Configurando o Microsoft Entra ID para provisionar usuários no SAP ECC com NetWeaver AS ABAP 7.0 ou posterior

A documentação a seguir fornece informações de configuração e tutorial demonstrando como provisionar usuários do Microsoft Entra ID no SAP ERP Central Component (SAP ECC, anteriormente SAP R/3) com NetWeaver 7.0 ou posterior. Se você estiver usando outras versões do SAP R/3, ainda poderá usar os guias fornecidos no Connectors for Microsoft Identity Manager 2016 download como referência para criar seu próprio modelo para provisionamento. Se você estiver usando o SAP S/4HANA ou outros aplicativos SAP SaaS, siga o tutorial para configurar o SAP Cloud Identity Services para provisionamento automático de usuários. Para obter mais informações sobre as integrações SAP, consulte gerenciar o acesso aos seus aplicativos SAP.

O vídeo a seguir fornece uma visão geral do provisionamento local.

Capacidades suportadas

• Crie usuários no SAP ECC.
• Remova os usuários no SAP ECC quando eles não precisarem mais de acesso.
• Mantenha os atributos do usuário sincronizados entre o Microsoft Entra ID e o SAP ECC.

Fora de âmbito

• Não há suporte para outros tipos de objeto, incluindo grupos de atividades locais, funções e perfis. Use o Microsoft Identity Manager se esses objetos forem necessários.
• Não há suporte para operações de senha. Use o Microsoft Identity Manager se o gerenciamento de senhas for necessário.

Pré-requisitos para provisionamento para SAP ECC com NetWeaver AS ABAP 7.51

Pré-requisitos no local

O computador que executa o agente de provisionamento deve ter:

• Pelo menos 3 GB de RAM.
• Windows Server 2016 ou uma versão posterior do Windows Server.
• Conectividade com um sistema com SAP ECC NetWeaver AS ABAP 7.51
• Conectividade de saída para login.microsoftonline.com, outros domínios do Microsoft Online Services e do Azure . Um exemplo é uma máquina virtual do Windows Server 2016 hospedada no Azure IaaS ou atrás de um proxy.
• .NET Framework 4.7.2

Requisitos da nuvem

• Um locatário do Microsoft Entra com o Microsoft Entra ID P1 ou Premium P2 (ou EMS E3 ou E5).

  O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, consulte Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.

• A função Administrador de Identidade Híbrida para configurar o agente de provisionamento e as funções de Administrador de Aplicativos ou Administrador de Aplicativos na Nuvem para configurar o provisionamento no centro de administração do Microsoft Entra.

• Os usuários do Microsoft Entra a serem provisionados para o SAP ECC já devem estar preenchidos com quaisquer atributos que serão exigidos pelo SAP ECC.

1. Instale e configure o Agente de Provisionamento do Microsoft Entra Connect

Se você já baixou o agente de provisionamento e o configurou para outro aplicativo local, continue lendo na próxima seção.

1. Inicie sessão no centro de administração do Microsoft Entra.
2. Vá para Aplicativos corporativos e selecione Novo aplicativo.
3. Pesquise o aplicativo ECMA local, dê um nome ao aplicativo e selecione Criar para adicioná-lo ao seu locatário.
4. No menu, navegue até a página Provisionamento do seu aplicativo.
5. Selecione Introdução.
6. Na página Provisionamento, altere o modo para Automático.

7. Em Conectividade local, selecione Baixar e instalar e selecione Aceitar termos & download.

8. Saia do portal e execute o instalador do agente de provisionamento, concorde com os termos de serviço e selecione Instalar.

9. Aguarde o assistente de configuração do agente de provisionamento do Microsoft Entra e selecione Avançar.

10. Na etapa Selecionar extensão, selecione Provisionamento de aplicativo local e selecione Avançar.

11. O agente de provisionamento usará o navegador da Web do sistema operacional para exibir uma janela pop-up para você se autenticar na ID do Microsoft Entra e, potencialmente, também no provedor de identidade da sua organização. Se você estiver usando o Internet Explorer como navegador no Windows Server, talvez seja necessário adicionar sites da Microsoft à lista de sites confiáveis do navegador para permitir que o JavaScript seja executado corretamente.

12. Forneça credenciais para um administrador do Microsoft Entra quando você for solicitado a autorizar. O usuário deve ter pelo menos a função de Administrador de Identidade Híbrida .

