity Services reprezentujących te same osoby co użytkownicy w usłudze Microsoft Entra ID mają atrybuty mapowania wypełnione w usługach SAP Cloud Identity Services.
W mapowaniu aprowizacji atrybuty wybrane jako Pasujące właściwości są używane do dopasowania kont użytkowników w usłudze Microsoft Entra ID z kontami użytkowników w usługach SAP Cloud Identity Services. Jeśli użytkownik w usłudze Microsoft Entra ID nie jest zgodny z usługami SAP Cloud Identity Services, usługa aprowizacji Firmy Microsoft podejmie próbę utworzenia nowego użytkownika. Jeśli w usłudze SAP Cloud Identity Services istnieje użytkownik w usłudze Microsoft Entra ID i dopasowanie, usługa aprowizacji firmy Microsoft zaktualizuje użytkownika usług SAP Cloud Identity Services. Z tego powodu należy upewnić się, że wszyscy użytkownicy już w usługach SAP Cloud Identity Services mają wybrane atrybuty jako wypełnione pasujące właściwości. W przeciwnym razie można utworzyć zduplikowanych użytkowników. Jeśli musisz zmienić pasujący atrybut w mapowaniu atrybutów aplikacji Microsoft Entra, zobacz dopasowywanie użytkowników w systemach źródłowych i docelowych.
Zaloguj się do konsoli
https://<tenantID>.accounts.ondemand.com/admin
administracyjnej usług SAP Cloud Identity Services lubhttps://<tenantID>.trial-accounts.ondemand.com/admin
w przypadku wersji próbnej.Przejdź do pozycji Użytkownicy i autoryzacje > Eksportuj użytkowników.
Wybierz wszystkie atrybuty wymagane do dopasowania użytkowników firmy Microsoft Entra z tymi w oprogramowaniu SAP. Te atrybuty obejmują
SCIM ID
atrybuty ,userName
,emails
i inne, które mogą być używane w systemach SAP jako identyfikatory.Wybierz pozycję Eksportuj i poczekaj na pobranie pliku CSV w przeglądarce.
Otwórz okno programu PowerShell.
Wpisz następujący skrypt w edytorze. W wierszu jeden, jeśli wybrano inny zgodny atrybut inny niż
userName
, zmień wartośćsapScimUserNameField
zmiennej na nazwę atrybutu SAP Cloud Identity Services. W wierszu dwa zmień argument na nazwę wyeksportowanego pliku CSV zUsers-exported-from-sap.csv
na nazwę pobranego pliku.$sapScimUserNameField = "userName" $existingSapUsers = import-csv -Path ".\Users-exported-from-sap.csv" -Encoding UTF8 $count = 0 $warn = 0 foreach ($u in $existingSapUsers) { $id = $u.id if (($null -eq $id) -or ($id.length -eq 0)) { write-error "Exported CSV file does not contain the id attribute of SAP Cloud Identity Services users." throw "id attribute not available, re-export" return } $count++ $userName = $u.$sapScimUserNameField if (($null -eq $userName) -or ($userName.length -eq 0)) { write-warning "SAP Cloud Identity Services user $id does not have a $sapScimUserNameField attribute populated" $warn++ } } write-output "$warn of $count users in SAP Cloud Identity Services did not have the $sapScimUserNameFIeld attribute populated."
Uruchom skrypt. Po zakończeniu działania skryptu, jeśli brakuje co najmniej jednego użytkownika, którzy nie mieli wymaganego atrybutu dopasowania, wyszukaj tych użytkowników w wyeksportowanym pliku CSV lub w konsoli administracyjnej usług SAP Cloud Identity Services. Jeśli ci użytkownicy są również obecni w firmie Microsoft Entra, należy najpierw zaktualizować reprezentację tych użytkowników w usłudze SAP Cloud Identity Services, aby mieli wypełniony odpowiedni atrybut.
Po zaktualizowaniu atrybutów tych użytkowników w usługach SAP Cloud Identity Services ponownie wyeksportuj użytkowników z usług SAP Cloud Identity Services, zgodnie z opisem w krokach 2–5 i krokach programu PowerShell w tej sekcji, aby potwierdzić, że żaden użytkownik w usługach SAP Cloud Identity Services nie ma pasujących atrybutów, które uniemożliwiłyby aprowizowanie tych użytkowników.