13. Selecione Confirmar para confirmar a configuração. Quando a instalação for bem-sucedida, você poderá selecionar Sair e também fechar o instalador do Pacote do Agente de Provisionamento.

2. Exponha as APIs SAP necessárias

Exponha as APIs necessárias no SAP ECC NetWeaver 7.51 para criar, atualizar e excluir usuários. O documento Deploy SAP NetWeaver AS ABAP 7.51 explica como você pode expor as APIs necessárias.

3. Criar um modelo de conector de serviços Web

Se você não estiver migrando de um conector de serviços Web existente no MIM, precisará criar um modelo de conector de serviços Web para o host ECMA. Se você já tiver um modelo de conector de serviços Web do MIM, continue na próxima seção.

Você pode usar o modelo de conector do SAP ECC 7.51 Web Service para o documento ECMA2Host como referência para criar seu modelo. Os conectores para o Microsoft Identity Manager 2016 também fornecem um modelo sapecc.wsconfig como referência. Antes de implantar em produção, você precisará personalizar o modelo para atender às necessidades do seu ambiente específico. Verifique se ServiceName, EndpointName e OperationName estão corretos.

4. Configurar o aplicativo ECMA local

1. No portal, na seção Conectividade Local, selecione o agente implantado e selecione Atribuir agente(s).

   

2. Mantenha esta janela do navegador aberta enquanto conclui a próxima etapa de configuração usando o assistente de configuração.

5. Configurar o certificado Microsoft Entra ECMA Connector Host

1. No Windows Server onde o agente de provisionamento está instalado, clique com o botão direito do mouse no Assistente de Configuração do Microsoft ECMA2Host no menu Iniciar e execute como administrador. A execução como administrador do Windows é necessária para que o assistente crie os logs de eventos do Windows necessários.

2. Depois que a Configuração do Host do Conector ECMA for iniciada, se for a primeira vez que você executar o assistente, ele solicitará que você crie um certificado. Deixe a porta padrão 8585 e selecione Gerar certificado para gerar um certificado. O certificado gerado automaticamente será autoassinado como parte da raiz confiável. O certificado SAN corresponde ao nome do host.

   

3. Selecione Guardar.

6. Configurar o conector de serviços Web genéricos

Nesta seção, você criará a configuração do conector para o SAP ECC.

A configuração da conexão com o SAP ECC é feita usando um assistente. Dependendo das opções selecionadas, algumas das telas do assistente podem não estar disponíveis e as informações podem ser ligeiramente diferentes. Use as informações a seguir para guiá-lo em sua configuração.

6.1 Conectar o agente de provisionamento ao SAP ECC

Para conectar o agente de provisionamento do Microsoft Entra com o SAP ECC, siga estas etapas:

1. Copie o arquivo sapecc.wsconfig de modelo do conector do serviço Web para a C:\Program Files\Microsoft ECMA2Host\Service\ECMA pasta.

2. Gere um token secreto que será usado para autenticar o ID do Microsoft Entra no conector. Deve ter um mínimo de 12 caracteres e ser único para cada aplicação.

3. Se ainda não tiver feito isso, inicie o Assistente de Configuração do Microsoft ECMA2Host no menu Iniciar do Windows.

4. Selecione Novo conector.

   

5. Na página Propriedades, preencha as caixas com os valores especificados na tabela que segue a imagem e selecione Avançar.

   

   Property	valor
   Nome	O nome escolhido para o conector, que deve ser exclusivo em todos os conectores em seu ambiente. Por exemplo, se você tiver apenas uma instância SAP, SAPECC7.
   Temporizador de sincronização automática (minutos)	120
   Token secreto	Insira o token secreto que você gerou para esse conector. A chave deve ter no mínimo 12 caracteres.
   Extensão DLL	Para o conector de serviços Web, selecione Microsoft.IdentityManagement.MA.WebServices.dll.

6. Na página Conectividade, preencha as caixas com os valores especificados na tabela que se segue à imagem e selecione Avançar.