Teraz, gdy masz listę wszystkich użytkowników uzyskanych z usług SAP Cloud Identity Services, dopasujesz tych użytkowników z magazynu danych aplikacji, z użytkownikami już w usłudze Microsoft Entra ID, aby określić, którzy użytkownicy powinni być w zakresie aprowizacji.
Pobieranie identyfikatorów użytkowników w identyfikatorze entra firmy Microsoft
W tej sekcji przedstawiono sposób interakcji z identyfikatorem Entra firmy Microsoft przy użyciu poleceń cmdlet programu PowerShell programu Microsoft Graph.
Przy pierwszym użyciu tych poleceń cmdlet w organizacji w tym scenariuszu musisz być w roli administratora globalnego, aby zezwolić programowi Microsoft Graph PowerShell na używanie go w dzierżawie. Kolejne interakcje mogą używać roli o niższych uprawnieniach, takich jak:
- Administrator użytkowników, jeśli przewidujesz tworzenie nowych użytkowników.
- Administrator aplikacji lub Administrator ładu tożsamości, jeśli zarządzasz przypisaniami ról aplikacji.
Otwórz program PowerShell.
Jeśli nie masz już zainstalowanych modułów programu PowerShell programu Microsoft Graph, zainstaluj
Microsoft.Graph.Users
moduł i inne za pomocą tego polecenia:Install-Module Microsoft.Graph
Jeśli masz już zainstalowane moduły, upewnij się, że używasz najnowszej wersji:
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
Połącz się z identyfikatorem Entra firmy Microsoft:
$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All,Application.ReadWrite.All,AppRoleAssignment.ReadWrite.All,EntitlementManagement.ReadWrite.All"
Jeśli używasz tego polecenia po raz pierwszy, może być konieczne wyrażenie zgody na zezwolenie narzędziom wiersza polecenia programu Microsoft Graph na te uprawnienia.
Przeczytaj listę użytkowników uzyskanych z magazynu danych aplikacji do sesji programu PowerShell. Jeśli lista użytkowników znajdowała się w pliku CSV, możesz użyć polecenia cmdlet
Import-Csv
programu PowerShell i podać nazwę pliku z poprzedniej sekcji jako argument.Jeśli na przykład plik uzyskany z usług SAP Cloud Identity Services nosi nazwę Users-exported-from-sap.csv i znajduje się w bieżącym katalogu, wprowadź to polecenie.
$filename = ".\Users-exported-from-sap.csv" $dbusers = Import-Csv -Path $filename -Encoding UTF8
W innym przykładzie, jeśli używasz bazy danych lub katalogu, jeśli plik ma nazwę users.csv i znajduje się w bieżącym katalogu, wprowadź następujące polecenie:
$filename = ".\users.csv" $dbusers = Import-Csv -Path $filename -Encoding UTF8
Wybierz kolumnę pliku users.csv , który będzie zgodny z atrybutem użytkownika w usłudze Microsoft Entra ID.
Jeśli używasz usług SAP Cloud Identity Services, domyślne mapowanie to atrybut SAP SCIM z atrybutem
userName
userPrincipalName
Microsoft Entra ID :$db_match_column_name = "userName" $azuread_match_attr_name = "userPrincipalName"
W innym przykładzie, jeśli używasz bazy danych lub katalogu, być może użytkownicy w bazie danych, w której wartość w kolumnie o nazwie
EMail
jest taka sama jak w atrybucieuserPrincipalName
Microsoft Entra :$db_match_column_name = "EMail" $azuread_match_attr_name = "userPrincipalName"
Pobierz identyfikatory tych użytkowników w identyfikatorze Entra firmy Microsoft.
Poniższy skrypt programu PowerShell używa
$dbusers
określonych wcześniej wartości ,$db_match_column_name
i$azuread_match_attr_name
. Spowoduje to wysłanie zapytania do identyfikatora Entra firmy Microsoft w celu zlokalizowania użytkownika, który ma atrybut z pasującą wartością dla każdego rekordu w pliku źródłowym. Jeśli w pliku uzyskanym ze źródłowej usługi SAP Cloud Identity Services, bazy danych lub katalogu istnieje wiele użytkowników, ten skrypt może potrwać kilka minut. Jeśli nie masz atrybutu w identyfikatorze Entra firmy Microsoft, który ma wartość i musisz użyćcontains
lub innego wyrażenia filtru, musisz dostosować ten skrypt i to w kroku 11 poniżej, aby użyć innego wyrażenia filtru.$dbu_not_queried_list = @() $dbu_not_matched_list = @() $dbu_match_ambiguous_list = @() $dbu_query_failed_list = @() $azuread_match_id_list = @() $azuread_not_enabled_list = @() $dbu_values = @() $dbu_duplicate_list = @() foreach ($dbu in $dbusers) { if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { $val = $dbu.$db_match_column_name $escval = $val -replace "'","''" if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval } $filter = $azuread_match_attr_name + " eq '" + $escval + "'" try { $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop) if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else { $id = $ul[0].id; $azuread_match_id_list += $id; if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id } } } catch { $dbu_query_failed_list += $dbu } } else { $dbu_not_queried_list += $dbu } }
Wyświetl wyniki poprzednich zapytań. Sprawdź, czy którykolwiek z użytkowników w usługach SAP Cloud Identity Services, bazie danych lub katalogu nie może znajdować się w identyfikatorze Entra firmy Microsoft z powodu błędów lub brakujących dopasowań.
Poniższy skrypt programu PowerShell wyświetli liczbę rekordów, które nie zostały zlokalizowane:
$dbu_not_queried_count = $dbu_not_queried_list.Count if ($dbu_not_queried_count -ne 0) { Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name." } $dbu_duplicate_count = $dbu_duplicate_list.Count if ($dbu_duplicate_count -ne 0) { Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value" } $dbu_not_matched_count = $dbu_not_matched_list.Count if ($dbu_not_matched_count -ne 0) { Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name." } $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count if ($dbu_match_ambiguous_count -ne 0) { Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous." } $dbu_query_failed_count = $dbu_query_failed_list.Count if ($dbu_query_failed_count -ne 0) { Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors." } $azuread_not_enabled_count = $azuread_not_enabled_list.Count if ($azuread_not_enabled_count -ne 0) { Write-Error "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in." } if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count) { Write-Output "You will need to resolve those issues before access of all existing users can be reviewed." } $azuread_match_count = $azuread_match_id_list.Count Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."
Po zakończeniu działania skryptu będzie on wskazywać błąd, jeśli jakiekolwiek rekordy ze źródła danych nie znajdowały się w identyfikatorze Entra firmy Microsoft. Jeśli nie wszystkie rekordy użytkowników z magazynu danych aplikacji mogą znajdować się jako użytkownicy w usłudze Microsoft Entra ID, należy zbadać, które rekordy nie są zgodne i dlaczego.
Na przykład adres e-mail użytkownika i userPrincipalName mogły zostać zmienione w identyfikatorze Entra firmy Microsoft bez aktualizowania odpowiedniej
mail
właściwości w źródle danych aplikacji. Lub użytkownik mógł już opuścił organizację, ale nadal znajduje się w źródle danych aplikacji. Może też istnieć konto dostawcy lub administratora w źródle danych aplikacji, które nie odpowiada żadnej konkretnej osobie w identyfikatorze Entra firmy Microsoft.Jeśli nie było użytkowników, którzy nie mogli znajdować się w identyfikatorze Entra firmy Microsoft lub nie byli aktywni i mogli się zalogować, ale chcesz mieć przeglądany dostęp lub ich atrybuty zaktualizowane w usługach SAP Cloud Identity Services, bazie danych lub katalogu, musisz zaktualizować aplikację, regułę dopasowania lub zaktualizować lub utworzyć dla nich użytkowników firmy Microsoft Entra. Aby uzyskać więcej informacji na temat wprowadzania zmian, zobacz Zarządzanie mapowaniami i kontami użytkowników w aplikacjach, które nie są zgodne z użytkownikami w identyfikatorze Entra firmy Microsoft.