   

   Property	Description
   Projeto de Serviço Web	O nome do modelo SAP ECC, sapecc.
   Host	Nome do host do ponto de extremidade SAP ECC SOAP, por exemplo: vhcalnplci.dummy.nodomain
   Porta	Porta de ponto de extremidade SAP ECC SOAP, por exemplo. 8000

7. Na página Recursos, preencha as caixas com os valores especificados na tabela abaixo e selecione Avançar.

   Property	valor
   Estilo de nome distinto	Genérica
   Tipo de exportação	ObjectReplace
   Normalização de dados	Nenhuma
   Confirmação do objeto	Normal
   Ativar importação	Selecionado
   Importação Delta ativada	Desselecionado
   Ativar exportação	Selecionado
   Ativar exportação completa	Desselecionado
   Ativar senha de exportação na primeira passagem	Selecionado
   Sem valores de referência no primeiro passo de exportação	Desselecionado
   Ativar renomeação de objeto	Desselecionado
   Excluir-Adicionar como Substituir	Desselecionado

Nota

Se o modelo sapecc.wsconfig do conector de serviços Web for aberto para edição na Ferramenta de Configuração de Serviços Web, você receberá um erro.

8. Na página Global, preencha as caixas com os valores especificados na tabela que se segue à imagem e selecione Avançar.

   Property	valor
   ClientCredentialType	Básica
   User name	O nome de usuário de uma conta com direitos para fazer chamadas para os BAPIs usados no modelo SAP ECC.
   Palavra-passe	A senha do nome de usuário fornecido.
   Testar Ligação	Desmarcado, se você não tiver nenhum fluxo de trabalho de Conexão de Teste implementado em seu modelo

9. Na página Partições, selecione Avançar.

10. Na página Executar Perfis, mantenha a caixa de seleção Exportar marcada. Marque a caixa de seleção Importação completa e selecione Avançar. O perfil de execução Exportar será usado quando o host do ECMA Connector precisar enviar alterações do ID do Microsoft Entra para o SAP ECC, para inserir, atualizar e excluir registros. O perfil de execução de importação completa será usado quando o serviço de host do ECMA Connector for iniciado, para ler o conteúdo atual do SAP ECC.

    Property	valor
    Exportar	Execute o perfil que exportará dados para a instância do SAP ECC. Este perfil de execução é necessário.
    Importação total	Execute o perfil que importará todos os dados da instância do SAP ECC especificada anteriormente.
    Importação Delta	Execute o perfil que importará apenas as alterações da instância do SAP ECC desde a última importação completa ou delta.

11. Na página Tipos de Objeto , preencha as caixas e selecione Avançar. Use a tabela que segue a imagem para obter orientação sobre as caixas individuais.

    • Âncora : Os valores deste atributo devem ser exclusivos para cada objeto no sistema de destino. O serviço de provisionamento do Microsoft Entra consultará o host do conector ECMA usando esse atributo após o ciclo inicial. Esse valor é definido no modelo de conector de serviços Web.

    • DN : A opção Gerado automaticamente deve ser selecionada na maioria dos casos. Se não estiver selecionado, certifique-se de que o atributo DN está mapeado para um atributo no Microsoft Entra ID que armazena o DN neste formato: CN = anchorValue, Object = objectType. Para obter mais informações sobre âncoras e DN, consulte Sobre atributos de âncora e nomes distintos.

      Property	valor
      Objeto de destino	User
      Âncora	userName
      DN	userName
      Gerado automaticamente	Selecionado

12. O host do conector ECMA descobre os atributos suportados pelo SAP ECC. Em seguida, você pode escolher quais dos atributos descobertos deseja expor ao ID do Microsoft Entra. Esses atributos podem ser configurados no centro de administração do Microsoft Entra para provisionamento. Na página Selecionar Atributos, adicione todos os atributos na lista suspensa, um de cada vez. A lista suspensa Atributo mostra qualquer atributo que foi descoberto no SAP ECC e não foi escolhido na página Selecionar atributos anterior. Depois que todos os atributos relevantes tiverem sido adicionados, selecione Avançar.

    

13. Na página Desprovisionamento, em Desabilitar fluxo, selecione Excluir. Os atributos selecionados na página anterior não estarão disponíveis para seleção na página Desprovisionamento. Selecione Concluir.

Nota

Se você usar o valor do atributo set, lembre-se de que somente valores booleanos são permitidos.