Jeśli wybierzesz opcję tworzenia użytkowników w usłudze Microsoft Entra ID, możesz utworzyć użytkowników zbiorczo przy użyciu jednego z następujących elementów:
- Plik CSV, zgodnie z opisem w artykule Zbiorcze tworzenie użytkowników w centrum administracyjnym firmy Microsoft Entra
- Polecenie cmdlet New-MgUser
Upewnij się, że ci nowi użytkownicy są wypełniani atrybutami wymaganymi przez identyfikator Entra firmy Microsoft, aby później dopasować je do istniejących użytkowników w aplikacji, oraz atrybuty wymagane przez identyfikator Entra firmy Microsoft, w tym
userPrincipalName
mailNickname
, idisplayName
. ElementuserPrincipalName
musi być unikatowy dla wszystkich użytkowników w katalogu.Możesz na przykład mieć użytkowników w bazie danych, w której wartość w kolumnie o nazwie
EMail
jest wartością, której chcesz użyć jako głównej nazwy użytkownika Microsoft Entra, wartość w kolumnieAlias
zawiera pseudonim poczty Microsoft Entra ID, a wartość w kolumnieFull name
zawiera nazwę wyświetlaną użytkownika:$db_display_name_column_name = "Full name" $db_user_principal_name_column_name = "Email" $db_mail_nickname_column_name = "Alias"
Następnie możesz użyć tego skryptu, aby utworzyć użytkowników usługi Microsoft Entra dla użytkowników w usługach SAP Cloud Identity Services, bazie danych lub katalogu, który nie był zgodny z użytkownikami w usłudze Microsoft Entra ID. Należy pamiętać, że może być konieczne zmodyfikowanie tego skryptu w celu dodania dodatkowych atrybutów firmy Microsoft Entra wymaganych w organizacji lub jeśli
$azuread_match_attr_name
parametr niemailNickname
jest aniuserPrincipalName
, aby podać ten atrybut Entra firmy Microsoft.$dbu_missing_columns_list = @() $dbu_creation_failed_list = @() foreach ($dbu in $dbu_not_matched_list) { if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) { $params = @{ accountEnabled = $false displayName = $dbu.$db_display_name_column_name mailNickname = $dbu.$db_mail_nickname_column_name userPrincipalName = $dbu.$db_user_principal_name_column_name passwordProfile = @{ Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_}) } } try { New-MgUser -BodyParameter $params } catch { $dbu_creation_failed_list += $dbu; throw } } else { $dbu_missing_columns_list += $dbu } }
Po dodaniu wszystkich brakujących użytkowników do identyfikatora Entra firmy Microsoft ponownie uruchom skrypt z kroku 7. Następnie uruchom skrypt z kroku 8. Sprawdź, czy nie zgłoszono żadnych błędów.
$dbu_not_queried_list = @() $dbu_not_matched_list = @() $dbu_match_ambiguous_list = @() $dbu_query_failed_list = @() $azuread_match_id_list = @() $azuread_not_enabled_list = @() $dbu_values = @() $dbu_duplicate_list = @() foreach ($dbu in $dbusers) { if ($null -ne $dbu.$db_match_column_name -and $dbu.$db_match_column_name.Length -gt 0) { $val = $dbu.$db_match_column_name $escval = $val -replace "'","''" if ($dbu_values -contains $escval) { $dbu_duplicate_list += $dbu; continue } else { $dbu_values += $escval } $filter = $azuread_match_attr_name + " eq '" + $escval + "'" try { $ul = @(Get-MgUser -Filter $filter -All -Property Id,accountEnabled -ErrorAction Stop) if ($ul.length -eq 0) { $dbu_not_matched_list += $dbu; } elseif ($ul.length -gt 1) {$dbu_match_ambiguous_list += $dbu } else { $id = $ul[0].id; $azuread_match_id_list += $id; if ($ul[0].accountEnabled -eq $false) {$azuread_not_enabled_list += $id } } } catch { $dbu_query_failed_list += $dbu } } else { $dbu_not_queried_list += $dbu } } $dbu_not_queried_count = $dbu_not_queried_list.Count if ($dbu_not_queried_count -ne 0) { Write-Error "Unable to query for $dbu_not_queried_count records as rows lacked values for $db_match_column_name." } $dbu_duplicate_count = $dbu_duplicate_list.Count if ($dbu_duplicate_count -ne 0) { Write-Error "Unable to locate Microsoft Entra ID users for $dbu_duplicate_count rows as multiple rows have the same value" } $dbu_not_matched_count = $dbu_not_matched_list.Count if ($dbu_not_matched_count -ne 0) { Write-Error "Unable to locate $dbu_not_matched_count records in Microsoft Entra ID by querying for $db_match_column_name values in $azuread_match_attr_name." } $dbu_match_ambiguous_count = $dbu_match_ambiguous_list.Count if ($dbu_match_ambiguous_count -ne 0) { Write-Error "Unable to locate $dbu_match_ambiguous_count records in Microsoft Entra ID as attribute match ambiguous." } $dbu_query_failed_count = $dbu_query_failed_list.Count if ($dbu_query_failed_count -ne 0) { Write-Error "Unable to locate $dbu_query_failed_count records in Microsoft Entra ID as queries returned errors." } $azuread_not_enabled_count = $azuread_not_enabled_list.Count if ($azuread_not_enabled_count -ne 0) { Write-Warning "$azuread_not_enabled_count users in Microsoft Entra ID are blocked from sign-in." } if ($dbu_not_queried_count -ne 0 -or $dbu_duplicate_count -ne 0 -or $dbu_not_matched_count -ne 0 -or $dbu_match_ambiguous_count -ne 0 -or $dbu_query_failed_count -ne 0 -or $azuread_not_enabled_count -ne 0) { Write-Output "You will need to resolve those issues before access of all existing users can be reviewed." } $azuread_match_count = $azuread_match_id_list.Count Write-Output "Users corresponding to $azuread_match_count records were located in Microsoft Entra ID."
Upewnij się, że istniejący użytkownicy firmy Microsoft Entra mają niezbędne atrybuty
Przed włączeniem automatycznej aprowizacji użytkowników musisz zdecydować, którzy użytkownicy w usłudze Microsoft Entra ID potrzebują dostępu do usług SAP Cloud Identity Services, a następnie należy sprawdzić, czy ci użytkownicy mają niezbędne atrybuty w identyfikatorze Firmy Microsoft Entra, a te atrybuty są mapowane na oczekiwany schemat usług SAP Cloud Identity Services.
- Domyślnie wartość atrybutu użytkownika
userPrincipalName
Entra firmy Microsoft jest mapowana nauserName
atrybuty iemails[type eq "work"].value
usług SAP Cloud Identity Services. Jeśli adresy e-mail użytkownika różnią się od głównych nazw użytkowników, może być konieczne zmianę tego mapowania. - Usługi SAP Cloud Identity Services mogą ignorować wartości atrybutu
postalCode
, jeśli format kodu pocztowego firmy nie jest zgodny z krajem lub regionem firmy. - Domyślnie atrybut
department
Microsoft Entra jest mapowany na atrybut SAP Cloud Identity Servicesurn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
. Jeśli użytkownicy firmy Microsoft Entra mają wartości atrybutudepartment
, te wartości muszą być zgodne z tymi działami skonfigurowanymi już w usługach SAP Cloud Identity Services, w przeciwnym razie tworzenie lub aktualizowanie użytkownika zakończy się niepowodzeniem.department
Jeśli wartości użytkowników firmy Microsoft Entra nie są zgodne z tymi w środowisku SAP, usuń mapowanie przed przypisaniem użytkowników. - Punkt końcowy SCIM usług SAP Cloud Identity Services wymaga określonego formatu niektórych atrybutów. Więcej informacji na temat tych atrybutów i ich konkretnego formatu można znaleźć tutaj.
Przypisywanie użytkowników do aplikacji SAP Cloud Identity Services w usłudze Microsoft Entra ID
Identyfikator Entra firmy Microsoft używa koncepcji nazywanej przypisaniami , aby określić, którzy użytkownicy powinni otrzymywać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji użytkowników, jeśli wartość Ustawienia zakresu ma wartość Synchronizuj tylko przypisanych użytkowników i grup, tylko użytkownicy i grupy, które zostały przypisane do roli aplikacji tej aplikacji w identyfikatorze Entra firmy Microsoft, są synchronizowane z usługami SAP Cloud Identity Services. Podczas przypisywania użytkownika do usług SAP Cloud Identity Services należy wybrać dowolną prawidłową rolę specyficzną dla aplikacji (jeśli jest dostępna) w oknie dialogowym przypisywania. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji. Obecnie jedyną dostępną rolą dla usług SAP Cloud Identity Services jest Użytkownik.