Na página Desprovisionamento, em Desabilitar fluxo, selecione Nenhum. Você controlará o status da conta de usuário com a propriedade expirationTime . Em Excluir fluxo, selecione Nenhum se não quiser excluir usuários SAP ou Excluir se quiser. Selecione Concluir.

7. Verifique se o serviço ECMA2Host está em execução

1. No servidor que executa o Microsoft Entra ECMA Connector Host, selecione Iniciar.

2. Digite executar e digite services.msc na caixa.

3. Na lista Serviços, verifique se o Microsoft ECMA2Host está presente e em execução. Caso contrário, selecione Iniciar.

   

4. Se você iniciou o serviço recentemente e tem muitos objetos de usuário no SAP ECC, aguarde alguns minutos até que o conector estabeleça uma conexão com o SAP ECC.

8. Configure a conexão do aplicativo no centro de administração do Microsoft Entra

1. Retorne à janela do navegador da Web onde você estava configurando o provisionamento do aplicativo.

   Nota

   Se a janela tiver expirado, você precisará selecionar novamente o agente.

   1. Inicie sessão no centro de administração do Microsoft Entra.
   2. Vá para Aplicativos corporativos e o aplicativo ECMA local.
   3. Selecione Provisionamento.
   4. Selecione Introdução e, em seguida, altere o modo para Automático, na seção Conectividade Local, selecione o agente implantado e selecione Atribuir Agente(s). Caso contrário, vá para Editar provisionamento.

2. Na secção Credenciais de administrador, introduza o seguinte URL. Substitua a {connectorName} parte pelo nome do conector no host do conector ECMA, como SAPECC7. O nome do conector diferencia maiúsculas de minúsculas e deve ser o mesmo caso que foi configurado no assistente. Você também pode substituir localhost pelo nome do host da máquina.

   Property	valor
   URL do locatário	https://localhost:8585/ecma2host_SAPECC7/scim

3. Insira o valor de Token secreto que você definiu quando criou o conector.

   Nota

   Se você acabou de atribuir o agente para o aplicativo, aguarde 10 minutos para que o registro seja concluído. O teste de conectividade não funcionará até que o registro seja concluído. Forçar a conclusão do registro do agente reiniciando o agente de provisionamento no servidor pode acelerar o processo de registro. Vá para o servidor, procure serviços na barra de pesquisa do Windows, identifique o Serviço do Agente de Provisionamento do Microsoft Entra Connect, clique com o botão direito do mouse no serviço e reinicie.

4. Selecione Testar conexão e aguarde um minuto.

5. Depois que o teste de conexão for bem-sucedido e indicar que as credenciais fornecidas estão autorizadas a habilitar o provisionamento, selecione Salvar.

   

9. Configurar mapeamentos de atributos

Agora você mapeará atributos entre a representação do usuário no Microsoft Entra ID e a representação do usuário no SAP ECC.

Você usará o centro de administração do Microsoft Entra para configurar o mapeamento entre os atributos do usuário do Microsoft Entra e os atributos que você selecionou anteriormente no assistente de configuração do Host ECMA.

1. Verifique se o esquema do Microsoft Entra inclui os atributos exigidos pelo SAP ECC. Se ele exigir que os usuários tenham um atributo, e esse atributo ainda não fizer parte do esquema do Microsoft Entra para um usuário, você precisará usar o recurso de extensão de diretório para adicionar esse atributo como uma extensão.

2. No centro de administração do Microsoft Entra, em Aplicativos corporativos, selecione o aplicativo ECMA local e, em seguida, a página Provisionamento .

3. Selecione Editar provisionamento e aguarde 10 segundos.

4. Expanda Mapeamentos e selecione Provisionar usuários do Microsoft Entra. Se esta for a primeira vez que você configurou os mapeamentos de atributos para este aplicativo, haverá apenas um mapeamento presente, para um espaço reservado.

   

5. Para confirmar se o esquema do SAP ECC está disponível no Microsoft Entra ID, marque a caixa de seleção Mostrar opções avançadas e selecione Editar lista de atributos para ScimOnPremises. Certifique-se de que todos os atributos selecionados no assistente de configuração estejam listados. Caso contrário, aguarde alguns minutos até que o esquema seja atualizado e, em seguida, recarregue a página. Depois de ver os atributos listados, cancele esta página para retornar à lista de mapeamentos.