Jeśli aprowizacja została już włączona dla aplikacji, sprawdź, czy aprowizacja aplikacji nie znajduje się w kwarantannie przed przypisaniem większej liczby użytkowników do aplikacji. Przed kontynuowaniem rozwiąż wszelkie problemy powodujące kwarantannę.
Sprawdź użytkowników, którzy są obecni w usługach SAP Cloud Identity Services i nie są jeszcze przypisani do aplikacji w usłudze Microsoft Entra ID
Poprzednie kroki oceniły, czy użytkownicy w usługach SAP Cloud Identity Services również istnieją jako użytkownicy w identyfikatorze Entra firmy Microsoft. Jednak mogą one nie być obecnie przypisane do ról aplikacji w identyfikatorze Entra firmy Microsoft. Następnym krokiem jest sprawdzenie, którzy użytkownicy nie mają przypisań do ról aplikacji.
Za pomocą programu PowerShell wyszukaj identyfikator jednostki usługi dla jednostki usługi aplikacji.
Jeśli na przykład aplikacja dla przedsiębiorstw ma nazwę
SAP Cloud Identity Services
, wprowadź następujące polecenia:$azuread_app_name = "SAP Cloud Identity Services" $azuread_sp_filter = "displayName eq '" + ($azuread_app_name -replace "'","''") + "'" $azuread_sp = Get-MgServicePrincipal -Filter $azuread_sp_filter -All
Pobierz użytkowników, którzy mają obecnie przypisania do aplikacji w identyfikatorze Entra firmy Microsoft.
Opiera się to na zmiennej
$azuread_sp
ustawionej w poprzednim poleceniu.$azuread_existing_assignments = @(Get-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -All)
Porównaj listę identyfikatorów użytkowników użytkowników już w usługach SAP Cloud Identity Services i Microsoft Entra ID do tych użytkowników, którzy są obecnie przypisani do aplikacji w usłudze Microsoft Entra ID. Ten skrypt opiera się na zmiennej
$azuread_match_id_list
ustawionej w poprzednich sekcjach:$azuread_not_in_role_list = @() foreach ($id in $azuread_match_id_list) { $found = $false foreach ($existing in $azuread_existing_assignments) { if ($existing.principalId -eq $id) { $found = $true; break; } } if ($found -eq $false) { $azuread_not_in_role_list += $id } } $azuread_not_in_role_count = $azuread_not_in_role_list.Count Write-Output "$azuread_not_in_role_count users in the application's data store are not assigned to the application roles."
Jeśli zerowi użytkownicy nie są przypisani do ról aplikacji, wskazując, że wszyscy użytkownicy są przypisani do ról aplikacji, oznacza to, że nie było żadnych użytkowników wspólnych w usługach Microsoft Entra ID i SAP Cloud Identity Services, więc nie są potrzebne żadne zmiany. Jeśli jednak co najmniej jeden użytkownik już w usługach SAP Cloud Identity Services nie jest obecnie przypisany do ról aplikacji, musisz kontynuować procedurę i dodać ich do jednej z ról aplikacji.
User
Wybierz rolę jednostki usługi aplikacji.$azuread_app_role_name = "User" $azuread_app_role_id = ($azuread_sp.AppRoles | where-object {$_.AllowedMemberTypes -contains "User" -and $_.DisplayName -eq "User"}).Id if ($null -eq $azuread_app_role_id) { write-error "role $azuread_app_role_name not located in application manifest"}
Utwórz przypisania ról aplikacji dla użytkowników, którzy są już obecni w usługach SAP Cloud Identity Services i Microsoft Entra, i obecnie nie mają przypisań ról do aplikacji:
foreach ($u in $azuread_not_in_role_list) { $res = New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $azuread_sp.Id -AppRoleId $azuread_app_role_id -PrincipalId $u -ResourceId $azuread_sp.Id }
Poczekaj minutę na propagację zmian w identyfikatorze Entra firmy Microsoft.
W następnym cyklu aprowizacji firmy Microsoft Entra usługa aprowizacji firmy Microsoft porówna reprezentację tych użytkowników przypisanych do aplikacji z reprezentacją w usługach SAP Cloud Identity Services i zaktualizuje użytkowników usług SAP Cloud Identity Services, aby mieć atrybuty z identyfikatora Entra firmy Microsoft.
Przypisywanie pozostałych użytkowników i monitorowanie synchronizacji początkowej
Po zakończeniu testowania użytkownik zostanie pomyślnie aprowizowany w usługach SAP Cloud Identity Services, a wszyscy istniejący użytkownicy usług SAP Cloud Identity Services zostaną przypisani do roli aplikacji, można przypisać wszystkich dodatkowych autoryzowanych użytkowników do aplikacji SAP Cloud Identity Services, wykonując jedną z instrukcji podanych tutaj:
- Każdy użytkownik można przypisać do aplikacji w centrum administracyjnym firmy Microsoft Entra.
- Możesz przypisać poszczególnych użytkowników do aplikacji za pomocą polecenia cmdlet
New-MgServicePrincipalAppRoleAssignedTo
programu PowerShell, jak pokazano w poprzedniej sekcji, lub - Jeśli organizacja ma licencję na Zarządzanie tożsamością Microsoft Entra, możesz również wdrożyć zasady zarządzania upoważnieniami na potrzeby automatyzacji przypisywania dostępu.
Gdy użytkownicy zostaną przypisani do roli aplikacji i mają zakres aprowizacji, usługa aprowizacji firmy Microsoft będzie aprowizować je w usługach SAP Cloud Identity Services. Należy pamiętać, że synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.
Jeśli nie widzisz aprowizowania użytkowników, zapoznaj się z krokami w przewodniku rozwiązywania problemów, aby nie aprowizować użytkowników. Następnie sprawdź dziennik aprowizacji za pośrednictwem centrum administracyjnego firmy Microsoft lub interfejsów API programu Graph. Przefiltruj dziennik do stanu Niepowodzenie. Jeśli występują błędy z błędem ErrorCode of DuplicateTargetEntries, oznacza to niejednoznaczność w regułach dopasowywania aprowizacji i należy zaktualizować użytkowników usługi Microsoft Entra lub mapowania, które są używane do dopasowywania, aby upewnić się, że każdy użytkownik entra firmy Microsoft jest zgodny z jednym użytkownikiem aplikacji. Następnie przefiltruj dziennik do akcji Utwórz i stan Pominięto. Jeśli użytkownicy zostali pominięti przy użyciu kodu SkipReason notEffectivelyEntitled, może to wskazywać, że konta użytkowników w identyfikatorze Entra Firmy Microsoft nie były zgodne, ponieważ stan konta użytkownika był wyłączony.
Konfigurowanie logowania jednokrotnego
Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla usługi SAP Cloud Identity Services, postępując zgodnie z instrukcjami podanymi w samouczku dotyczącym logowania jednokrotnego usług SAP Cloud Identity Services. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji użytkowników, chociaż te dwie funkcje uzupełniają się wzajemnie.
Monitorowanie aprowizacji
Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do raportu aktywności aprowizacji, który opisuje wszystkie akcje wykonywane przez usługę aprowizacji firmy Microsoft w usługach SAP Cloud Identity Services. Projekt aprowizacji można również monitorować za pośrednictwem interfejsów API programu Microsoft Graph.
Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.
Obsługa przypisań ról aplikacji
Ponieważ użytkownicy przypisani do aplikacji są aktualizowani w usłudze Microsoft Entra ID, te zmiany zostaną automatycznie aprowidowane w usługach SAP Cloud Identity Services.
Jeśli masz Zarządzanie tożsamością Microsoft Entra, możesz zautomatyzować zmiany przypisań ról aplikacji dla usług SAP Cloud Identity Services w usłudze Microsoft Entra ID, aby dodać lub usunąć przypisania jako osoby przyłączone do organizacji lub pozostawić lub zmienić role.
- Można przeprowadzić jednorazowy lub cyklicznych przeglądów przypisań ról aplikacji.
- Możesz utworzyć pakiet dostępu do zarządzania upoważnieniami dla tej aplikacji. Możesz mieć zasady, aby użytkownicy mogli mieć przypisany dostęp, gdy żądają, przez administratora, automatycznie na podstawie reguł lub za pośrednictwem przepływów pracy cyklu życia.
Więcej zasobów
- Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
- Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?
- Zarządzanie dostępem do aplikacji SAP
- Zarządzanie dostępem do aplikacji w środowisku