6. Agora, clique no mapeamento userPrincipalName PLACEHOLDER. Esse mapeamento é adicionado por padrão quando você configura o provisionamento local pela primeira vez.

Altere o valor para corresponder ao seguinte:

Tipo de mapeamento	Atributo Source	Atributo de destino
Direct	userPrincipalName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

7. Agora selecione Adicionar Novo Mapeamento e repita a próxima etapa para cada mapeamento.

8. Especifique os atributos de origem e destino para cada um dos mapeamentos na tabela a seguir.

   Atributo Microsoft Entra	Atributo ScimOnPremises	Precedência correspondente	Aplicar este mapeamento
   ToUpper(Word([userPrincipalName], 1, "@"), )	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName	1	Somente durante a criação do objeto
   Redact("Pass@w0rd1")	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password		Somente durante a criação do objeto
   city	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city		Sempre
   companyName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company		Sempre
   department	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department		Sempre
   mail	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email		Sempre
   Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01")	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime		Sempre
   givenName	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName		Sempre
   surname	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName		Sempre
   telephoneNumber	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber		Sempre
   jobTitle	urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle		Sempre

9. Depois que todos os mapeamentos tiverem sido adicionados, selecione Salvar.

10. Atribuir usuários ao aplicativo

Agora que você tem o Microsoft Entra ECMA Connector Host conversando com o Microsoft Entra ID e o mapeamento de atributos configurado, você pode passar para configurar quem está no escopo para provisionamento.

Importante

Se você entrou usando uma função de Administrador de Identidade Híbrida, precisará sair e entrar com uma conta que tenha pelo menos a função de Administrador de Aplicativos para esta seção. A função Administrador de Identidade Híbrida não tem permissões para atribuir usuários a aplicativos.

Se houver usuários existentes no SAP ECC, você deverá criar atribuições de função de aplicativo para esses usuários existentes. Para saber mais sobre como criar atribuições de função de aplicativo em massa, consulte Governando os usuários existentes de um aplicativo no Microsoft Entra ID.

Caso contrário, se não houver usuários atuais do aplicativo, selecione um usuário de teste do Microsoft Entra que será provisionado para o aplicativo.

1. Certifique-se de que o usuário selecionado tenha todas as propriedades que serão mapeadas para os atributos necessários do SAP ECC.

2. No centro de administração do Microsoft Entra, selecione Aplicativos corporativos.

3. Selecione o aplicativo ECMA local.

4. À esquerda, em Gerir, selecione Utilizadores e grupos.

5. Selecione Adicionar usuário/grupo.

   

6. Em Usuários, selecione Nenhum selecionado.

   

7. Selecione os usuários à direita e selecione o botão Selecionar .

   

8. Agora selecione Atribuir.

   

11. Provisionamento de testes

Agora que seus atributos estão mapeados e os usuários são atribuídos, você pode testar o provisionamento sob demanda com um de seus usuários.

1. No centro de administração do Microsoft Entra, selecione Aplicativos corporativos.

2. Selecione o aplicativo ECMA local.

3. À esquerda, selecione Provisionamento.

4. Selecione Provisão sob demanda.

5. Procure um dos seus usuários de teste e selecione Provisionar.

   

6. Após alguns segundos, aparecerá a mensagem Usuário criado com êxito no sistema de destino, com uma lista dos atributos do usuário.

12. Comece a provisionar usuários

1. Depois que o provisionamento sob demanda for bem-sucedido, retorne à página de configuração de provisionamento. Verifique se o escopo está definido apenas para usuários e grupos atribuídos, ative o provisionamento e selecione Salvar.

   

2. Aguarde até 40 minutos para que o serviço de provisionamento seja iniciado. Após a conclusão do trabalho de provisionamento, conforme descrito na próxima seção, se você tiver concluído o teste, poderá alterar o status do provisionamento para Desativado e selecionar Salvar. Essa ação impede que o serviço de provisionamento seja executado no futuro.

Solução de problemas de erros de provisionamento

Se um erro for mostrado, selecione Exibir logs de provisionamento. Procure no log uma linha na qual o Status é Falha e selecione nessa linha.

Para obter mais informações, mude para a guia Solução de problemas & Recomendações .

Próximos passos

• Provisionamento de aplicativos
• Gerencie o acesso aos seus aplicativos SAP